[테마특강]효율적인 IPS의 필요조건 10제

관련 통계자료 다운로드 IDS와 IPS의 정책관리 비교

 침입탐지시스템(IDS)은 외부 침입을 탐지하고 분석하는 데 방화벽과 라우터보다 효과적이다. 하지만 현재의 IDS는 공격 탐지에서 한 발 나아가 공격 방지에 필요한 기술의 범위와 정확성 및 실시간 성능이 결여되어 있다. 가트너그룹의 보고서에 따르면 1세대 IDS는 탐지 성능에 문제가 있어 잘못된 탐지 경보를 남발했다. 따라서 기업은 진짜 공격을 놓칠 위험을 감수하면서도 상당한 자원을 잘못된 경보 추적에 소모했다.

 이러한 한계를 극복하고자 만들어진 것이 침입방지시스템(IPS)다. 위협과 취약점으로부터 기업 네트워크를 완전하게 보호하려면 IPS가 진정한 침입 방지능력을 제공하는 혁신적인 기술에 기반해서 만들어져야 한다. 단지 응급조치와 같은 단편적인 성능 향상만으로는 차세대 IPS라고 말할 수 없다. 차세대 보안제품으로 각광받는 IPS에 필요한 10가지 특성에 대해 살펴보자.

 1.고도의 정확성

 정확성은 오경보와 실제 공격을 놓칠 가능성을 줄여준다는 측면에서 IPS의 가장 중요한 기능이라고 말할 수 있다. 정확성이 떨어지면 네트워크 보안 상태를 취약하게 만든다. IPS는 악의적 활동에 대한 실시간 탐지 및 차단 기능을 요구하기 때문에 IDS보다 훨씬 더 높은 정확성이 필요하다.

 이러한 점에서 IPS는 개별 패킷 헤더와 부하(Payload) 뿐만 아니라 더욱 심도 깊은 패킷 검사 및 분석 기능을 지원해야 한다. 모든 네트워크 트래픽에 대한 패킷 및 트래픽 흐름을 철저히 분석해 정상 트래픽과 공격 트래픽을 정확히 구분해야 한다.

 이는 △모든 네트워크 트래픽에 대한 프로토콜 분석 △레이어 3에서 레이어 7까지 전방위적인(Stateful) 프로토콜 분석 △알려진 위협을 정확히 탐지할 수 있는 컨텍스트 기반 다중 트리거 및 다중패턴 서명(Signature) 매치 등을 내용으로 한다.

 탐지의 정확성을 높이려면 IPS는 반드시 정상 행동(Behavior)에 대한 자체 학습을 기초로 이상현상(Anomaly) 탐지를 지원해야 한다.이 경우 자체 학습은 동적 네트워크상에서 볼륨 기준 DoS 공격에 대한 단일 IP 주소의 행동 프로필을 설정할 수 있을 만큼 세밀해야 한다.

 

 2. 단순 탐지가 아닌 방지

 IPS에는 공격 탐지 이상의 기능이 있어야 한다.이는 공격 방지를 의미한다.이에 따라 IPS에는 인라인 운영이 필요하다. 공격을 실시간으로 탐지하고 차단하려면 인라인 IPS가 센서를 데이터 트래픽 경로에 위치시켜 모든 패킷을 처리해야 한다. 수동 모니터식 IDS는 TCP 재설정을 사용해 오직 TCP 기반 공격만을 차단할 수 있다. 오직 인라인 IPS만이 모든 IP, ICMP, TCP 및 UDP 기반의 악의적 트래픽을 차단할 수 있다. IDS가 온라인으로 운영되려면 반드시 적절한 유형과 수의 인터페이스를 지원해야 하며 반드시 중계기, 교환기, 라우터, 부하 균형기 및 방화벽 등 레이어 1-4 장치와 호환돼야 한다.

또 IPS의 패킷 처리 지연은 1/1000초 이하로 최소화돼야 하며 세밀한 정책 설정이 가능해야 한다. 사용자는 반드시 공격 및 정책별로 악의적 트래픽을 차단하도록 구성할 수 있어야 한다.

 3.광범위한 방어 범위

 현재 또는 미래 공격에 대한 방지를 보장하는 마법과 같은 기법이나 기술은 없다. IPS는 반드시 서명 탐지, 이상 탐지 및 서비스 거부(DoS) 공격 탐지를 통해 광범위한 방어 범위를 제공해야 한다.

세 가지 탐지를 하나의 IPS로 통합하면 공격의 상호 관계를 알 수 있으며 정확성이 향상된다. 또 구매, 통합 및 관리 비용이 절약돼 총소유비용(TCO)도 낮아진다.

 범위가 넓으면 기존 공격, 변형된 기존 공격, 알 수 없는 공격 및 DoS 공격에 대한 가음성(False Negatives) 회수가 줄어든다.변형된 공격의 경우 IPS는 반드시 수량이 아닌 관련성을 중심으로 한 프로토콜 및 서명 처리를 제공해야 한다. IPS에는 다음 위협에 대한 탐지가 포함돼야 한다.

 △정찰(레이어 3-7):호스트 스윕,TCP 또는 UDP 포트 스캔,백도어 프로브, 전자우편 정찰, 공용 웹 서버를 색인화하여 CGI 취약점을 찾는 등의 행위를 탐지

 △남용 : 시스템에 액세스하기 위해 응용 프로그램과 운영 체제 취약점을 활용하는 공격자 탐지

 △알 수 없는 남용 : 변형된 기존 공격 또는 변종 탐지

 △DoS 공격 : 서비스 또는 컴퓨터 고장, 네트워크 링크 과부하, CPU 과부하 또는 디스크 저장 영역 소모 등을 시도하는 DoS 공격 탐지

 △정책 위반 : 시스템 또는 사용자 지정 정책 위반(내부 공격 등) 탐지

 4. 모든 관련 트래픽 분석

 IPS에는 반드시 광범위한 데이터 캡처 모드를 사용하는 기능이 있어 탐지 및 방지용으로 모든 관련 트래픽에 액세스할 수 있어야 한다. 이러한 면에서 IPS는 반드시 매우 다양한 종류의 트래픽 분석을 지원해야 하며 서로 다른 상황에서 작동하고 교환 또는 암호화된 트래픽을 처리할 수 있어야 한다.

 반드시 스위치의 허브 또는 미러(SPAN) 포트를 모니터할 수 있어야 하며 이중 이더넷 링크에 수동적으로 연결하고 인라인으로 트래픽을 차단 및 검사하며 802.1Q VLAN 이더넷 네트워크와 함께 작동할 수 있어야 한다.

 또 IPS는 반드시 다중 네트워크 경로가 있는 비대칭 라우팅 네트워크와 이중화 경로 및 네트워크 장치가 있는 환경에서 작동할 수 있어야 한다. 교환 및 암호화된 트래픽을 처리해 스위치 사용의 증가와 암호화된 트래픽의 과부하에 대처하는 것도 IPS에 요구되는 항목이다.

5. 고도의 세밀한 탐지 및 대응

IPS는 반드시 고도의 세밀한 탐지 및 대응 기능을 지원함으로써 특정 호스트에 대한 특정 공격을 탐지하고 그에 맞는 대응을 취해야 한다.세밀성은 보안 정책 실행과 제어에 반드시 필요한 조건이다. 이러한 세밀성이 없는 경우 실수로 자동화된 정책 집행 결정을 함으로써 협력회사나 직원에게 좋지 않은 DoS 상황을 초래할 수 있다.

 고도로 세밀한 탐지 및 대응에는 단일 호스트, 서브넷, 기능 단위 또는 지리적 단위에 대해 고유한 탐지 및 대응 정책을 적용하는 기능이 포함된다. 세밀한 탐지와 응대가 가능한 경우 저대역 DoS 공격에 대한 보호를 세밀히 하거나 전자우편 서버, DNS 서버, 재무 부서 네트워크 세그먼트 등에 대한 남용 공격을 방지할 수 있다.

 

 6. 유연한 정책 관리

 IPS는 반드시 최대의 정책 유연성과 세밀성을 제공해야 한다. 오늘날의 엔터프라이즈 네트워크 환경에서 단일 정책은 쓸모가 없다. 세밀한 정책 관리를 통해 트래픽을 논리적 그룹으로 나눠야 해당 논리적 그룹에 대한 특정 대응을 수행할 수 있다.

 정책은 각 네트워크마다 사용자 정의할 수 있어야 하며 센서마다 단일 정책에만 의존하면 바람직하지 않다. 특히 정책에는 반드시 여러 속성이 있어 사용자가 이를 구성할 수 있어야 하며 반드시 알기 쉬운 규칙을 기반으로 해야 한다.

 

 7. 확장 가능한 위협 관리

 IPS는 센서, 모니터되는 트래픽, 경고 처리율 등의 증가를 지원할 수 있도록 반드시 부하가 많은 상황에서 확장이 가능하고 대응할 수 있어야 한다. 확장 가능한 관리 시스템은 자동화된 사용자-정책 중심 서명 업데이트를 사용하고 관리 자원을 역할 기반 액세스 제어를 사용하는 적절한 사용자에게 위임함으로써 여러 센서를 관리하는 부담을 줄여준다.

 IPS는 엔터프라이즈 네트워크 전체의 시스템을 안전한 웹 기반으로 관리할 수 있어야 한다. 관리 시스템은 IPS 구성, 정책 관리 및 위협/대응 관리 기능에 대한 포괄적인 플랫폼을 제공해야 한다. 보안 전문가는 이러한 작업을 원격에서 수행할 수 있어야 한다.중앙집중식 IPS 관리를 사용하면 이기종의 보안 정책을 확장 가능한 방식으로 정의, 배포, 집행 및 감사할 수 있다.

 8. 고도의 사후 조사 및 보고

 데이터 퓨전에 기반한 강력한 사후 조사 관리는 사고 분석 및 관리를 지원하는데 필요한 인프라를 제공하며 모든 IPS의 필수 요소다. 사후 조사 관리는 지능적으로 사고를 조사하고 효과적인 사후 처리용 경보 요약을 추출할 수 있으며 이는 시스템 강화 또는 형사 기소용으로 사용될 수 있다.

IPS가 보안 이벤트 주위에서 완전한 사후 조사 정보를 수집하려면 공격 이전, 진행 중 및 이후에 패킷을 캡처하고 기록할 수 있어야 한다.관련 경고를 더 큰 규모의 의미 있는 사고로 모으거나 시간 경과에 따른 경고와 이벤트를 연결할 수 있어야 한다. 또 IPS는 반드시 포괄적이며 사용자가 정의할 수 있는 보고 기능을 지원해야 한다.

 9. 최대 센서 가동 시간

실시간 탐지 및 방지에는 신뢰도 높은 센서가 필요하다. 가동 시간은 방화벽, 교환기 및 라우터 등의 기타 보안 및 네트워크 장치와 마찬가지여야 한다. 그러나 범용 컴퓨터에서 실행되는 소프트웨어 센서에는 전용 기기의 신뢰성이 결여되어 있다.

또 컴퓨터 기반 IPS를 구성하려면 최신 보안 패치로 발견된 보안 결점을 수정해 운영 체제를 강화하는 부담이 있다. IPS에는 중앙집중식 관리 시스템에 의해 관리되는 신뢰도가 높고 강화된 기기 전용 센서 아키텍처가 구축돼야 한다.

 10. 선속 센서 성능

 IPS는 복잡한 네트워크 패킷 및 흐름 검사 시스템으로 최고 처리 용량의 방화벽보다 몇 배의 처리 능력을 갖춰야 한다. 기업 네트워크의 집산 포인트와 코어는 고속 이더넷에서 기가비트 이더넷 기술로 이전하고 있다. 수 기가비트의 네트워크 환경에 맞추려면 센서는 반드시 패킷 처리 속도와 패킷 당 지연 요구 사항을 충족하는 고성능 프로세스를 사용해야 한다.

 완전한 탐지 범위의 필요 조건으로서 센서는 반드시 가장 심각한 버스트 조건에서 감시하는 포트의 모든 트래픽을 검색해야 한다. 기기 아키텍처에 포함된 전용 프로세서를 사용하면 모든 서명을 사용하여 측정하므로 현재뿐 아니라 수년 후 예상되는 처리 능력을 제공할 수 있다.

 이상과 같이 IPS의 10가지 필요조건에 대해 살펴봤다. IPS는 보안 환경에서 전략적으로 중요한 구성요소다. IPS는 정확한 탐지, 고성능 및 통합된 기술을 조합해 침입 탐지와 더불어 침입 방지를 제공한다. 차세대 기술을 기반으로 구축된 IPS를 선택하면 오늘날의 기업이 증가하는 공격의 위협으로부터 자체의 네트워크를 보호하는 데 필요한 실시간 보안을 구현할 수 있을 것이다.

 

*김현수 한국네트워크어쏘시에이츠 기술지원부장

 경희대학교 대학원 컴퓨터 공학 전공

 93-94 큐닉스 컴퓨터 연구소

 95-97 한국사이베이스 기술지원부

 97-2000 한국컴퓨터어쏘시에이츠 기술지원부

 2000-2001 BEA시스템즈코리아 기술지원부

 2002.5 -현재 한국네트워크어쏘시에이츠 기술지원부장