검수요청.png검수요청.png

침입방지시스템

위키원
이동: 둘러보기, 검색

침입방지시스템(IPS; Intrusion Prevention System)은 다양하고 지능적인 침입 기술에 대해 다양한 방법의 보안 기술을 이용해, 침입이 일어나기 전에 실시간으로 침입을 막고 알려지지 않은 방식의 침입으로부터 네트워크호스트 를 보호할 수 있는 차세대 능동형 보안 솔루션이다. 영어 약자로 IPS(아이피에스)라고 한다.

개요[편집]

침입방지시스템은 인터넷 , 멀웨어, 해킹 등 외부로부터의 침입을 방지하고 유해 트래픽을 차단하며 네트워크와 호스트를 보호하는 차세대 능동형 보안솔루션이다. 또한 침입방지시스템은 방화벽과 침입탐지시스템(IDS)의 조합이다. 침입탐지시스템의 기능을 갖춘 침방지시스템의 모듈이 패킷 하나하나를 검사해 그 패턴을 분석한 후, 정상적인 패킷이 아닌 경우 방화벽 기능을 갖춘 모듈로 하여금 해당 트래픽을 차단하게 하는 것이다. 침입방지시스템은 크게 두 가지로 나눌 수 있는데, 네트워크 기반 침입방지시스템과 호스트 기반 침입방지시스템이 있다. 네트워크 기반 침입방지시스템은 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 하고 호스트 기반 침입방지시스템은 서버 애플리케이션을 담당하며 시큐어 운영체제(OS) 등과 비슷한 기능을 수행한다.[1]

등장배경[편집]

인터넷 기술이 발달하면서 악의적인 사용자에 의한 네트워크 공격이 증가하였다. 일반적인 네트워크 장비들은 보안을 고려하지 않은 상태에서 생성되었기 때문에 침입탐지시스템과 방화벽이 생기게 되었다. 처음에는 방화벽과 침임탐지시스템으로 외부로부터의 공격을 방어했는데 기술이 발달하면서 방화벽과 침임 탐지 시스템만으로 해킹, 바이러스 웜의 공격을 막을 수 없다. 그 이유는 바로 속도이다. 해킹, 바이러스, 웜이 공격으로 발전하는데 과거에는 반년에서 일 년의 시간이 걸리던 것이, 지금은 하루아침에 공격이 이루어지기 때문이다. 이를 제로데이공격(Zero Day Attack)이라 부른다. 침입방지시스템의 핵심기술로 가장 중요시되는 것은 급속한 증가가 예상되는 제로데이공격(Zero-day Attack)의 위협에 대한 능동적 대응 기법과 알려지지 않은 공격(Unknown Attack)이나 이상 트래픽(Anomaly Traffic)을 효율적으로 탐지하고 방어할 수 있는 정확한 분석 기능이다. 따라서 이를 탐지하고 방지하기 위해 침입탐지시스템과 방화벽의 조화가 이루어진 차세대 능동형 보안솔루션인 침입방지시스템이 개발되기 시작했다.[1]

특징[편집]

기술체계[편집]

침입방지시스템은 5가지의 기술체계가 있다. 첫 번째, 기술체계는 인라인 네트워크 기반 침입방지시스템(NIDS)이다. 인라인 네트워크 기반 침입방지시스템은 모든 트래픽은 인라인 장비를 통과하며, 취약성에 대하여 패킷을 검사하게 된다. 인라인 네트워크 기반 침입탐지시스템의 능력에 방화벽의 차단능력을 제공한다. 두 번째, 기술체계는 L7 스위치이다. L7 스위치는 복수 서버 간 애플리케이션의 부하 균형을 위하여 주로 사용되고 있다. 이를 위하여 교환이나 라우팅 결정을 위하여 HTTP, DNS, SMTP와 같은 7계층 정보를 검사할 수 있다. 웹 애플리케이션의 경우, 미리 정해진 규칙에 기초하여 특정 요구를 서버로 보내기 위하여 URL을 검사할 수 있다. 이런 장치를 만드는 제조사들은 그들의 제품에 서비스 거부(Denial of Service)공격과 보호와 같은 보안 기능을 추가하기 시작했다. 고성능을 위하여 하드웨어상으로 구축하며, 수 기가비트 트래픽을 취급할 수 있다. 공격을 막기 위해 시그니처 기반 인라인 네트워크 기반 침입방지시스템과 유사하게 동작한다. 단점은 네트워크 기반 침입방지시스템과 비슷하게 알려진 공격에 대해서만 막을 수 있다는 것이나 네트워크 기반 침입방지시스템처럼 시그니처를 쓰기 위한 방법을 제공한다.

세 번째, 기술체계는 애플리케이션 방화벽과 침입탐지시스템이다. 애플리케이션 방화벽과 침입탐지시스템은 솔루션보다는 보통 침입방지 솔루션으로 시장에 나오고 있다. 이 솔루션은 패킷 레벨 정보를 보지 않고, 대신 API(Application Programming Interface) 호출, 메모리 관리, 어떻게 애플리케이션이 운영체제와 상호작용하는지, 어떻게 사용자가 애플리케이션과 상호작용하는지를 본다. 네 번째, 기술체계는 하이브리드 스위치이다. 이 형태는 호스트의 기반 애플리케이션 방화벽과 침입탐지시스템, L7 스위치 사이의 교차 제품이다. 이 시스템은 L7 스위치와 같이 서버 앞에 위치하는 하드웨어이다. 그러나 정규 네트워크 기반 침입방지시스템 형태의 룰 셋을 사용하는 대신에 하이브리드 스위치는 애플리케이션 침입탐색시스템과 방화벽과 비슷한 정책을 사용한다. 마지막 기술체계는 거짓 애플리케이션이다. 이 형태의 기술은 약간의 거짓 실체를 사용한다. 먼저 네트워크 트래픽을 검사하여 애플리케이션 방화벽과 침입탐지시스템의 프로파일링 단계와 유사하게 무엇이 좋은 트래픽인지 판단한다. 그런 후, 그 서버에 존재하지 않거나 적어도 존재하는 서비스에 연결하기 위한 시도를 보면, 공격자에게 대응을 보낸다. 대응은 가짜 데이터와 함께 표시하고 공격자가 들어와서 서버를 이용하고자 할 때, 침입방지시스템은 표시된 데이터를 보고 공격자로부터의 모든 트래픽을 막게 된다.[2]

멀웨어[편집]

사용자의 컴퓨터를 감염 시켜 정보를 유출하거나 파괴하기 위해 설계된 소프트웨어 및 코드인 다양한 종류의 멀웨어가 존재하며, 침입방지시스템은 해킹 트래픽 탐지 및 웜 트래픽 차단 등의 역할을 한다. 악성코드의 가장 일반적인 형태인 컴퓨터 바이러스(virus)는 대부분의 사람들이 악성코드와 혼용하여 사용한다. 바이러스는 매우 형태가 다양하며, 그 종류에 따라 중앙처리장치 사용부터 메모리 점유, 데이터 손상, 시스템 작동 방해에 이르기까지 다양하고 광범위한 곳에 영향을 끼칠 수 있다. 바이러스의 가장 큰 특징은 전염성으로, 기회만 되면 스스로를 복제하여 다른 파일을 감염시키고 피해 범위를 확대하려 한다. 바이러스는 이메일이나 USB 등을 통해 다른 컴퓨터로도 전파될 수 있다. (worm)은 네트워크를 통해 전파되면서 가능한 많은 컴퓨터를 감염시키는 형태의 악성코드이다. 바이러스와 달리 웜은 파일 자체에 직접적인 피해를 주기보다 네트워크 트래픽에 영향을 미치려는 목적이 크다. 따라서 웜의 유포자는 웜에 감염된 컴퓨터 클러스터를 이용에 대규모 사이버 공격을 일으킬 수 있다.

루트킷(rootkit)은 사용자가 모르게 컴퓨터 운영 권한에 접근할 수 있도록 하는 악성코드 키트(kit)라고 할 수 있다. 즉, 정상적인 인증 과정을 거치지 않고 우회하여 운영체제나 소프트웨어에 접근할 수 있는 악성코드 집합으로, 백도어, 트로이목마 등이 포함된다. 루트킷은 바이러스나 웜과 달리 다른 파일을 복제하거나 감염시키지는 않지만, 스파이웨어나 애드웨어, 랜섬웨어 등을 함께 들여와 사용자에게 피해를 입힌다. 루트킷 감염에는 소셜 엔지니어링와 이전에 설치된 백도어 프로그램이 이용될 수 있으며, 웹사이트의 콘텐츠 관리 시스템과 같이 패치되지 않은 보안 취약점이 있는 프로그램은 백도어 공격의 매개 변수가 될 수 있다. 이에, 침입방지시스템은 네트워크 트래픽을 모니터링하여 보안 위반 및 멀웨어 감염이 발생했는지 확인한다. 해당되는 경우에는 추가 손상을 방지하기 위해 네트워크 관리자가 미리 결정한 경우에 개입 할 수 있다.[3]

침입방지시스템은 악의적인 요청을 제거하기 위해 시스템의 들어오는 트래픽을 사전에 검사하여 침입탐지시스템 구성을 보완한다. 일반적인 침입방지시스템 구성은 웹 응용 프로그램 방화벽과 트래픽 필터링 솔루션을 사용하여 응용 프로그램을 보호한다. 또한, 침입방지시스템은 악의적인 패킷을 삭제하고, 아이피를 공격하지 못하도록 차단하여 멀웨어의 위협에 대해 보안 담당자에게 경고한다. 이러한 시스템은 일반적으로 서명 인식에 기존 데이터베이스를 사용하여 트래픽과 동작 이상을 기반으로 공격을 인식하도록 프로그래밍할 수 있다. 침입방지시스템은 공격 벡터를 효과적으로 차단하는 한편, 일부 시스템에는 제약이 있다. 이는 일반적으로 사전 정의된 규칙에 과도하게 의존하여 발생하며, 오 탐지 가능성이 높다.[4]

  • 랜섬웨어(ransomware) : 컴퓨터에 저장된 파일에 락을 걸고 몸값을 요구하는 악성코드이다. 랜섬웨어에 감염된 파일은 해커만이 풀 수 있도록 암호화되며, 비트코인 등을 대가로 지불해야만 잠금을 푸는 키를 받을 수 있다. 랜섬웨어는 가장 유행하고 있는 악성코드지만 예방과 치료, 복구가 모두 쉽지 않아 최악의 악성코드라 불리기도 한다. 랜섬웨어는 스팸 사이트, 의심스러운 첨부파일, 소셜 엔지니어링(피싱, 스미싱 등) 등을 통해 감염될 수 있다. 랜섬웨어에 대비하기 위해선 주기적으로 주요 문서를 백업하고, 주백신과 충돌하지 않으면서도 랜섬웨어 감지에 특화된 보조백신을 사용하는 것이 좋다.[3]
  • 애드웨어(adware) : 백신 프로그램을 사용해도 지속적으로 광고가 팝업되는 등 악성코드가 제거되지 않는 느낌이 든다면 백신을 우회하는 악성코드, 혹은 악성코드로 인식되지 않는 소프트웨어 때문이다. 애드웨어는 기술적으로 악성코드의 범주에 들지 않지만 PUP(Potentially Unwanted Program)로 분류되어 PC 보안에 부정적인 영향을 미친다. 애드웨어는 비윤리적인 마케팅의 파생품으로, 주로 무료로 배포되는 소프트웨어와 함께 다운로드된다. 애드웨어는 사용자를 무차별적으로 광고에 노출시킬 뿐만 아니라 다른 악성코드의 유포 수단이 되기도 한다.[3]
  • 스파이웨어(spyware) : 사용자의 정보를 비밀리에 수집하여 제3자에게 전송하는 악성코드이다. 스파이웨어가 수집하는 정보는 주로 방문한 웹사이트, 브라우저, 시스템 정보 및 IP 주소 등, 마케팅 수단으로 거래될만한 내용이 많다. 그러나 악의적인 것들은 로그인 정보나 신용정보 같은 민감한 개인정보를 빼내 해킹에 사용하기도 한다. 사용자가 누른 키를 기록하는 키로거 역시 스파이웨어의 한 종류로, ID와 패스워드, 카드 번호 등을 수집해 해커에게 전송한다. 만일 키로거에 감염된 이력이 있다면 로그인 정보를 비롯한 주요 정보를 모두 수정하거나 다중요소인증(MFA)을 사용해 피해를 예방해야 한다.[3]
  • 봇넷(botnet) : 악성코드인 봇에 감염된 PC 네트워크이다. 봇에 감염된 PC는 해커에 의해 원격 조종될 수 있어 흔히 말하는 좀비 PC 상태가 된다. 해커는 주로 수십에서 수십만 대의 PC를 봇에 감염시킨 뒤, 이들에게 명령을 내려 동시에 특정 호스트에 네트워크 요청을 보내도록 한다. 그러면 트래픽 과부하가 발생하게 되는데, 이를 분산 서비스 거부 공격(DDoS)이라고 한다. 봇넷은 스파이에웨어와 유사한 방식으로 감염및 작동하여 사용자는 자신의 PC가 감염되거나 공격에 사용되어도 그 여부를 알기가 쉽지 않다.[3]

장점[편집]

침입방지시스템은 탐지 능력과 차단 능력을 결합한 것으로, 알려지지 않은 공격 패턴에 효과적인 대응을 함과 동시에 명백한 공격에 대해서는 사전 방어 조치를 취함으로써 다음과 같은 장점을 가진다. 우선 방화벽에서 취약한 요소를 보완할 수 있는 2단계의 방어 방화벽,침입방지시스템을 제공한다. 또한, 도스(Dos)와 디도스(DDos) 등과 같은 공격을 차단함으로써 보안 인프라와 네트워크의 영향을 제거하고 공격에 대한 조사로 인해 소용되는 관리자 운영 부담을 없앤다. 마지막으로 차단은 TCP 리셋 기능처럼 TCP에 한정되지 않고 아이피, TCP, UDP 등 모든 트래픽을 대상으로 한다. 정확하게 탐지하고 공격을 정밀하게 차단하는 인라인 장치, 라인 속도로 동작하여 네트워크 성능 또는 가용성에 악영향을 주지 않음, 보안관리 환경 안에 통합, 미래의 공격에 대한 방어를 쉽게 수용, 빠른 투자회수가 가능하도록 효과적인 비용이어야 비로소 침입방지시스템의 자격을 갖추게 된다.[2]

보안성 품질평가

보안성이란 권한이 없는 사람 또는 시스템은 정보를 읽거나 변경하지 못하게 하고, 권한이 있는 사람 또는 시스템은 정보에 대한 접근이 거부되지 않도록 정보를 보호하는 소프트웨어의 능력을 의미한다. 품질평가 기준으로는 총 7가지가 있다. 보안성은 보안감사, 접근 통제 가능성 등의 평가항목을 가진다.[2]

  • 보안감사성 : 보안과 관련된 행동에 대한 책임을 추적하기 위해 지식정보보안 제품에서 발생하는 관련 사건들의 감사 레코드를 생성, 기록, 검토하고 감사 된 사건에 대한 잠재적 보안 위반을 탐지하고 대응행동을 수행하는 능력을 의미한다. 보안감사성은 보안 경보, 감사 데이터 생성, 잠재적 위반 분석, 감사 검토, 감사증적 저장소 보호, 대응 행동, 손실 방지의 평가항목을 가진다. 보안 경보는 보안위반탐지 시 대응행동의 목록을 취하는가를 평가하고 감사 데이터 생성은 규정된 감사데이터를 생성하는지를 평가, 잠재적 위반 분석은 사건을 검사 시, 규칙집합을 적용하고 규칙에 기반을 두어 잠재적 위반을 지적할 수 있는지를 평가한다. 그리고 감사 검토는 인가된 관리자가 감사 레코드로부터 모든 감사데이터를 읽을 수 있는지를 평가하고 저장소 보호는 인가되지 않은 삭제로부터 감사 레코드를 보호하는지 평가, 대응행동은 감사 데이터가 한도를 초과할 경우, 관리자에게 통보하고 대응행동을 취하는지에 대해 평가를한다. 마지막으로 손실 방지는 감사 증적이 포화인 겨우, 감사 저장 실패 시 취해야 할 행동을 수행하는지에 대해 평가를 한다.[2]
  • 식별 및 인증 : 해당 정보보호 제품의 관리자를 포함한 사용자의 신원을 식별 및 인증하고 인증 실패 시 대응 행동을 제공하는 능력을 의미한다. 식별 및 인증은 인증실패 처리, 사용자 보안속성 유지, 사용자 인증, 재사용 방지, 사용자 식별 등의 평가항목을 가진다. 인증실패 처리는 인증실패를 탐지하고 대응행동을 수행하는지를 평가하고, 사용자 보안속성 유지는 각 사용자에 대해 규정된 보안속성 목록을 유지하는지 평가, 사용자인증은 사용자에게 행동을 허용하기 전에 사용자를 성공적으로 인증하는지를 평가한다. 그리고 재사용 방지는 인증 데이터의 재사용을 방지하는지를 평가하고, 사용자 식별은 사용자에게 행동을 허용하기 전에 각 사용자를 성공적으로 식별하는지를 평가한다.[2]
  • 보안관리성 : 해당 지식정보보안 제품의 보안기능, 보안속성, 보안 관련 데이터, 보안 역할 등과 관련된 사항을 관리하는 능력을 의미한다. 보안관리성은 보안기능 관리, 보안속성 관리, 데이터 관리, 데이터 한계치의 관리, 관리기능 수행, 관리자 역할 유지 등의 평가항목을 가진다. 보안기능 관리는 인가된 관리자만 보안기능을 관리할 수 있도록 제한하는지를 평가하고, 보안 속성 관리는 보안속성의 디폴트값을 제공하도록 강제하는지를 평가, 데이터 관리는 식별 및 인증 데이터의 관리를 인가된 관리자로 제한하는지를 평가한다. 그리고 한계치 관리는 검사 저장소 용량, 실패한 인증 시도 횟수, 자체 시험이 발생하는 시간 간격에 대한 한계치의 관리는 인가된 관리자로 제한하는지를 평가한다. 마지막으로 관리기능 수행은 규정된 관리 기능을 수행하는지를 평가한다.[2]
  • 보안기능 보호 : 보호란 주기적 또는 관리자의 요구에 따라 무결성을 검증하는 능력을 의미한다. 보호는 데이터 변경 탐지, 자체 시험의 평가항목을 가진다. 데이터 변경 탐지는 전송 중인 모든 보안 관련 데이터의 변경 및 위조를 탐지하는 능력을 제공하는지를 평가하고, 자체 시험은 데이터 및 실행코드의 무결성을 검증하기 위해 자체 시험을 실행할 수 있는가를 평가한다.[2]
  • 접근통제성 : 시스템이 정보흐름을 중재하기 위해 관련 보안 정책에 기반하여 패킷필터링 등을 통하여 외부망으로부터 내부망을 보호하는 능력을 의미한다. 접근 통제성은 세션 잠금의 평가항목을 가진다. 세션 잠금은 사용자 비활동 기간 후 상호작용하는 세션을 잠가 활동을 무력화 시키는지 평가한다.[2]
  • 침입방지성 : 시스템이 보안을 위협하는 침입 행위가 발생할 경우 이를 방지하는 능력을 의미한다. 침입방지는 정보수집, 침입분석, 침입대응, 침입방지 결과 보호, 대응행동, 손실방지 등의 평가항목을 가진다. 정보수집은 보호대상시스템으로부터 침입방지를 위해 필요한 정보를 수집하는지를 평가하고 침입분석은 수집 데이터에 기반하여 정해진 분석 기능을 수행하는지 평가한다. 침입대응은 보안위반 가능성 및 사실을 탐지하였을 경우 수행해야 할 활동을 수행하는지 평가, 침입방지 결과보호는 인가되지 않은 삭제로부터 지정된 침입방지 결과를 보호하는지를 평가한다. 마지막으로 대응행동은 침입방지 결과에 대한 손실이 예측될 때 필요한 대응행동을 수행하는지 평가하고 손실방지는 침입방지 결과 기록을 위한 저장소가 포화하거나 기타문제 발생 시 취해야 할 행동을 수행하는지를 평가한다.[2]
  • 준수성 : 보안성과 관련된 표준, 관례 또는 법적 규제 및 유사한 규정을 고수하는 소프트웨어 제품의 능력을 의미한다. 준수성은 보안성 표준 준수율의 평가항목을 가진다. 보안성 표준 준수율은 침입방지시스템의 보안성 관련 표준, 기준 및 지침에 따라 시스템이 구현되어 있는지를 규정을 준수하는 항목의 수수성 및 준수성 관련 항목의 수로 평가한다.[2]

종류[편집]

침입탐지시스템[편집]

침입탐지시스템(IDS)은 시스템과 네트워크 작업을 분석하여 권한이 없는 사용자가 로그인하거나 악의성 작업이 있는지 찾아내는 활성 프로세스 및 장치를 말한다. 침입탐지시스템이 예외적인 작업을 찾아내는 방법은 다양하다. 그러나, 모든 침입탐지시스템의 궁극적인 목적은 침입자가 시스템 자원에 심각한 손상을 끼치기 전에 범인을 찾아내는 것이다. 침입탐지시스템은 시스템 공격, 오용이나 침입을 방지한다. 또한, 네트워크 활동을 감시하고 네트워크와 시스템 설정에 취약점이 있는지 확인하며 데이터 무결성을 분석하는 등의 다양한 작업을 수행할 수 있다. 사용자가 사용하는 탐지 방법에 따라서 침입탐지시스템을 사용함으로써 여러 가지 직접적인 혜택과 간접적인 혜택을 받을 수 있다.[5]

또한, 정보 시스템의 보안을 위협하는 침입 행위가 발생할 경우에는 이름 탐지 및 적극적으로 대응하기 위한 시스템이다. 특히, 침입 차단을 목적으로 하는 방화벽과는 달리 각종 해킹 수법을 이미 자체에 내장하고 있어 침입 행동을 실시간으로 감지, 제어, 추적할 수 있다. 해킹 사실이 발견되면 해킹에 관한 정보를 이동전화, 전자우편 등으로 즉시 전송하고, 네트워크 관리자가 없을 경우에도 24시간 시스템 보안을 유지해 준다. 내부 정보의 유출도 사전에 탐지해 미리 차단하고, 침입을 시도한 해커에 대해서는 침투경로까지 추적해 찾아내며, 데이터를 안전한 곳으로 전환시켜 놓는 등 방화벽의 수동적인 대처와는 달리 적극적인 대응을 한다.[1]가기.png 침입탐지시스템에 대해 자세히 보기

무선 침입방지시스템[편집]

무선 침입방지시스템(WIPS)은 무선랜의 모든 취약점 및 모든 위협에 대해 탐지하는 시스템이다. 기업의 사내 무선랜 사용자와 단말기를 자동으로 탐지 및 분류해 보안정책에 따라 관리하고 주변에 불법적으로 설치되어 있거나 침입을 시도하는 공격자의 위치까지도 실시간으로 찾아내 사전에 위험요소를 제거할 수 있는 보안 조치를 수행하는 솔루션이다. 무선침입방지시스템은 무선랜 모든 장치, 채널 및 트래픽을 지속해서 탐지하고 무선랜 취약점을 관리자에게 경고 및 보고를 하고 해킹 공격 위협에 대해 자동으로 탐지하고 무선으로 차단한다. 마지막으로 유선 구간의 위협 차단뿐 아니라 전체 네트워크에 대한 위협으로부터 자동방어하는 특징을 가지고 있다. 무선 침입방지시스템의 구성 요소인 센서는 하드웨어 기반으로 공격 탐지와 차단 및 통보가 가능하며, 전체 무선 트래픽 스캐닝을 통한 분석이 가능하다. 탐지 유형으로는 위장 응용 소프트웨어 공격 탐지, 응용 소프트웨어 단말 도스 탐지, 접속정보 혼란 탐지 등이 있다. 무선 침입방지시스템의 서버는 보안 센서가 연동되어 이벤트 자동분석 및 통지할 수 있으며, 센서 분석 결과를 저장할 수 있고, 경고 발령도 가능하다. 탐지 유형으로는 불법 무선장비 탐지 및 차단, 애드혹(Ad-hoc) 연결 차단 등이 있다. 또한, 무선 침입방지시스템의 콘솔은 무제한 콘솔지원과 SSLTLS 보안 접속을 지원하고, 보안정책과 사용자 관리 및 탐지와 차단을 통제 관리할 수 있다. 감시 상태의 화면도 출력 가능하다. 탐지 유형으로는 무선 랜 상태 모니터링, 위협정보 수집 분석, 침입 탐지 대응 등이 있다.[6]

네트워크 침입방지시스템[편집]

네트워크 침입방지시스템(NIPS)은 컴퓨터 네트워크를 무단 액세스와 악의적인 활동으로부터 보호하는 하드웨어와 소프트웨어 시스템을 합친 용어이다. 네트워크 침입방지시스템 하드웨어는 전용 네트워크 침입탐지시스템(NIDS) 장치, 침입방지시스템(IPS) 장치, 침입방지 및 탐지 시스템(IPDS)과 같은 두 장치의 조합으로 구성될 수 있다. 네트워크 침입방지시스템은 침입만 탐지할 수 있지만, 침입방지시스템은 방화벽 설정 변경, 특정 인터넷 프로토콜 아이피 주소 차단 및 특정 패킷 완전 삭제와 같은 확립된 규칙을 준수하여 공격을 능동적으로 중지할 수 있다. 네트워크 침입방지시스템의 소프트웨어 구성요소는 대시보드 및 기타 데이터 시각화 도구 외에도 다양한 방화벽, 스파이퍼 및 바이러스 백신 도구로 구성되어 있다. 네트워크 침입방지시스템은 조직의 컴퓨터 네트워크에 비정상적인 트래픽 패턴이 있는지 지속적으로 모니터링하고, 이벤트 로그를 생성하여 시스템 관리자에게 중요한 이벤트를 경고하며, 가능한 경우에는 잠재적인 침입을 차단한다. 또한, 네트워크 침입방지시스템은 내부 보안 감사 및 컴플라이언스 규정에 대한 문서 제공에 유용하다. 스파이웨어(Spyware), 바이러스, 공격은 계속 증가하고 있어 컴퓨터 네트워크를 타협으로부터 보호하기 위해 함께 작동하는 보안 시스템의 계층화된 조합이 필요하다. 네트워크 침입방지시스템은 허가받지 않은 사람이 접근할 수 있는 모든 컴퓨터 네트워크에 필수적이다. 민감한 데이터를 보관하는 컴퓨터는 항상 보호가 필요하지만, 겉보기에는 하찮아 보이는 네트워크조차 봇넷 공격에 이용하기 위해 하이재킹될 수 있다.[7]

호스트 침입방지시스템[편집]

호스트 침입방지시스템(HIPS)은 타사 소프트웨어 도구에 의존하여 악의적인 활동을 식별하고 방지하는 보안 접근 방식이다. 호스트 침입방지시스템은 일반적으로 엔드포인트 장치를 보호하는 데 사용된다. 일단 악의적인 활동이 감지되면 호스트 침입방지시스템 도구는 컴퓨터 사용자에게 알람 보내기, 향후 조사를 위한 악의적인 활동 기록, 연결 재설정, 악의적인 패킷 삭제, 의심스러운 아이피 주소로부터의 후속 트래픽 차단 등 다양한 조치를 취할 수 있다. 일부 호스트 침입방지시스템은 사용자가 악성 활동 로그와 의심스러운 코드 조각들을 직접 벤더에 보내 분석과 가능한 식별을 할 수 있다. 대부분의 호스트 침입방지시스템은 악의적인 활동을 식별하기 위해 서명이라고 불리는 알려진 공격 패턴을 사용한다. 서명 기반 탐지는 효과적이지만 알려진 공격으로부터만 호스트 장치를 보호할 수 있다. 그것은 제공자의 데이터베이스에 아직 없는 제로데이 공격이나 서명으로부터 보호할 수 없다.

호스트 침입방지시스템의 접근방식은 정상 활동의 기준선을 설정한 다음 현재 활동을 기준선과 비교한다. 호스트 침입방지시스템은 대역폭, 프로토콜 및 포트의 편차를 포함한 이상 징후를 찾으며, 활동이 허용되는 범위를 벗어나는 경우에는 침입이 진행 중일 수 있다. 그러나, 대역폭 사용이 갑자기 급증하는 것과 같은 이상 징후는 실제 공격을 보장하지 않기 때문에 이 접근법은 교육받은 추측에 해당하여 가긍정적 판단의 가능성이 높을 수 있다. 또한, 공통 침입 탐지 방법은 네트워크를 통과하는 패킷의 실제 프로토콜을 평가하기 위해 상태 저장 검사를 사용한다. 멀웨어 방지 도구가 각 프로토콜의 상태를 추적하기 때문에 분석을 상태 저장이라고 한다. 예를 들어, TCP와 UDP 패킷이 DNS, SMTP, HTTP 및 기타 프로토콜을 어떻게 전달할 수 있는지와 각 프로토콜의 각 패킷 내에 어떤 값을 포함해야 하는지 또는 포함하지 않아야 하는지 등이다. 상태 저장 프로토콜 분석은 프로토콜 내용의 정상적인 상태로부터의 편차를 찾고 예기치 않은 편차가 발생할 때 가능한 공격에 플래그를 표시할 수 있다. 상태적 분석은 실제 패킷 내용을 더 잘 알기 때문에 통계적인 이상 탐지보다 가긍정적 판단 가능성이 다소 낮다.[8]

비교[편집]

  • 침입방지시스템(네트워크, 호스트)
네트워크 및 호스트 침입방지시스템 비교
항목 네트워크 침입방지시스템(NIPS) 호스트 침입방지시스템(HIPS)
목적 네트워크 공격시도 차단 시스템의 오남용 및 해킹시도 차단
설치위치
  • 네트워크의 물리적, 논리적 경계지점
  • 인라인(InLine)방식으로 설치
  • 호스트에 설치하여 침입 탐지
  • 별도의 에이전트 설치
분석데이터 네트워크 접속과 트래픽 분석 운영체제와 애플리케이션 로그 분석
장점
  • 네트워크 경계 지점의 싱글 포인트 관리 편의성
  • 별도 네트워크 부하 발생이 없음
  • 호스트 및 애플리케이션 계층의 방어 가능
  • 장애 발생시 하나의 호스트에 국한됨
단점
  • 인라인 방식으로 장애 발생시 네트워크 마비 발생
  • 호스트 및 애플리케이션 등의 상위 OSI 7 계층에 대한 방어 한계
  • 별도의 에이전트 설치 필요
  • 다수의 호스트의 분산된 에이전트 관리 부하 발생
  • 호스트의 부하 발생
  • 침입시스템(방지, 탐지)
침입시스템 비교
항목 침입탐지시스템(IDS) 침입방지시스템(IPS)
목적 침입 시도의 탐지 침입 시도의 탐지 및 차단
설치 패시브 모드로 침입탐지 시스템 구성 인라인 모드로 침입방지 시스템 구성
장점
  • 침입탐지 이벤트에 대한 가시성 우수
  • 감사요구사항을 만족하기 위한 정보 제공
  • 침입탐지시스템의 장애가 네트워크 등 서비스 장애와 독립적임
  • 낮은 구축 및 운영 비용
  • 알려지지 않은 공격에 대한 방어 가능
  • 자동적인 사고 대응으로 비용 감소
  • 공격의 탐지 및 실시간 차단 가능
단점
  • 이벤트 감시와 사고대응에 인간 개입필요
  • 사고대응 계획이 없으면 침입탐지시스템은 보안 가치를 제공하지 못함
  • 오탐율을 낮추기 위해서는 광범위한 튜닝 필요
  • 네트워크 코어에서 네트워크 침입방지시스템의 전개 비용이 높음
  • 단일 실패점을 생성하여 장애의 원인이 될수 있음
  • 정상적인 행위 차단의 위험
  • 높은 구축 및 운영비용
  • 효과적인 보안 업데이트를 여전히 요구함
가상사설망

가상사설망(VPN)은 인터넷 트래픽을 암호화하고 온라인 아이디를 보호하는 서비스인 가상사설망을 의미하다. 가상사설망을 사용하면 전 세계 어디서나 앱과 웹사이트, 엔터테인먼트 플랫폼에 안전하게 액세스할 수 있다. 가상사설망을 통해 인터넷 검색을 하면 트랙픽이 암호화된다. 그리고 인터넷 사용자가 온라인에서 무엇을 하는지 그 누구도 알 수 없으며, 어떤 식으로든 온라인 탐색을 방해할 수 없다. 인터넷 검열도 우회할 수 있다. 원격 서버에 연결하면 글로벌 인터넷에 쉽게 액세스 할 수 있다. 가상사설망은 공공 와이파이를 정기적으로 사용해야 하는 경우에는 차단된 웹사이트에 액세스하고자 할 때, 데이터를 암호화하고자 할 때, 정부 감시를 피하고 싶은 경우, 사용자가 자신의 위치를 숨기고 싶을 경우, 파일 공유 서비스 사용할 경우에 사용한다.[9]

또한, 가상사설망은 논리적으로 경로를 확립하여 보안적 측면에서 터널링, 인증, 암호화 같은 기능을 제공한다. 퍼블릭 네트워크 상에서 논리적인 유저그룹을 구성 및 다양한 기능의 서비스를 제공하는 네트워크의 형태이며, 가상사설망의 특성과 이점을 유지하여 비용을 획기적으로 절감할 수 있는 대안이다. 독점적인 사용으로 높은 수준의 보안성도 제공한다. 가상사설망은 회선 비용 절감, 암호화 통신으로 보안성 강화, 네트워크 확장성 등을 특징이다.[1]

활용[편집]

임퍼바[편집]

임퍼바(Imperva) 클라우드 웹 애플리케이션 방화벽(WAF) 침입방지솔루션은 제로데이(zero-day) 및 기존의 웹 애플리케이션 보안 위협을 차단하는 동시에 가긍정적 판단(false positive)을 줄이는 완벽한 사용자 지정 툴이다. 웹 애플리케이션 방화벽은 네트워크 중심에 구축된 클라우드 기반 방화벽이다. 원격파일 포함 및 에스큐엘(SQL) 적용을 비롯한 악의적인 수신 요청과 응용프로그램 공격을 필터링하는 서명, 평판, 행동 접근 분석을 통해 기존 침입방지시스템을 강화한다. 액세스 제어, 동적 프로파일링 및 애플리케이션 인식 기술과 같은 고급 기능은 가긍정적 판단을 최소화 하는데 도움이 된다. 또한, 글로벌 크라우드소싱은 새로운 위협의 데이터베이스를 지속적으로 업데이트하여 제로데이의 위협으로부터 보호한다. 임퍼바의 사용자 지정 규칙으로, 인캡슐라(IncapRules)는 고유한 보안 및 액세스 제어 정책을 구현할 수 있도록 지원하여 임퍼바 클라우드 웹 애플리케이션 방화벽 기능을 확장한다. 이러한 높은 수준의 사용자 정의는 조직에 특정한 숨겨진 위협을 근절하는 동시에 가긍정적 판단을 최소화한다. 또한, 이중인증(2FA)은 사용자가 계정에 로그인할 때 모바일 기기로 전송되는 암호와 일회용 비밀번호(OTP) 등 두 가지 검증 수단을 제공해야 하는 보안 프로세스이다. 응용 프로그램의 중요한 데이터에 추가 보호 계층을 추가하여 침입 방지 기능을 강화할 수 있다. 임퍼바 클라우드 웹 애플리케이션 방화벽을 사용하면 웹 애플리케이션의 모든 URL에 대해 이중인증 게이트웨이를 배포할 수 있다. 이 솔루션은 완전히 사용자 정의가 가능하여 인증 방법을 선택하고 승인된 사용자의 데이터베이스를 쉽게 관리할 수 있다. 또한, 초 단위로 구성할 수 있어 코드 변경 및 추가 통합이 필요없다.

임퍼바의 백도어 보호 기능으로, 침입탐지시스템 구성은 일반적으로 멀웨어 서명을 기반으로 백도어를 식별한다. 대부분의 공격자가 모든 인식을 피하기 위해 백도어 셸의 코드와 별칭을 난독화하여 중간조치 정도이다. 임퍼바 클라우드 웹 애플리케이션 방화벽 백도어 보호는 단순히 코드 서명을 검색하는 대신 숨겨진 백도어 셸로 연결 요청을 가로채 이 문제를 해결한다. 이러한 요청은 위장이 불가능하여 모니터링을 통해 시스템 내의 백도어를 빠르게 식별할 수 있다.[4]

  • 방화벽(Firewall)
방화벽은 수신및 발신 네트워크 트래픽을 모니터링하고 정의된 보안 규칙 집합을 기준으로 하여 특정 트래픽의 허용 또는 차단을 결정하는 네트워크 보안 디바이스이다. 방화벽은 25년이 넘는 기간 동안 네트워크 보안의 1차 방어선에서 사용되었다. 방화벽은 신뢰할 수 있는 안전하고 통제된 내부 네트워크와 인터넷과 같이 신뢰할 수 없는 외부 네트워크 사이에 장벽을 설치힌다. 방화벽은 하드웨어, 소프트웨어 또는 두 가지 모두의 형태일 수 있다. 대표적으로 프록시 방화벽, 스테이트풀 인스펙션 방화벽, 통합위협관리(UTM) 방화벽, 차세대 방화벽(NGFW), 위협 중심 차세대 방화벽 등의 유형이 있다. 프록시 방화벽은 특정 애플리케이션을 위한 네트워크 사이의 게이트웨이 역할을 한다. 프록시 서버는 네트워크 외부에서의 직접 연결을 차단함으로써 콘텐츠 캐싱 및 보안 등의 부가적인 기능을 제공할 수 있다. 그러나 그만큼 성능 및 지원 가능한 애플리케이션에 영향을 미칠 수 있다. 스테이트풀 인스펙션 방화벽은 상태, 포트 및 프로토콜에 따라 트래픽을 허용하거나 차단한다. 이 방화벽은 연결이 시작되는 시점부터 끝날 때까지 모든 활동을 모니터링한다. 관리자가 정의한 규칙과 상황 정보를 모두 확인한 후 필터링 여부가 결정된다. 상황 정보란 동일한 연결에 속한 패킷과 이전 연결의 정보를 사용한다는 의미이다. 통합위협관리 방화벽은 일반적으로 스테이트풀 인스펙션 방화벽과 침입 방지 및 안티바이러스 솔루션의 기능을 결합한 형태이다. 또한 클라우드 관리와 같은 부가적인 서비스를 포함할 수 있다. 통합위협관리의 주요 장점은 단순한 기능과 간편한 사용법이다.[10]

사례[편집]

광주시청

광주시청은 전산상으로 2개의 구역을 분리해 체계적인 정보관리를 하고 있어, 보안정책, 보안시스템 구축 시에도 각기 다른 방향으로 접근하고 있다. 2개 분리 구역은 광주시청의 내부 핵심 구간인 B 구간과 읍, 면, 동 사업소, 남한산성 등을 연결하는 A 구간이다. 두 구간과 인터넷 및 경기도청 행정망을 연결하는 구역에 각각 스나이퍼 침입방지시스템을 구축해 자체 구조에 적합한 보안정책 설정과 침입방지시스템을 통한 대응으로 보안성을 강화했다. 광주시청은 침입방지시스템의 필요성은 인지하고 있었지만, 구축 후 망 구조의 변화와 트래픽 성능 저하를 우려했다. 이에 윈스테크넷은 기존 네트워크의 라우터와 스위치 사이에 침입방지시스템을 설치하는 물리적 망구성과 패킷 우회경로 지정기능을 적용한 논리적 망구성을 병행해 광주시청 네트워크 특성에 효과적인 보안정책을 제시했다. 침입방지시스템을 경유하도록 연결을 재구성하는 것 이외에 어떠한 물리적인 변경도 하지 않아, 공공기관으로서의 업무 연속성을 유지하면서도 적극적인 보안정책 설정이 가능해졌다. 또한, 감시 및 차단 대상 네트워크에 어떠한 패킷도 발생시키지 않고, 스나이퍼 침입방지시스템을 통과한 정상 패킷에 대해서는 맥 어드레스(Mac address)를 포함한 변경도 일으키지 않음으로써 신규 시스템 설치로 인한 네트워크 정상작동 방해 가능성을 제거했다. 침입방지시스템의 FOD(Fail Over Device) 기능을 적용해 네트워크 단절을 복구와 네트워크의 안정성을 높였다.[11]

구리시청

구리시청과 같은 지방자치단체는 상위 관청의 통합 전산망의 일부로 규모는 작지만, 크고 작은 기관을 관리하고 있어 자체적 보안관리가 중용해짐에 따라 침입방지시스템을 도입했다. 구리시청은 시청에 관련된 기밀정보, 시민 개개인의 신상에 관한 중요정보를 보관하고 타 관공서간에 중요한 자료들이 네트워크상에서 교환되는 등 철저한 보안이 시급한 상황이었다. 구리시청은 침입방지시스템 도입의 가장 큰 효과로 내부정보 유출을 원천적, 능동적으로 차단할 수 있는 점을 꼽는다. 또 불필요하게 네트워크 자원을 소모시키는 트래픽을 해소하고 세션상태 실시간 체크, 차단, 탐지정보, 네트워크 자원 소모량, 트래픽 원인 파악 등의 리포팅으로 네트워크상의 문제점을 제거하고 보다 빠르게 안전한 서비스를 제공할 수 있어 만족하고 있다.[11]

숭실대학교

숭실대학교 전산원은 바이러스, 웜, 트로이 목마 드으이 공격으로 인한 트래픽 부하로 하루에도 여러 번씩 네트워크 다운에 시달렸다. 컴퓨터 실습실은 많은 학생들이 공통으로 사용하다 보니 설치해놓은 백신 소프트웨어를 임의대로 삭제해 바이러스나 웜에 무방비 상태로 노출되었다. 지적 호기심이 강한 일부 학생들은 바이러스나 웜을 만들어 유포하기도 하고, 내부 서버 해킹을 시도하는 등 보안상의 다양한 문제가 나타나 이를 해결하기 위해 각각의 모듈이 하나의 기본 엔진에 통합된 하드웨어 일체형 통합 보안 제품 포티게이트-500을 도입했다. 전산원은 포티게이트-500의 기능 중 바이러스월, 침입방지시스템, 서비스 품질(QoS), 방화벽 기능만을 사용하고 있다. 방화벽은 30개의 정책을 적용해 수문장 역할을, 침입방지시스템은 해킹 트래픽 탐지 및 웜 트래픽 차단 역할을 한다. 숭실대학교 전산원은 포티게이트-500을 설치한 이후 단 한 번도 웜이나 바이러스에 의해 네트워크가 다운된 적이 없다. 2003년 최고의 악성 코드로 꼽히는 소빅, 두마루의 출현에도 전산원의 네트워크는 안전하게 유지되고 있다.[11]

한미은행

한미은행(Hanmi Bank)은 외부에서 발생하여 금융권으로 들어오는 각종 바이러스와 악의적인 공격에 방어하고 내부에서 발생하는 유해 트래픽을 감지, 차단하고자 침입방지시스템 구축사업을 진행하였고, 애플리케이션 스위치를 도입했다. 애플리케이션 스위치는 네트워크상에 일어나는 IP나 웹서비스 애플리케이션에 대해 멀티 기가비트 속도의 보안성을 제공하는 다기능 장비로써 포괄적인 트래픽 전달과 실시간 침입방지 기가비트 소고의 도스, 디도스 공격 차단기능을 제공한다. 구축 후에는 새로운 바이러스 패턴에 대한 자동 업데이트로 항상 최적의 보안상태를 유지할 수 있을 것 이다.[11]

관련 용어[편집]

  • 트래픽(traffic) : 전화나 인터넷 연결선으로 전송되는 데이터의 양을 말한다. 트래픽 양이 많다는 것은 전송되는 데이터의 양이 많다는 것을 뜻한다. 전화로 통화를 할 때도 트래픽이 발생한다. 재해가 일어나거나 어떤 사건, 사고가 일어나서 갑자기 많은 사람들이 전화를 걸면 회선의 사용이 갑자기 증가하면서 트래픽 초과 현상이 일어나기도 한다. 트래픽이 너무 많으면 서버에 과부하가 걸려서 기능에 문제가 생기기도 한다. 이러한 상황이 발생하면 서버의 트래픽이 줄어들거나 초기화될 때까지 웹페이지에 접속하기 어려워진다.[12]
  • 디도스(DDos) : 수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 단시간 내에 과부하를 일으키는 행위를 뜻한다. 공격자들은 서버나 네트워크 대역이 감당할 수 없는 많은 양의 트래픽을 순간적으로 일으켜 서버를 마비시키는데, 그에 따라 일반 사용자들의 사이트 접근 및 사용이 차단된다. 디도스 공격의 목적은 자료를 유출하거나 삭제하는 것 아니라 단순히 서버를 마비시키는 것이다. 하지만 지속적인 서비스 운영이 필수인 인터넷 쇼핑몰이나 관공서 웹사이트는 서버가 단 몇 시간만 마비돼도 치명적인 피해를 입을 수 있다. 또한 디도스 공격의 특성상 초기 진원지를 추적하기가 어려워 재발 가능성이 있다는 점에서 더 위협적이다.[13]

현황[편집]

국내[편집]

네트워크기반 침입방지시스템 출시를 계획 중인 업체는 안철수연구소, 티맥스소프트(TmaxSoft), 케이디디에스(KDDS), 윈스테트넷 등의 국산 보안 솔루션 업체들이 있다. 안철수연구소는 애초에는 네트워크기반 침입탐지시스템을 목표로 하였으나 시장여건에 따라 침입방지시스템으로 선회한 경우이다. 티맥스소프트는 최근 엔터프라이즈 인프라 솔루션 시장 흐름이 기존에 형성된 WAS(Web Application Server) 분야의 토대를 바탕으로 기업 애플리케이션통합(EAI), 기업포털(EP), 웹 서비스 개발툴(IDE), 보안 등의 제품을 묶은 통합 e-비즈니스 플랫폼 형태로 발전함에 따라 네트워크 기반 침입방지시스템을 새롭게 개발하고 있다. 국내 침입탐지시스템 시장의 대표주자인 인젠은 네트워크 기반 침입탐지시스템의 기술 수준이 이미 오탐지율, 미탐지율을 최소화하는 데 성공했으며, 침입탐지시스템 자체에서 공격에 대한 차단 기능을 탐재한 만큼 네트워크 기반 침입방지시스템과 비교해 결코 손색이 없다고 주장한다. 따라서 앞으로도 지속해서 오탐지와 미탐지를 낮추기 위해 노력할 뿐, 침입방지시스템 제품군 별도로 출시할 계획은 없다고 밝혔다.

호스트기반 침입방지시스템은 서버 보안 솔루션이라는 용어로 시장에서 사용되고 있지만 향후 호스트기반 침입방지시스템이 더 보편화 될 것이다. 국내에서는 시큐브, 티에스온넷, 시큐브레인, 아카디아, 인젠, 조은시큐리티 등의 회사가 이들 제품을 개발 및 판매하고 있으며 시큐브가 선도적인 역할을 수행하고 있다. 시큐브에서는 시큐브 토스(Secuve TOS)라는 제품을 판매하고 있으며 버퍼오버플로(BOF, Buffer OverFlow) 등의 최신 해킹 공격 방지나 보안 위험요소 관리와 같은 침입탐지 및 대응 기능을 제공한다. 또한, APDR(Automatic Prevention Detection Response) 아키텍처에 기반한 제품을 개발 중에 있으며 이 제품은 침입에 대한 탐지, 방지 및 대응을 자동화함으로써 침입 방지 기능을 극대화하는 것을 목적으로 하고 있다. 티에스온넷은 일반적으로 서버 보안 솔루션으로 알려진 레드아울 시큐OS 제품이 있으며 운영체제기반의 침입방지시스템을 지향하고 있다. 이 제품은 운영체제 수준의 보안 제공 및 시스템 성능 저하를 방지할 뿐 아니라 루트 권한 탈취 및 불법 프로그램 등을 이용한 해킹 행위를 원천적으로 봉쇄하는 것을 목표로 한다. 기술적으로는 시스템 파일 및 실행 파일의 불법 변조 및 실행을 방지하고, 포트 제어나 IP제어 기능까지 제공한다. 시큐브레인은 하이자드(Hizard)라는 제품을 출시하고 있다. 이 제품은 접근제어 기능과 함께 다양한 방어 기술을 접목하여 아웃고잉 네트워크 제어 기능과 해킹 방지 기능 제공을 목표로 하고 있다. 이 제품이 내세우는 장점은 일반적인 호스트기반 침입방지시스템이 설치가 까다로운 반면 이 제품은 혼자서도 쉽게 설치가 가능하며 보안정책도 전문 엔지니어의 도움 없이도 사용자가 쉽게 할 수 있다는 점을 장점으로 내세우고 있다. 이카디아와 티에스온넷은 외산제품을 국내에 총판 또는 마케팅을 위주로 하고 있으며 이카디아는 엔터셉터시큐리티의 엔터셉터 웹 서버 에디션을 티에스온넷과 레드햇은 아거스시스템즈의 핏뿔을 공동 마케팅으로 판매하고 있다. 인젠과 조은시큐리티는 출시를 임박하고 있으며 침입방지시스템을 목표로 개발되었다기 보다는 침입탐지시스템의 기능을 확장하는 형태의 접근방법을 선택한 제품들을 개발하고 있으며 궁극적으로는 향후 통합 보안 솔루션을 목표로 하고 있다.[14]

국외[편집]

국내 네트워크기반 침입방지시스템 시장의 외산 제품으로는 이카디아, 넷스크린테크놀로지스, 탑레이어네트웍스, 엔터라시스네트웍스 등의 다국적 기업의 제품들이 있으며 넷스크린코리아, 탑레이어코리아, 엔터라시스코리아 등에서 마케팅을 하고 있다. 이카디아는 이지스(Ezis)를 출시하고 있으며 기가비트 트래픽을 지원하는 네트워크 기반 침입방지시스템을 목표로 하고 있고 향후는 에이식(ASIC)기반 제품을 개발하고 있는 것으로 알려져 있다. 이 제품은 국내대학과 농림수산부 정보센터에 공급되었다고 한다. 탑레이어코리아의 네트워크기반 침입방지시스템은 어택 미티게이터 침입방지시스템 이며 엘지투자증권, 서울은행, 매일경제, 배화여자대학교 등에 공급되었다고 한다. 이 제품은 타제품에 비해 성능에서 앞서고 있다고 평가되고 있으며 이는 에이식기반의 아키텍처로 설계되어 빠른 처리 속도로 침입방지 기능을 구현하였기 때문이라고 한다. 넷스크린코리아는 넷스크린 IDP-100과 넷스크린 IDP-500을 내놓고 있다. 이 제품의 특징은 멀티 레벨 공격 조사 기능, 외부 공격에 신속히 대응 가능한 관리 기능, 고가용성과 클러스터링 기능, 용이한 구축을 위한 마법사 사용자 인터페이스 기능을 제공한다는 특징이 있다. 현재는 침입탐지와 방지 기능을 소프트웨어적으로 구현하였고 향후 에이식기반의 제품을 발표할 예정이라고 한다. 엔터라시스코리아의 침입방지시스템은 드래곤침입방지시스템이 있다. 이 제품은 네트워크 기반 침입탐지시스템 제픔인 드래곤침입탐지시스템 기반으로 개발되었다.

시중에 출시되어 있는 제품으로는 CA(Computer Associate)사의 이 트러스트 액세스 컨트롤(eTrust Access Control)과 아거스시스템즈의 핏뿔 등이 있고 그 이외에는 인트루버트네트웍스의 인트루쉴드와 오키나의 스톰와치, 엔터셉터시큐리티테크놀로지스의 엔터셉터 웹 서버 에디션 등이 있다. 이중 전자는 호스트기반 침입방지시스템이라고 말하고 있지는 않지만 그 기능을 제공하고 있어 호스트기반 침입방지시스템이라고 분류해도 무관하다. 후자는 쉴딩(Shielding) 기술이나 시그니처, 행동기반 분석 알고리듬을 탐재한 호스트기반 침입방지시스템이며 이들이 초기시장을 주도하고 있는 제품들이다.[14]

전망[편집]

침입방지시스템은 기존 시스템의 오탐지가 발생하는 것을 피할 수 있도록 정확하게 침입을 구별하고 패킷을 감시하므로 빠른 성능으로 실시간 반응이 가능하도록 개발된 솔루션으로, 최소한의 구성과 커스터마이징으로 관리자의 업무를 줄여줄 수 있다는 장점을 가진다. 최근 가트너 발표자료에 의하면 2004년에는 네트워크 기반 침입방지 시스템이 이미 설치된 침입탐지시스템의 50%를 대체하고, 새롭게 도입하고자 하는 고객의 75%가 네트워크 기반 침입방지시스템을 선택할 전망이라고 한다. 이를 통해서 알 수 있는 것은 현재 추세대로라면 침입방지시스템이 침입탐지시스템을 대체할 것이며 침입방지시스템 기술이 안정화되는 시점이 언제냐에 따라서 더 빠르게 진행될 수도 있다는 것이다. 이미 2001년부터 미국의 침입방지시스템 개발에 착수했다. 이는 다중 노드와 다중 도메인의 침입을 방지하는 기술이며, 이 기술의 근간은 분산처리, 협동 처리와 이동형 에이전트를 통한 침입방지와 침입에 대한 원천 추적, 침입에 대한 공조 방어를 목표로 하고 있다. 또한, 기존의 정보시스템의 방어뿐만 아니라 통신 시스템의 도청, 전력, 통신 인프라에 대한 공격, 절도와 같은 물리적인 침입에 대한 탐지와 대처까지 포함하고 있다. 가트너의 R. 스티넌과 M. 이즐리 애널리스트는 "침입탐지시스템 로그를 살펴보는 것은 마치 보석 가게의 CCTV 녹화 테이프를 돌려보는 것이나 다름없다"라고 말했다.

즉, CCTV는 네트워크 기반 침입탐지시스템과 마찬가지로 탐지는 해내지만, 탐지를 해냈을 때에는 이미 도둑이 자리에 없기 때문에 보석 가게를 터는 도둑을 잡을 수는 없다는 말이다. 따라서 웹에서 쉽게 다운로드할 수 있는 보통 툴의 사용으로도 공격이 가능하며 점점 더 지능화되고 다양해지는 현재 및 미래의 해커들의 침입기술에 대항하기 위해서는 침입방지시스템이 대안으로 부각될 것이다. 또한, 더 나아가서는 비즈니스 환경에서 더 이상 선택이 아닌 필수 보안 제품이 될 수도 있을 것이다. 서버 보안 솔루션으로 더 잘 알려진 호스트기반 침입방지시스템은 한국정보보호산업협회(KISIA)에서 발표한 자료에 따르면 지난해 국내 서버 보안 시장은 전녀대비 34% 성장한 120억 원 규모인 것으로 집계되었다. 또한, 이 협회는 국내 서버 보안 시장이 연평균 성장률 67.25%의 고속 성장을 거듭할 것으로 내다보고 있어, 국내및 국외 서버 보안 솔루션 업체들이 호스트기반 침입방지시스템 개발에 대한 투자와 마케팅에 집중하고 있고 이미 미국시장에서는 서버 보안 솔루션을 호스트기반 침입방지시스템과 혼용해서 사용하고 있는 실정이다.[14]

각주[편집]

  1. 1.0 1.1 1.2 1.3 채호석, 〈정보보호시스템(firewall, IDS, IPS, VPN, 기타보안장비〉, 《티스토리》, 2013-04-10
  2. 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 침입방지시스템의 보안성 품질 평가기준 및 측정체계의 개발 백서 - http://jkais99.org/journal/v11n4/42/424l/424l.pdf
  3. 3.0 3.1 3.2 3.3 3.4 바이러스부터 랜섬웨어까지, 자주 나타나는 악성코드들〉, 《가비아 라이브러리》, 2017-03-27
  4. 4.0 4.1 Intrusion detection and intrusion prevention〉, 《임퍼바》
  5. Red Hat Enterprise Linux 4: 보안 가이드〉, 《매사추세츠 공과대학교》
  6. IPS〉, 《지덤사전》
  7. Margaret Rouse, 〈network intrusion protection system (NIPS)〉, 《왓이즈닷컴》, 2011-07
  8. Margaret Rouse, 〈host intrusion prevention systems (HIPS)〉, 《왓이즈닷컴》, 2014-06
  9. 노드브이피엔 공식 홈페이지 - https://nordvpn.com/ko/what-is-a-vpn/
  10. 방화벽이란?〉, 《시스코》
  11. 11.0 11.1 11.2 11.3 장윤정 기자, 〈(국내 IPS 시장 A~Z ③)IPS 활용사례〉, 《데이터넷》, 2004-06-09
  12. 트래픽 네이버 지식백과 - https://terms.naver.com/entry.nhn?docId=3609937&cid=58598&categoryId=59316
  13. 디도스(DDos) 공격 네이버 지식백과 - https://terms.naver.com/entry.nhn?docId=3571101&cid=59088&categoryId=59096
  14. 14.0 14.1 14.2 정보흥, 김정녀, 손승원, 〈침입방지시스템 기술 현황 및 전망〉, 《아이티파인드》

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 침입방지시스템 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.