네트워크 보안 시스템
하나의 보안 시스템으로 모든 것을 방어할 수는 없다. 다양한 보안 시스템을 통해 사이버 보안 체계를 구축해야 한다.
사이버 보안 체계를 구축하기 위한 보안 시스템으로 어떤 것이 있는지 대표적인 보안 시스템을 바탕으로 알아보자.
< 방화벽 >
방화벽( Firewall)은 외부로부터 불법적인 접근이나 공격을 방어하기 위해 내부 네트워크와 외부 네트워크가 연결되는 접점에 구축되는 보안 시스템이다. 방화벽은 보안 정책에 따라 비인가 통신은 차단하고 인가된 통신은 허용하는 방식으로 내부 네트워크를 외부 네트워크로부터 보호하는, 네트워크 보안에서 가장 기본이 되는 시스템이다.
1세대 방화벽은 OSI 7 계층 중 전송 계층과 네트워크 계층에서 IP 주소, 포트 번호를 기준으로 접근을 제어하는 패킷 필터 방식을 적용하고 있고, 추가로 NAT,VPN 기능 정도만 지원한다. 하지만 세션 관리나 애플리케이션 내용 분석은 하지 못하므로 정상적인 경로로 유입되는 공격은 막아내지 못한다는 단점이 있다.
2세대 방화벽은 상태 기반 감시 방식으로 통신 세션을 추적하여 1세대 방화벽의 공격 탐지 부분을 강화한 방화벽이다.
최근에는 3세대 방화벽으로 '차세대 방화벽' 이라 하여 애플리케이션 패킷을 분석하여 상세하게 제어할 수 있는 방화벽까지 나와 있는 상태다.
방화벽은 정책의 적용 순서를 고려해야 하며 사용 중인 네트워크에 정책이 바로 적용되기 때문에 보안과 네트워크에 대한 지식과 경험을 갖춘 보안 전문가에게 체계적으로 관리되어야 한다.
< 네트워크 침입 탐지/차단 시스템 >
네트워크 침입 탐지/차단(방어) 시스템 Network IDS/IPS에는 공항 검색대의 X-ray 장비처럼 네트워크 패킷 데이터를 분석하여 악성코드,취약점 공격코드,권한 상승, 비정상 접근 등의 공격 데이터를 탐지하는 침입차단시스템인 IDS(Instrusion Detection System)와 여기에 능동적 대응 기능이 추가된 침입차단시스템인 IPS(Intrusion Prevention System)가 있다.
IPS는 IDS 기능을 포함하고 있으므로 IDPS(Intrusion Detection and Prevention System)라고도 하며 IPS 기술이 안정화 되면서 많은 곳에서 IDS보다 IPS를 도입해서 운영하고 있다.
IDS/IPS는 크게 3가지로 구성되어 있다. 첫째, 센서는 감시하려는 네트워크에 연결되어 패킷을 수집하고 보안 이벤트를 발생시키는 역할을 한다. 둘째, 엔진은 센서에서 수집된 보안 이벤트를 저장하고 정의된 규칙에 따라 경고를 발생 시킨다.
셋째, 콘솔은 보안 이벤트를 확인할 수 있으며 센서나 정책을 수정할 수 있게 되어 있다.
공격을 탐지하는 방식은 기존에 알려진 공격 데이터 패턴이나 유사성을 확인항려 탐지하는 오용 탐지 방식과 정상적인 행위와 비교하여 비정상 행위를 하는 경우 탐지하는 비정상 행위 탐지 방식이 있다. 상업용 IDS/IPS의 경우 대부분 장애에 대한 위험에 대비하여 확실한 공격을 탐지할 수 있는 오용 탐지 방법이 많이 사용되고 있으며 다음 프로세스를 통해 운영된다.
첫째, 정보수집 단계에서는 네트워크 패킷과 세션 정보를 수집한다.
둘째, 정보가공 단계엫서는 수집된 정보에서 필요한 정보만 뽑아 의미 있는 정보로 가공한다.
셋째, 정보분석 단계에서는 오용 탐지 또는 행위 탐지 기법들을 적용하여 공격을 탐지하여 분류한다.
넷째, 보고 및 대응 단계에서는 공격에 대해 콘솔뿐만 아니라 이메일,SMS,SNMP 등을 통해 공격 탐지를 알리면 보안 담당자는 해당 공격을 확인한 후 차단할 수 있다. 만약 IPS를 이용한다면 해당 공격에 대해 정책에 따라 차단할 수 있다.
< 가상 사설망 >
VPN(Virtual Private Network)은 우리말로 가설 사설망이라고 부르며, 공중망에서 마치 인터넷 전용선을 사용하는 것처럼 통신 구간을 암호화하여 제삼자가 함부로 통신에 접근하지 못하게 하는 기술이다. 주로 기업에서 본사망과 지사망을 연결하거나 출장 중에 업무를 해야 하는 경우 인터넷 회선을 전용선처럼 사용할 수 있다. 이 점을 이용하여 상업적으로 VPN 서비스를 해주는 업체들도 있다.
통신 프로토콜은 현재 3가지 방법이 주로 사용되고 있다. 첫째, L2PT 또는 L2TP라고 불리는 프로토콜로 IPSec 기술을 이용하여 암호화 하고 있으며 대부분 운영체제에서 지원한다. 둘째, OpenVPN 방식은 프로파일 하나만 있으면 쉽게 연결할 수 있다.
OpenVPN은 L2TP 규격을 따르지만 다양한 암호화 알고리즘을 통해 통신을 할 수 있다. 셋째, PPTP로, PPP 기술을 확장한 방식이며 MS-=CHAP와 RC4를 섞어서 암호화한다. PPTP 방식은 MS가 주도해서 만든 기술이지만 대부분 운영체제에서도 작동한다. 하지만 전용선보다는 보안이 취약하고 암호화 통신 과정을 거치기 때문에 상대적으로 속도가 느리다. 또한, 통신 과정이 암호화 된다는 점과 상호 VPN을 이용하면 익명성을 보장한다는 것을 역이용하여 공격자들이 추적을 피하는 방법으로도 VPN을 자주 이용하고 있다.
< DDos 대응 시스템 >
DDos는 공격 대상 사이트에 대량의 트래픽을 보내 네트워크 대역폭을 소비하게 하거나 서버 처리 용량을 과다하게 발생시켜 공격 대상 사이트의 서비스 가용성을 떨어트리는 공격 방식이다. 이런 공격은 1.25 인터넷 대란, 7.7 DDos 대란과 같은 사회적 이슈를 불러일으켰고 현재도 크고 작은 DDos 공격들이 계속 발생하고 있다.
기존에는 방화벽, IPS와 같은 장비로 DDoS 공격의 일정 수준을 방어할 수 있었지만 대량의 DDoS 공격에는 한계가 있었다. 이러한 DDoS 공격에 특화된 방어 네트워크 보안 장비가 DDoS 방어 시스템 이다. DDoS 방어 시스템은 In-Line 방식과 Out-of-Path 방식으로 구축할 수 있다.
In-Line 방식은 DDoS 대응 장비로 유입되는 트래픽을 모니터링 하여 DDoS 공격을 탐지하고 직접 차단하며 가장 많이 구축되고 있는 방식이다. In-Line 방식으로 구성하는 경우 DDoS 대응 장비가 방화벽 앞에 위치하게 된다.
Out- of-Path 방식은 네트워크 구성을 그대로 유지한 상태에서 미러링 장비로 패킷을 미러링 받아 DDoS 차단 장비로 분석하고 해당 DDoS공격을 차단하는 방법이다. 하지만 백본 등의 장비와 연동해서 DDoS 공격을 차단해야 하기 때문에 In-Line 방식보다 구축 비용이 많이 들고 복잡한 것이 단점이다.
< 웹 방화벽 >
웹 방화벽은 웹 애플리케이션의 보안을 위한 보안 시스템으로, 웹 애플리케이션을 운영하면서 발생할 수 있는 SQL Injection,XSS,CSRF 등과 같은 웹 공격을 탐지하고 차단할 수 있다. 이외에도 정보 유출 방지, 부정 로그인 방지, 웹 사이트 위변조 방지 기능도 탑재되어 있어 웹 공격을 효과적으로 방어할 수 있다.
웹 방화벽은 웹 서버 내에서 소프트웨어로 설치되는 형태와 하드웨어로 설치되는 형태가 있으며, 하드웨어로 설치되는 형태는 Reverse Proxy 방식, In-Line 방식으로 구성할 수 있으며 그중 In-Line 방식이 구축하기 편리하여 많은 곳에서 이 방식으로 구축하고 있다.
< 네트워크 접근 제어 시스템 >
네트워크 접근 제어 시스템은 네트워크 접근 제어를 통제하는 보안 시스템이다. PC와 같은 단말기들이 어떤 영역까지 접근할 수 있는지를 정의한 정책에 의해 단말기의 네트워크 접근을 제어하고 통제하여 안전한 네트워크 환경을 보장해 주는 네트워크 보안 솔루션이라 할 수 있다.
NAC는 다양한 인증 방식을 지원하며 802, 1x, VLAN,ARP를 이용하여 네트워크 접근 제어를 할 수 있다.
< 통합 위협 관리 시스템 >
통합 위협 관리 시스템(UTM, Unified Threat Management) 은 Firewall, IDS/IPS, VPN, Anti-Virus,Spam Filter, Content Filter 등의 다양한 보안 기능들을 하나로 패키지화하여 다양한 보안 위협에 대응할 수 있게 한 네트워크 보안 장비이다. UTM을 통해 다수의 보안 장비를 관리,통합 해주는 효과를 기대할 수 있다. 하지만 UTM을 도입하기 전에 UTM 의 모든 기능을 다 사용해도 문제가 없는지 충분히 테스트를 거쳐야 한다. UTM은 보통 방화벽을 대체하여 구성되기 때문에 방화벽이 위치한 자리에 UTM을 구성하여 구축할 수 있다.
< 보안 관제를 위한 ESM과 SIEM >
방화벽 ,침입 탐지시스템, VPN 등 다양한 보안 시스템이 등장한 이후 기업 내에 다수의 보안 시스템이 도입되어 운영되기 시작했다. 이러한 상황에서 보안 관리자가 보안에 대한 업무 이외에 다수의 보안 시스템을 관리하는 것에는 한계가 있었다.
이에 효율적으로 다수의 보안 시스템을 관리할 수 있도록 도와주는 보안 솔루션인 통합 보안 관리 시스템(ESM, Enterprise Security Management)이 나타나게 되었다. ESM은 주로 기업에서 운영하는 보안 시스템( 방화벽,IDS,IPS,VPN 등), 서버, 네트워크 장비(라우터)를 상호 연동해서 보안 시스템을 효율적으로 운영할 수 있도록 도와주는 보안 관제 솔루션 이다.
ESM은 각종 보안 장비에서 발생한 이벤트 수집, 관리, 정보 , 대응 등을 통합하여 관리함으로써 보안 사고 발생 시 효율적으로 대처할 수 있도록 도와주며 점차 그 보안 범위가 확대되고 있다. ESM을 도입할 때 고려할 사항으로는 수집되는 로그를 분석하기 위해 어느 정도 고성능 서버가 필요한지와 로그가 어느 정도인지가 있으며, 이를 고려하여 대용량 스토리지를 구축해야 한다. 최근에는 다양한 보안 이벤트를 빅데이터 기반 보안 정보 이벤트 관리 시스템 SIEM, Seccuriry Infomation Event Management 를 통해 장기적인 관점에서 보안 위혐을 보다 심층 분석하고 대응할 수 있도록 도와주는 SIEM이 좀 더 주목받고 있다.