「기능」으로 풀어낸 IPS의 본질

지난 3년여 간의 보안사고는 일정한 유형을 나타냈다. 소프트웨어업체나 보안업체가 취약점을 공개한 후 곧 이어 패치를 발표함에 따라, 모두들 인터넷 상에서 악성코드가 퍼지기 전에 서둘러 패치를 내려 받는다.그러나 공개된 코드는 오히려 웜을 제작하는 데 악용돼 인터넷 상에서 웜의 공격이 이루어지고 크고 작은 피해가 잇따르게 된다. 실제로 2002년 1월 슬래머 웜은 인터넷에 확산되면서 비록 짧은 기간동안이지만 광범위한 인터넷 마비사태를 불러왔으며, 가장 최근에는 블래스터 웜과 소빅 웜 등 강력한 사이버 공격들이 그 속도와 피해 규모에서 세계를 긴장시켰다.권투에 있어 이목을 중심 시키는 주요 이벤트들을 중심으로 그 흐름이 이어지는 것처럼, 네트워크 보안분야 역시 주요 보안사고를 중심으로 돌아간다. 즉 그리 유명하지 않은 주니어 벤텀급 챔피언과 도전자의 경기가 그리 큰 관심을 끌지 못하는 것처럼, 보안에 있어서도 베일(Vale) 웜과 같은 사례는 주목 받지 못한다. 이에 반해 헤비급 권투경기가 그렇듯 전세계의 주목을 끄는 보안 사고, 예를 들어 코드레드와 같은 침입사태는 분명 주위 사람들을 놀라게 한다.즉 침입이란 누군가가 허가 받지 않은 정보나 시스템에 접속하려 할 때 발생하는 보안사고이다. 침입탐지는 악의적인 의도를 가진 혹은 허가 받지 않은 디지털 활동이나 전자적 활동을 탐지하는 프로세스다. 네트워크 보안 분야에서 침입탐지시스템(IDS)은 인터넷 트래픽의 실제 콘텐츠와 활동에서 악성코드와 공격 여부를 조사하기 때문에 또 하나의 보안 계층을 생성한다.IPS의 출발점 '침입탐지'IDS는 본질적으로 감시용 제품이다. 가정용 보안 시스템이 감시 카메라와 기타 장비를 이용해 의심스러운 행동을 감시하는 것과 마찬가지로 IDS는 네트워크 내에서 문제의 소지가 발견될 경우 보안 담당자에게 경보를 보낸다.IDS는 컴퓨터로 들어오고 나가는 네트워크 트래픽을 배후에서 끊임없이 감시한다. 의심스럽거나 비정상적이거나 기존의 위협과 유사한 경향을 보이는 트래픽을 찾아낸다. IDS는 의심스런 경향을 보이는 활동을 감지하면 사용자에게 경보를 보내거나 미리 정해진 적절한 응답을 보낸다. 이상적인 상황에서는 사용자가 악성 코드로 간주되는 의심스런 행동의 수위와 유형을 정할 수 있으며 각각의 행동유형에 따라 정책을 결정할 수 있다.IDS는 네트워크기반 IDS(NIDS)와 호스트기반 IDS(HIDS), 하이브리드 IDS, 그리고 디코이기반 시스템으로 구분할 수 있다. NIDS는 네트워크를 통과하는 모든 패킷의 특성을 검사한다. 일반적인 NIDS는 하나 이상의 센서와 센서로부터 데이터를 수집하고 분석하는 콘솔로 구성돼 있다.HIDS는 호스트 내의 처리 과정들을 감시하고 로그 파일과 데이터 내에 의심스러운 활동이 있는지 감시한다. 어떤 HIDS는 독립적으로 작동한다. 또 다른 HIDS는 검사와 반응 메커니즘을 중앙통제하는 마스터 시스템에게 보고한다. 이 방식은 대규모 기업용으로 구축할 때 유용하다.하이브리드 IDS는 HIDS와 NIDS를 결합한 형태이다. 시스템을 기반으로 하는 하이브리드 IDS는 단일한 호스트를 출입하는 네트워크 패킷을 검사해서 공격을 찾아낸다. 하이브리드 IDS는 시스템의 이벤트, 데이터, 디렉토리, 레지스트리에서 공격여부를 감시함으로써 더욱 보호망을 공고히 한다.'허니팟'으로 더 잘 알려져 있는 디코이기반 시스템은 네트워크 인프라 내에서 보안을 강화한다. 디코이기반 시스템은 오로지 인증받지 않은 행동을 포착하는 목적만으로 설치된 단일한 디바이스 시스템이나 네트워크로 구성됐으며 설치만 하면 더 이상 추가적인 관리를 필요로 하지 않는 침입탐지센서로 볼 수 있다. 다시 말해 디코이기반 시스템으로 들어오거나 나가는 모든 패킷은 일단 의심의 대상이다. 이로 인해 데이터 포착 및 분석 프로세스가 단순해지고 공격자의 동기에 대해 귀중한 정보를 얻을 수 있다.어떻게 침입을 탐지하는가?IDS는 악의 있는 행동을 탐지하기 위해 수많은 기술을 적용한다. 가장 널리 활용되는 3가지 기술은 서명탐지, 프로토콜이상탐지, 행동이상 탐지이다.시중에 있는 상업적 침입탐지 제품들은 대부분 네트워크 트래픽에서 특정 공격유형을 조사하는 시스템이다. IDS 공급업체들은 공격이 있을 때마다 향후에 해당 공격을 추적할 수 있도록 그 서명을 코드화해야 한다. 이를 통해 해당 공격에 대한 정보를 공유한다. 거의 모든 IDS는 대규모 서명 데이터베이스로 이루어져 있으며 모든 패킷을 데이터베이스에 축적된 서명과 일일이 비교한다.프로토콜이상탐지는 애플리케이션 프로토콜 계층에서 작동한다. 애플리케이션 프로토콜 계층에서 일어나는 통신의 구조와 콘텐츠를 집중적으로 점검한다. 텔넷, HTTP, RPC, SMTP, Rlogin과 같은 프로토콜을 목표로 한 공격이 많기 때문이다.행동이상탐지 비교적 채택빈도가 낮은 침입탐지방식으로, 통계적인 이상을 탐지한다. 이 방식은 지속적으로 추적한 특정 시스템 통계치나 행동유형을 '베이스 라인'으로 삼는다. 이러한 유형에 변화가 생길 때 공격을 알린다. 예를 들어 평소보다 사용량이 훨씬 많다거나 평소에는 사용이 드문 시간대에 사용한다거나 사용자 프로세스에 의해 시스템 콜이 바뀐다거나 하는 경우를 탐지해낸다.행동이상탐지방식의 장점은 이상징후의 원인을 몰라도 탐지해낼 수 있다는 점이다. 그러나 아무런 문제가 없는데 이상으로 탐지하는 경우가 잦아 오탐지율이 높다.탐지가 보안의 기본이긴 하지만 침입자가 감시 카메라에 잡혔다 하더라도 의문은 남아있다. 바로 반응하기까지 시간이 얼마나 걸리는가 하는 점이다. 이는 코드 레드가 인터넷 상에서 확산되기까지 며칠이 걸렸지만 님다의 경우에는 불과 한시간이 걸렸다는 점을 고려할 때 중요한 질문이다.수년간 침입탐지의 원칙은 탐지해서 보고하는 것이었다. 침입방지에서는 여기에 행동이라는 구성요소가 추가됐다. 즉 정확히 탐지해낸 침입을 가로채서 중단하는 것이다. 인포네틱스 리서치(Infonetics Research)는 전세계 침입탐지 및 방지 시스템 (IDS/IPS) 제품의 매출이 2002년에는 3억 8200만 달러에 달했으며 2006년에는 16억 달러에 이를 것으로 예측했다. 인포네틱스 리서치의 제프 윌슨 이사는 "규모를 막론하고 모든 기업들은 차세대 매개변수 보안솔루션을 찾고 있다. 네트워크 침입방지야말로 2006년까지의 폭발적인 성장세를 이끌어갈 견인차"라고 말했다.탐지는 원펀치, 방지는 ‘투펀치’침입방지시스템(IPS)은 그 이름에서도 알 수 있듯이 공격으로 피해가 발생하기 전에 능동적으로 공격을 실시간 차단한다. 네트워크에 포진한 IPS는 패킷, 대화, 트래픽 유형 등 들어오고 나가는 모든 트래픽을 점검한다. IPS는 의심스럽다고 판단되는 트래픽을 탐지하면 트래픽을 제한하거나 완전히 차단한다. 보안 카메라나 보안 센서가 침입탐지라면, 침입방지는 맹견이나 안전요원에 비유할 수 있다.침입자는 대문을 통과하고 심지어 감시 카메라까지 속일 수 있을 지도 모른다. 코드 레드가 바로 그러한 침입자였다. 코드 레드는 보안상의 딜레마를 유발했다. 왜냐하면 많은 기업들이 접속이 차단된 채로 수시간 심지어 며칠을 보내야 했기 때문이다. 많은 기업들에게 접속이 차단된다는 것은 엄청난 재정적 손실을 뜻한다. 컴퓨터 이코노믹스紙에 따르면 코드 레드가 전세계적으로 초래한 경제적 손실은 26억 2000만 달러라고 한다. 대부분의 방화벽도 대부분의 IDS도 코드 레드의 공격을 방지하지 못했다.2002년 보안분야의 최고 화제는 단연코 침입방지였다. 왜 그럴까? 간단하다. 침입방지가 기억하기 쉬운 단어이기 때문이다. 침입방지는 2년간 보안탐지분야의 화제였으며 이제 침입기술의 차세대 기술로서 용인될만한 여건이 조성됐다. 다음을 생각해 보자. 인터넷의 등장으로 네트워크가 노출되면서 방화벽이 도입됐다. 그러나 방화벽이 모든 공격을 막을 수 없기 때문에 IDS가 개발됐다. 이제 공격을 탐지할 뿐만 아니라 차단해야 하기 때문에 침입방지가 떠오르고 있는 것이다.능동적으로 네트워크를 경비하는 침입방지는 지속적으로 인기를 얻고 있지만 침입방지라는 단어와 네트워크 보안에서 침입방지의 위치에 대한 정의는 아직 완성되지 않았다. 일부 공급업체에서는 특정 침입방지 툴이라고 주장하는 제품을 내놓은 반면 또 다른 공급업체에서는 침입방지 제품군의 구성요소라고 주장하는 솔루션을 내놓았다. 방지라는 용어는 보안관리로 알려진 보다 광범위한 프로세스의 한 단면으로 보이기도 한다.제품으로 보자면 공급업체들은 계속해서 특정 침입방지 툴을 발표하고 있다. 이러한 툴들이 업체들이 선전하는 기능, 예를 들면 호스트에 대한 공격실행을 방지하는 역할을 수행하긴 하지만 자세히 들여다보면 그 실체를 알 수 있다. 즉 이들 침입방지 툴들은 실제로는 애플리케이션 방화벽, 취약성평가 소프트웨어, 호스트기반 IDS, 게이티드 IDS 등이다. 이들은 물론 공격을 방지한다. 그러나 그렇게 치자면 결국 모든 네트워크 보안툴이 침입자를 방지하는 데 기여하지 않는가 라고 반문할 수 있다.IPS의 진화는 현재진행형일례로 취약점분석 툴의 작동원리를 살펴보자. 취약점분석 툴은 침입자가 취약점을 악용해 공격하기 전에 취약점을 발견함으로써 기업 네트워크의 보호에 일조한다. 취약점분석 툴은 네트워크 상의 시스템과 서비스를 자동으로 스캔해서 흔히 있는 침입이나 공격 시나리오를 안전하게 시뮬레이션한다. 다시 말해 창문이나 문이 모두 잠겼는지 순찰을 도는 안전요원에 비유할 수 있다.이제 이 안전요원이 침입행태에 대한 최신 정보로 무장하고 좀 더 자주 순찰을 돈다고 가정해보자. 예를 들면 매시간마다 혹은 심지어 매분마다 순찰을 돈다고 가정해보자. 물리적으로는 이러한 상황은 불가능하지만 네트워크보안 분야에서는 취약점분석의 접근방법을 이용하면 예상치 못한 공격기회를 거의 완벽하게 차단할 수 있다. 이것이 바로 침입방지가 아니겠는가? 이처럼 취약점분석 툴과 같은 개별 솔루션에서 제품명이 암시하는 마케팅 목적이 아니라 기능만을 놓고 보면 침입방지라는 제품군의 본질을 확인할 수 있다.침입방지는 발전 중이다. 침입방지는 특정 제품이나 제품군 이상을 의미한다. 침입방지는 데스크탑, PC같은 클라이언트 티어와 메일서버, 파일서버 등과 같은 서버 티어와 게이트웨어 서버, 방화벽, AV 등과 같은 게이트웨어 티어의 여러 보안기술과 서비스를 통합한 것을 의미한다. 이 같은 핵심보안기술 또는 침입방지의 본질은 각각의 티어에서 바이러스퇴치, 방화벽, VPN, 침입탐지, 콘텐츠 필터링, 정책준수관리를 포함한다.지금까지 기업들은 침입을 방지하기 위해 수많은 공급업체들로부터 여러가지 제품을 구매하고 구성하고 관리해야 했다. 그러나 통합보안기술을 구현하는 제품들이 부상함에 따라 이러한 현실은 변화하기 시작했다. 이제 기업들은 비용효율을 높이면서 침입방지제품을 선택하고 구축하고 관리할 수 있게 됐다. 말 그대로 실제 현장에서 실질적인 침입방지(RIP, Real Intrusion Prevention)를 구현하게 된 것이다. @