기업이 IT 보안을 위해 꼭 준비해야 하는 보안 시스템

전 세계적으로 디도스 공격과 웹 애플리케이션 공격을 통한 해킹 기법이 나날이 정교해지고 공격 규모는 매년 사상 최대를 경신하고 있습니다. 이러한 패턴은 데이터 센터뿐만 아니라 많은 기업이 사용하고 있는 퍼블릭 클라우드, 코로케이션 시설 등 기업의 IT 자원이 배포되고 운영 중인 곳이라면 위치와 형태에 관계없이 공격이 증가하고 있음을 보여줍니다.

다양한 IT 보안 위협 중 특히 웹 애플리케이션 공격과 디도스 공격으로부터 데이터 센터를 보호하기 위한 기본 보안 시스템이 세 가지가 있습니다. 셋 다 역할은 비슷하지만, 기능과 쓰임새는 각각 다릅니다. 오늘은 세 가지 보안 시스템의 각기 다른 역할과 어떻게 조합해서 사용할 수 있는지를 알아보겠습니다.

IPS(침입 방지 시스템)

IPS(Intrusion Prevention System, 침입 방지 시스템)는 방어 대상이 사용하는 네트워크 트래픽을 스캐닝하여 악성 공격을 감지하고 방어하는 역할을 수행합니다. 보통 악성 트래픽을 차단(Block)할지 교정(Remediate)할지 결정하는 방식으로 해킹을 방어합니다.

일반적으로 IPS는 트래픽 흐름에 대한 시그니처(Signature)와 이상(Anomaly) 징후 기반 탐지와 분석을 수행합니다.

시그니처 방식이란 사전에 정의된 공격의 시그니처(형태)를 참조하여 공격 여부를 확인하는 방식입니다. 아래 이미지에서 볼 수 있듯이 IPS 업체는 사전에 IPS의 차단 대상이 될 수 있는 공격 패턴들을 시그니처 데이터베이스로 관리하며 리스트를 생성합니다.

데이터베이스에 저장된 정보엔 공격 명칭과 심각도, 대상, 운영체제, Action, 취약점 ID 등이 정의되어 있습니다. 리스트에 없는 패턴은 사용자가 직접 상용 시그니처로 등록하여 방어하는 것도 가능합니다.

이상 징후 기반 방식이란 트래픽 모니터링 시 ‘통계적으로 정상적인 네트워크의 흐름이 아니다’라고 판단되는 경우를 탐지하고 차단하는 방식입니다. 통상적으로 이상 기반 방식은 적절한 임곗값(threshold)을 동시에 설정하고 확인하는 방식을 사용합니다.

대표적인 탐지 항목은 다음과 같습니다.

• SYN_FLOOD: 새로운 TCP 연결의 SYN 패킷의 비율(PPS)
• Ports Scan: 네트워크상에 열린 포트를 찾는 시도
• TCP_DST_SESSION: 특정 도달 IP로의 동시 접속 TCP 연결 수
• TCP_SRC_SESSION: 특정 소스 IP부터의 동시 접속 TCP 연결 수
• UDP_FLOOD: 특정 도달 IP로의 UDP 패킷률(PPS)
• UDP_SCAN: 특정 소스 IP로의 UDP 패킷률(PPS)
• UDP_DST_SESSION: 특정 도달 IP로의 동시 접속 UDP 연결 수
• UDP_SRC_SESSION: 특정 소스 IP로의 동시 접속 UDP 연결 수
• ICMP_FLOOD: 특정 도달 IP로의 ICMP 패킷률(PPS)
• ICMP_SWEEP: 특정 소스 IP로의 ICMP 패킷률(PPS)
• ICMP_DST_SESSION: 특정 도달 IP로의 동시 접속 ICMP 연결 수
• ICMP_SRC_SESSION: 특정 소스 IP로의 동시 접속 ICMP 연결 수

이처럼 IPS는 시그니처와 이상 징후 기법을 통해 다음과 같은 대표적인 공격을 방어할 수 있습니다.

• 도스(DoS)와 디도스(DDoS)
• 시스템 취약점(Exploits)
• 단말의 바이러스
• 웜(warm)
• 시스템 백도어(backdoor)

IDS(침입 탐지 시스템)

IPS는 해킹 침입을 직접 차단하는 역할이지만, IDS(Intrusion Detection System, 침입 탐지 시스템)는 트래픽을 직접 모니터링 및 스캔하고 위협 및 공격에 대해서 보고만 수행하는 일종의 탐지 시스템입니다. 탐지된 공격에 대해 관리자에게 고지하면 IDS의 역할은 끝나게 됩니다.

대부분의 IPS 시스템은 IDS 솔루션으로도 작동할 수 있습니다. 단지 IDS와 IPS의 주요 차이점 중 하나는 네트워크상에 배치되는 위치입니다. 

IDS는 트래픽의 길목에서 막거나 통과시키는 구조가 아닌, 네트워크를 통과하는 트래픽을 수동적으로 감시하는 방식입니다. 이 경우 트래픽 복사본은 포트 스캔 메커니즘 또는 네트워크 TAP 배포를 통해 IDS로 전송됩니다. 반면에 IPS는 네트워크상에 직접적으로 배치되어 모든 트래픽이 이곳을 통과합니다.

IDS와 IPS는 이상 트래픽 발견 시 취해야 할 조치 측면이 다릅니다. IDS는 추가 조치를 위해 관리자에게 경보 또는 경고를 보내지만, 트래픽을 중지시키지는 않습니다. IPS는 공격을 탐지하면 정해진 규칙에 따라 트래픽을 차단할 수 있습니다.

방화벽(Firewall)과 IPS

방화벽은 IPS와 더불어 기업용 데이터 센터의 보안 프레임워크 구성에 핵심적인 요소입니다. 방화벽은 미리 할당된 보안 규칙을 기반으로 ‘방화벽이 방어하는 대상 시스템으로 들어오고(In-Bound) 나가는(Out-Bound) 트래픽을 분석하고 제어’합니다. 신뢰할 수 있는 내부 네트워크, 반 신뢰할 수 있는 DMZ 네트워크 및 신뢰할 수 없는 외부 네트워크를 모두 지원합니다.

방화벽과 IPS의 주요 차이점을 이해하는 것은 중요합니다. 방화벽은 주로 IP 주소 및 포트 번호를 기반으로 트래픽 필터링합니다. 반면 IPS는 실시간 트래픽을 검사하고 트래픽 패턴이나 공격 시그니처를 찾아 공격을 탐지하고 방지합니다.

최근 클라우드 기반으로 SECaaS(Security as a service) 분류에 속하는 웹 방화벽 서비스는 방화벽과 IPS 역할을 모두 수행하는 것이 특징입니다.

방화벽은 주로 출발지와 목적지 IP 주소, 프로토콜 및 포트 번호에 의존합니다. 또한 구성된 규칙이나 정책을 충족하지 않는 모든 트래픽을 거부할 수 있습니다. 반대로 표준 길이가 아닌 IP 패킷, 버퍼 오버플로, 도스 및 디도스 공격과 같은 공격과 같은 시나리오는 IPS가 탐지하고 조치를 취하는 데 사용하는 것이 일반적입니다.

보안 컴포넌트의 배치 측면에서 살펴보면 방화벽은 주로 공격에 대한 1차 방어선입니다. IPS는 방화벽 이후 다음 단계의 방어로 배치합니다.

기본부터 시작하는 기업 보안

지금까지 기업이 IT 보안을 위해 꼭 준비해야 하는 3개 시스템에 대해서 알아보았습니다. 중요한 점은 이번 글에서 소개한 시스템은 일반적인 디도스와 웹 해킹 방어를 위해 필요한 솔루션이라는 겁니다. 랜섬웨어 방지나 제로 트러스트(기수링나 제품이 아니라 비즈니스 주요 자산을 유출과 멜웨어 공격으로부터 보호하는 방법)는 또 다른 보안 시스템과 체계를 구축해야 합니다.

따라서 기업의 보안 담당자들은 회사의 전반적인 보안을 아우르는 거시적인 보안 프레임워크를 토대로 자사가 제공하는 IT 서비스의 세부 형태에 알맞은 보안 시스템과 이를 운용하는 프로세스 체계를 미리 준비하는 것이 중요합니다. 이번 글로 많은 기업 관계자가 ‘보안의 시작은 기본부터’라는 걸 잊지 않았으면 좋겠습니다.

©️요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.