새로운 안티바이러스로 부상하고 있는 IPS

미국 노스캐롤라이나주의 지방 은행인 퍼스트 시티즌 은행(First Citizens Bank)이 코드 레드 바이러스의 공격을 받았다. 하지만 신문에서 이런 얘기에 대해 읽은 적이 없을 것이다. 퍼스트 시티즌 은행은 이 얘기를 어느 누구에게도 하지 않았고, 또 그럴 필요도 없었다. 왜냐하면 이곳의 네트워크 운영 팀이 최신 시큐리티 기술, 즉 그 악성 바이러스를 효율적으로 차단해낸 침입 방지 시스템(Intrusion Prevention System, 이하 IPS)을 설치해 뒀기 때문이다. 퍼스트 시티즌 은행의 네트워크 시큐리티 수석 분석가인 제이 워드는 “우리는 침입 예방이 가능하다는 개념을 우리 스스로가 직접 확인해보고 싶었다”고 말한다. 그 결과, 이 은행이 얻은 것이 바로 이 은행의 웹 서버들이 마이크로소프트 웹 서버 훼손을 목적으로 설계된 자가 번식형 프로그램인 코드 레드로 인한 타격을 전혀 받지 않았다는 것이다. 침입 경고 이전에 공격 중단에 초점대부분의 관리자들은 IDS에 대해 잘 알고 있지만, 침입 방지 시스템(Intrusion Prevention System, 이하 IPS)은 분명 생소한 개념이다. 이 두 가지는 서로 밀접한 관련이 있고, IPS는 하나의 툴로서, IDS를 완전히 몰아내기보다는 서로 병행해서 쓰이고 있다. 하지만 이 두 시큐리티 기술 간의 근소한 차이점이 퍼스트 시티즌 은행의 워드를 비롯한 IT 관리자들에게 크나큰 차이가 나는 결과를 안겨줄 수 있다. IDS는 이미 알려져 있는 공격 시그니처를 감시하면서 수상한 네트워크 활동을 찾아내기 위한 목적으로 설계됐다. IDS는 범상치 않은 네트워크 활동을 찾아냈을 경우 해당 운영 직원에게 경고 메시지를 보내고 침입의 진전 상황을 기록하고 보고한다. 하지만 IDS는 문제를 즉각적으로 처리하지는 못한다. 즉 진행되고 있는 공격을 막지는 못한다는 것이다. 바로 이 부분에서 IPS가 빛을 발한다. IPS는 공격 시그니처를 찾아내며, 네트워크에 연결되어 있는 기기에서 수상한 활동이 이뤄지는지를 감시한다. IPS는 서버가 비정상적인 행동을 실행하고자 하는 경우 자동으로 모종의 조치를 취함으로써 그것을 중단시킨다. IPS를 판매하고 있는 오케나(Okena)의 마케팅 담당 부사장 에릭 오그렌은 “우리는 지금까지 그게 코드 레드인지조차 몰랐다. 그냥 비정상적인 활동이 이뤄지고 있었다는 것만 알고 있었다”며, “우리가 하는 일은 기기들의 작동이 어떤 식으로 이뤄져야 하는지를 파악한 후 그것을 실시간으로 실행시키는 것”이라고 설명했다. 벤더들 IDS에서 IPS로 발빠른 움직임IPS가 감시하는 비정상적인 행동에 대한 예를 하나 들자면, 웹 서버가 텔넷이나 FTP 세션을 실행하려 하는데, 그 유일한 목적이 웹 페이지를 서비스하려는 것일 경우다. 또 하나 예를 들면, 한 도메인으로부터 들어오는 접속 시도 횟수가 비정상적일 경우, IPS는 해당 도메인에 대한 액세스를 모두 차단해버린다. 또는 메일 게이트웨이를 통해 들어와 마이크로소프트 아웃룩으로 하여금 주소록 안에 들어있는 모든 주소로 바이러스가 들어있는 전자우편을 자동으로 보내려 하는 모종의 코드가 될 수도 있다. 오그렌은 IPS를 이용할 경우 그런 시나리오를 모두 예방할 수 있다고 주장한다. 가령, 코드 레드의 경우 퍼스트 시티즌 은행은 이 바이러스가 자기 증식을 위해 인터넷을 뒤져 다른 취약한 서버를 찾아내려 한다는 것을 감지할 수 있었다. 이 은행이 배치했던 IPS는 엔터셉트 시큐리티 테크놀로지(Entercept Security Technologies)에서 개발한 것으로, 그런 활동을 즉각 중단시키고, 타깃이 된 서버들에 있는 에이전트를 통해 무단으로 송출되고 있는 포트 스캔을 중단시켰다. 엔터셉트의 사장이자 CEO인 루 라이언은 “구식인 IDS 시스템의 경우, 이들이 설정돼 있는 방식대로라면 대문의 빗장을 채우고 경보 시스템을 가동시키는 것이지만, 그때는 이미 침입자가 집안에 들어와 있는 셈”이라며, “지금까지 그런 것은 난해하고, 또 제대로 이뤄지지도 못했다”고 말한다. 시큐리티 소프트웨어 벤더인 원 시큐어(One-Secure)의 CTO 닐 주크는 기존의 IDS는 본질적으로 무용지물이라는데 뜻을 같이 한다. 그는 “현재로서는 너무도 간단히 침입 탐지 시스템을 피할 수 있다”고 말한다. 제 밥값을 하는 해커라면 눈을 감고서도 IDS를 피할 수 있다는 것이 그의 이야기다.신생업체들과 기존 벤더들은 벌써부터 IPS 부문 개척에 나섰다. IDS 공급업체로서 자사 제품에 모종의 침입 방지 시스템을 통합한 업체로는 시스코 시스템(Cisco Systems), 컴퓨터 어쏘시어츠 인터내셔널(Computer Associates International), 사이버세이프(CyberSafe), 인터넷 시큐리티 시스템(Inter net Security Systems), Intrusion.com, 네트워크 어쏘시에이츠(Network Associates Inc.), NFR 시큐리티(NFR Security), 시큐어웍스(SecureWorks), 시만텍(Symantec) 등이 있다. 심지어 공개 소스 옵션도 있다. 스노트(Snort)라고 하는 경량급 IDS가 있는데, 이미 여러 운영체제용으로 나와 있다. 아거스 시스템즈 그룹(Argus Systems Group), 생텀(Sanctum), 워치가드 테크놀러지(WatchGuard Technologies) 등 관련 기업들의 기술도 애플리케이션과 운영체제를 폐쇄함으로써 침입자가 이에 손을 대지 못하도록 예방해주긴 하지만, 이들은 신종 공격 위협은 감시하지 못한다. 코드레드가 IPS 부상의 일등 공신시큐리티 전문가들은 IPS에 대한 관심이 증가하는데 코드 레드 바이러스의 역할이 컸다고 말한다. ISS사의 침입점검 기술 담당 제품 관리이사인 쉴라 드로스키는 “코드 레드와 같은 빅 뉴스거리는 사람들이 스스로가 얼마나 취약한 상태인지를 상기하게끔 만든다”고 말한다. 드로스키는 코드 레드 바이러스의 경우 어떤 관리자든 어떤 문제가 일어났는지를 알리는 경고 메시지를 읽기도 전에 급속도로 확산되기 때문에 크게 문제가 된 것이라고 보고 있다. 사실상 IDS도 이번과 비슷한 경로를 통해 IT 관리자들의 시선을 끌 수 있었다. 작년에 eBay와 야후! 등의 유명 전자상거래 사이트에 대해 대대적인 DoS(denial-of-service) 공격이 이뤄졌고, 이로 인해 갑작스레 침입 탐지 시스템이라고 하는, 당시로서는 별로 알려지지 않았던 기술에 대한 관심이 늘었다. 드로스키는 “그 전만 해도 IDS에 대해 알고 실제로 이용하는 사람들은 새로운 것을 좋아하는 사람들과 금융기관들뿐이었다”며, “일단 그같은 공격이 발생하면 주류쪽에서의 관심이 증가하고 전례없는 급속도의 성장을 보인다”고 설명한다. 코드 레드의 인터넷 확산은 일반 대중문화에도 반영되기에 이르렀다. 이 바이러스는 여러 지방 뉴스 채널과 제이 레노의 투나잇 쇼에도 등장했다. 이런 대대적인 관심 속에서 코드 레드로 인해 불거져 나온 것은, 만일 이 바이러스에 민감하게 반응했던 마이크로소프트 IIS(Internet Information Server)의 구동을 담당하는 웹 관리자가 미리 시스템에 패치를 추가했더라면, 이 바이러스의 급속한 확산을 쉽사리 예방할 수 있었을 것이라는 생각이 지배적이라는 것이다. 운영체제 패치 ‘만능 아니다’한 달 전에 마이크로소프트가 컨설팅 업체인 eEye 디지털 시큐리티(eEye Digital Security)로부터 그런 허점에 대해 통고받고서, 코드 레드가 발생하기 전에 수정안을 내놓았었다. 시큐리티 전문가들과 마이크로소프트의 대변인들은 “그냥 그 패치를 다운받기만 하면 된다”고 말했었다. 그것이 간단한 일인 듯 보일 수도 있겠지만, 웹 서버 관리자들은 지속적인 패치 확보와 업데이트를 서로 별개의 것으로 보고 있다. 첫째, 대부분의 시스템 관리자들은 처리해야 할 소프트웨어가 너무나도 많기 때문에 그런 업데이트를 놓치지 않고 지속적으로 확보하는 일이 거의 불가능하다. 일부 관리자들은 마이크로소프트를 비롯한 기타 벤더들의 시스템에 있어 계속 새로운 허점이 발견되고 있어 당혹감을 느끼고 있다고들 말하고 있기 때문에, 갈등 속에서도 시큐리티 경고를 무시하게 된다는 것이다. 더욱이 패치를 적용한다는 것은 절대로 만만한 일이 아니다. 일부 경우, 시큐리티 취약점 한 가지를 커버하기 위한 패치로 인해 또 다른 문제가 생기기도 한다. 금년 초에 마이크로소프트가 익스체인지 서버에 대한 패치를 내놓았을 때도 그런 일이 있었는데, 이 패치를 적용했을 때 시스템이 다운됐다. 오히려 패치 적용을 게을리 했던 관리자들은 그 문제를 모면할 수 있었던 반면, 패치를 꼼꼼히 챙기던 관리자들은 시스템 다운으로 곤혹을 치뤘다. 그런데 마치 시큐리티 패치 적용 여부를 결정하는 것이 그리 어려운 일은 아니라는 듯, 일부 써드파티 소프트웨어 개발업체들은 고객들에게 패치를 적용할 경우 윈도우 서버 상에서 구동되는 자사 소프트웨어와 함께 잘 돌아갈 것인지를 자신할 수 없기 때문에 이런 경우 자사 소프트웨어를 지원하지 않겠다는 뜻을 전하고 있다. 바로 그런 이유 때문에 퍼스트 시티즌 은행의 워드는 몇 주 동안이고 마이크로소프트의 ISS 서버에 대한 패치를 적용하지 않았고, 그러다 코드 레드가 발생했다. 워드의 말에 따르면 퍼스트 시티즌 은행이 거래하고 있는 웹 애플리케이션 벤더 중 한 곳은 마이크로소프트 IIS 패치를 설치해 문제가 생길 경우 이 은행의 소프트웨어에 대한 지원을 거부하겠다고 했다고 한다. 가트너의 네트워크 시큐리티 조사 담당 이사 리차드 스티넌은 그런 관행이 일반적이라고 말한다. 하지만 그런 관행을 저지르고 있는 소프트웨어 벤더들의 이름은 밝히지 않았다. 그의 말에 의하면 현재 인터넷 사업을 위한 네트워크에서는 웹 서버가 애플리케이션 서버에 연결돼 있으므로 “이를 뒷받침하는 애플리케이션없이는 패치를 설치할 수 없다”고 한다. 이같은 어려움으로 인해 관리자들은 제대로 된 패치가 적용되지 못했다 하더라도 코드 레드와 같은 공격에 맞서서 네트워크를 방어할 수 있는 솔루션쪽으로 향하고 있다. 접속과 차단에 대한 완벽한 통제가 문제엔터셉트의 제품 관리 담당 이사인 로메인 아고 아고스티니는 IDS가 IPS로 진화하고 있는 과정을 안티바이러스 소프트웨어의 발전 과정에 비유한다. 처음으로 등장한 안티바이러스 소프트웨어 패키지들은 PC 스캔을 통해 실제로 어떤 바이러스가 PC를 감염시켰는지의 여부를 찾아내줄 수 있는 능력만 지니고 있었다. 그러다 결국 안티바이러스 소프트웨어는 바이러스의 확산을 모두 방지해주는 시스템으로 변하게 됐다. 하지만 가트너의 스티넌은 IDS에서 IPS로의 전환 과정은 복잡하다고 경고한다. 그는 “하지만 그 기본 생각은 많은 이점을 지니고 있다”며, “IPS를 채택한다는 것은 명백하게 거부된 경우가 아니면 모든 것이 허용되던 것에서, 명백하게 허용된 경우가 아니면 모든 것이 거부되는 것으로의 근본적인 변화”라고 말한다. 하지만 스스로의 네트워크를 운영한다는 것에 긍지를 갖고 있는 사람들은 네트워크에서 허용되는 것과 허용되지 않는 것에 대한 통제권을 소프트웨어 프로그램에게 넘겨준다는 것이 언제나 바람직한 일은 아니라고 보고 있다. 문제는 혹시라도 자동화된 시큐리티 시스템이 허용된 액세스를 차단하게 될 경우 사업에 혼선을 빚게 되고 판매가 줄어들게 될 가능성이 있다는 것이다. 침입 탐지 장비를 제작하고 있는 랭코프(Lancope)의 사장 마이크 반 브루니스는 “우리 고객들 대부분은 고객 액세스를 차단하지 않을 것이라는 것이 입증되지 않은 IPS는 아직 본 적이 없다고 말하고 있다”며, “하지만 기업에게 있어 잠재 고객을 차단할 경우의 결과는 침입자를 안에 들여놓을 경우와 다를 것이 없다”고 강조한다. 하지만 오케나의 오그렌은 시큐리티 관리자들이 원하는 것은 손상된 후에 그 내용을 점검하는 것이 아니라, 그것을 미리 예방할 수 있는 방법이라는 게 중요하다고 말한다. 그는 “IT는 문제가 발생할 때마다 이에 관해 듣는 걸 바라는 것이 아니다. 그들이 바라는 것은 문제를 미리 예방할 수 있는 방법”이라고 강조한다. @