[정보보안] 보안관제를 하기 전에 기본적으로 알고있어야 하는 것 #1

안녕하세요. 돗개입니다. 오랜만에 포스팅을 하게 되었습니다. 그동안 무기력하고 우울증 약도 먹고 참 힘든 시기를 보냈던 것 같습니다. 각설하고 이전 '보안관제의 현실과 고증'이라는 제목의 포스팅 조회수가 많이 나왔습니다. 그만큼 보안에 관심이 있으신 분들이 많다는 것을 느꼈습니다.

 

이전 포스팅에서 제가 굉장히 보안관제에 대해 부정적으로 다루었습니다. 그 생각은 절대 변하지 않으나, 난 그래도 도전해보겠다. 나는 보안인이 되어보겠다. 하시는 분들을 위한 포스팅입니다. 보안관제를 하기 전 꼭 알아야 할 것들을 준비해 보았습니다.

 

보안장비

- IPS(Intrusion Prevention System) 침입방지시스템 

 침입방지시스템 능동형 보안 설루션이라고 불리는 아주 중요한 장비입니다. IPS는 인터넷 웜 등의 악성코드와 해킹 등 유해 트래픽을 차단해주는 솔루션입니다. IDS(Intrusion Detection System)는 특정 패턴(Snort Rule) 기반으로 공격자의 침입을 탐지하는 반면 IPS는 공격 탐지를 넘어 탐지된 공격에 대해 세션을 끊는 등 적극적으로 막아주는 솔루션이라고 보시면 됩니다. 즉 탐지/차단을 모두 수행할 수 있습니다. 이다음으로 IDS를 다루긴 하겠지만 IDS는 탐지 기능밖에 없습니다.

 

IPS의 가장 큰 특징은 외부에서 내부 네트워크로 침입을 방지하는 것입니다. IPS의 도입 이유는 외부 침입방지이며 효과 역시 유해 트래픽의 원척적인 차단입니다. 하지만 외부 트래픽을 차단하는 솔루션인 방화벽과 IPS의 어떤 차이가 있을까요? 기존 보안시스템인 방화벽은 단순 차단 기능, 알려진 공격 패턴 감시, 확인된 악성 IP 블랙리스트 등록을 함으로써 외부 공격에 대해 방어를 합니다. 하지만 능동적이지 못합니다. 알려지지 않은 공격에 대해서는 매우 취약하다는 것입니다. 하지만 IPS는 알려지지 않은 공격에도 능동적으로 대응할 수 있습니다. 때문에 '웜', '바이러스' 등의 침입을 네트워크 단에서 차단시킴으로써 사후 조사로 인해 소요되는 관리 측면에서의 부담을 없앨 수 있습니다.

 

- IPS의 종류

1) Switch 기반

기본적으로 Switch는 보안에 관심이 있는 분들이라면 알고 있을 것이라 생각됩니다. 그럼에도 간단히 설명하자면 Switch에 연결된 모든 기기들로 부터 들어오는 '패킷'을 수신, 이 패킷을 명확한 기기에 보내는 일을 하는 장비입니다.

Switch 기반의 IPS는 Worm / DOS 등 알려지지 않는 공격 차단에 중심이며, 성능적인 측면을 강조하지만 알려진 공격 차단 및 대응에는 미비합니다.

 

2) Firewall(방화벽) 기반

ACL(Access Control List) 접근 허용 리스트라 생각하시면 됩니다. 즉 가용성을 생각하시면 되는데 허락되어 지지 않은 클라이언트 접근 시 해당 클라이언트에게는 특정 자원 접근을 차단합니다. 보통 L3 장비에 적용하며 Standard ACL은 IP Packet의 Source Address(출발지 IP)만 검사 제어합니다. Extended ACL은 IP Packet의 Source(출발지), Destination(목적지), Protocol(Port Number을 통해 프로토콜 확인)을 검사하여 제어합니다.  

즉 Firewall 기반의 IPS는 ACL에 기반한 침입차단 기능에 알려진 Worm, DOS 공격 탐지 모듈 추가이며, 유해정보차단 측면을 강조합니다. 하지만 Worm이나 DOS 이외의 공격 차단 및 대응은 미비합니다.

 

3) IDS 기반 

IDS에 대해 설명하지 않고 이에 대해 설명해서 죄송합니다. IDS는 탐지기반의 솔루션이라는 것을 감안하고 먼저 봐주시기 바랍니다. IDS는 TAP 장비가 필요한 미러링 방식의 보안 솔루션입니다. TAP 장비와 미러링에 대해 설명드리겠습니다.

간단한 미러링 구성도

위의 구성도에서 TAP 장비가 네트워크 라인에 직접적으로 구성되어 있습니다. 이상하죠? 왜 IDS는 라인 밖에 있을까요? IDS는 침입탐지시스템입니다. 차단 기능은 없고 분석을 위해 있는 장비라 생각하시면 됩니다. 그렇기 때문에 Network Line에 직접적으로 둘 필요가 없습니다. 하지만 공격에 대한 분석이 필요하기 때문에 TAP이라는 장비가 패킷의 복사본을 만들어 IDS에서 전송하게 됩니다. 이러한 구성을 미러링(Mirroring)이라고 합니다. 반대로 인라인 모드(In-Line Mode)는 IDS가 아닌 IPS에 많이 사용되는데 TAP 장비 없이 네트워크 라인에 직접적으로 두는 것입니다. 굉장히 중요하니 숙지하시면 좋습니다.

IDS 기반의 IPS는 기존 IDS를 IN-Line Mode로 동작하게 하며 알려진 공격 차단 및 대응 기능을 강조합니다. 기존의 IDS가 가지는 높은 오탐율 및 관리의 어려움이 생기며 성능 측면의 한계가 생깁니다.

 

- 구성도에 따른 보안 주요 관점

IDS와 IPS를 같이 구성하는 Site가 있는 반면 IPS만 구성하는 Site, IDS를 IPS 뒤에 두는 Site, IPS를 IDS 앞에 두는 Site (Site는 파견지, 고객사입니다.) Site 마다 모두 다릅니다. 

1) IPS 앞에 IDS가 있는 경우

이와 같은 경우는 IDS를 통해 위협이 되는 공격에 대해 분석을 중점으로 보는 곳입니다. 차단을 하긴 하지만 해당 공격에 대해 분석을 중점으로 하여 이후 해당 공격에 대해 완벽히 대응하겠다는 취지를 가지고 있습니다.

 

2) IDS 앞 IPS가 있는 경우

위 1번과 반대되는 경우입니다. 이 경우는 분석을 하긴하지만 우선 해당 공격에 대해 차단부터 하고 이후 분석을 하겠다는 의미입니다. 어지간해서는 이 방식을 많이 사용하는 듯합니다. 제가 다녔던 Site들은 이와 같은 구성을 많이 했습니다.

 

3) IPS만 있는 경우

무조건 차단만 하겠다는 Site입니다. 보통 Site 내에 분석팀이 1~2명, 혹은 없을 경우 이 방식을 많이 사용했습니다. 요즘 IPS 솔루션의 기술력이 많이 좋아져서 IPS 내에 IDS 기능이 포함되어 있습니다. 때문에 고객 입장에서는 굳이 IDS를 구성하지 않아도 된다고 생각합니다. 하지만 이 경우에는 보안관제 입장에서 별로 좋지 못합니다. 다양한 공격들을 경험해보지 못하고 차단당해 버리기 때문에 이런 Site 경우 많은 경험을 할 수 없습니다.

 

오늘 포스팅은 여기까지입니다. 사실 생각나는데로 적다 보니 틀린 부분도 분명히 있을 것입니다. 보안관제, 분석, 진단 등 꼭 필요한 능력은 검색 능력입니다. 솔직히 구글링을 통해 모든 일을 한다고 해도 무방합니다. 때문에 검색 능력을 키우시길 바랍니다. 무언가 이상하다. 내용이 부족하다 생각되신다면 댓글 부탁드립니다. 많은 새내기 보안인들에게 많은 도움이 되길.