최근 보안 환경
먼저 최근 보안 환경을 살펴볼 필요가 있다. 최근에 발생되는 공격을 보면 L2에서 L7까지 모든 계층에 걸쳐 발생하고 있다.
먼저 Mac 스푸핑(Spoofing)과 플러딩(Flooding)은 가장 대표적인 L2 레벨의 공격이다. 이런 Mac 스푸핑과 플러딩이 백본 스위치까지 전달될 경우 네트워크 망 전체가 흔들리게 되며, 이를 이용한 공격이 늘어나고 있다.
다음으로 L3∼L7 레벨의 공격으로 SYN 공격, 스푸핑, 플러딩이 대표적이다.
smurf 공격이 가장 대표적인 ICMP 공격이고, 지난해 발생한 웰치아 웜은 애플리케이션 레벨의 ICMP 플러딩 공격이다. 또 지난해 1월 25일 발생한 SQL 웜은 UDP 플러딩의 대표적인 공격 중 하나다. 올 4월에 발생했던 사세르 웜은 DoS 공격의 한 형태로, 여기서 주목할 점은 DoS 공격을 의도하지 않은 사용자가 웜에 감염될 경우 자신의 의지와 상관없는 DoS 공격이 된다는 점이다. 즉 최근의 웜은 자신이 공격하고자 하는 호스트가 특정 서비스 포트가 열려 있는지 스캐닝하는데, 이런 스캐닝이 DoS 공격과 같은 형태로 나타나는 것이다.
최근 IPS가 관심을 끄는 이유는 기존 솔루션의 제약점에서 비롯된 바가 크다. 즉 최근 애플리케이션 레벨에서 이뤄지는 바이러스, 웜 공격과 다양한 DoS, DDoS 공격 등에 능동적으로 대응하지 못했기 때문이다.
IPS라는 제품은 표 2처럼 기존 제품의 제약점을 극복하고 이에 대한 해결책을 제시하는 데 주력하고 있으며, 따라서 다양한 기능들이 하나의 제품에 통합돼 구현되고 있다.
(표 1) 최근 보안 공격 유형
(표 2) 보안 제품의 기능 및 제약점
(그림 1) 실시간 트래픽 모니터링
(그림 2) 세그먼트별 정책 적용
IPS의 기술 동향
보안에 대한 고객의 요구 사항이 더욱 다양해지고 이에 맞춰 IPS 기능과 기술 또한 변화하고 있다. 실제 이런 요구 사항들이 IPS 제품에 어떻게 반영되고 지원되고 있는지 알아보도록 하겠다.
먼저 특정 네트워크나 전체 네트워크상의 애플리케이션에 대한 트래픽을 확인하는 기능으로 비정상적으로 트래픽이 증가할 경우 이에 대한 제어 및 관리를 위해 제공하는 기능이다.
이는 기존의 QoS 제품에서 제공하는 기능과는 다른 것이다. 기존 QoS 제품은 자신이 DB로 갖고 있는 트래픽에 대해서는 사용량을 나타내고 그 외의 다른 트래픽은 ‘others’로 표시해, 이를 이용해 폭주 트래픽을 분석하기에는 일정한 제약점이 있었다. 이에 반해 이 기능은 네트워크에서 많이 사용하고 있는 트래픽을 실시간으로 보여줘 특정 트래픽이 폭주할 경우 이를 확인할 수 있도록 한다.
다음으로 멀티 세그먼트 기능이다. 이 기능은 한 대의 장비를 여러 대의 장비로 나눠 사용하는 기능이다. 즉 각 세그먼트를 완전히 다른 장비로 설정해 각 세그먼트별, 물리적 포트별, 네트워크별로 각기 다른 정책을 적용하는 기능이다. 이 기능은 IPS를 도입하려는 기업의 비용 측면과 깊은 연관이 있다.
(그림 3) SYN 쿠키를 이용한 SYN 공격 차단
(그림 4) IP 헤더 중 패킷 길이를 이용한 공격
(그림 5) 서비스별 QoS 기능
(그림 6) 자동 업데이트 기능
즉 한 대의 장비로 기업의 외부에서 들어오는 곳에만 IPS를 설치하는 것이 아니라, 여러 구간에 별개의 장비로 동작하도록 설치해 고객의 환경에 맞게 능동적으로 적용할 수 있는 장점이 있다.
다음으로 SYN 공격에 대한 차단 방안이다. SYN 공격은 DoS 공격의 가장 대표적인 유형이지만 요즘도 가장 많이 발생되는 공격 중 하나다. 최근 많은 IPS 제품들이 이를 차단하는 기능을 제공하고 있다. 대표적으로 소스 IP에 대한 레이트 리미트(Rate Limit) 기능이다. 이는 특정 소스 IP가 허용된 시간 동안 과도하게 들어올 경우 이를 차단하는 기능으로, 많은 IPS 제품들이 구현하고 있는 방법이다.
다음으로 셀프-러닝(Self-learning) 기능으로 일정 시간 동안 트래픽을 모니터링한 뒤 적정한 임계치를 주어 이를 넘어서는 트래픽은 차단하는 기능이다. 하지만 이 방법은 정상 사용자의 서비스까지 차단할 위험성을 내포하고 있다.
SYN 공격을 차단하는 다른 방법은 SYN 쿠키(Cookie)를 이용한 기능이다. 이 방법은 기존 딜레이드 바인딩(Delayed Binding)과 비슷한 개념의 SYN 차단 방법이다. 즉 SYN에 대한 응답을 자신이 직접하고 일정 시간 안에 이에 대한 SYN-ACK가 오는 것을 기다리는 방법이다. ACK에 대한 응답은 자신이 보낸 시퀀스(Sequence) 번호에 +1의 값을 기다리게 되며, 이에 대한 다른 SYN-ACK가 들어올 경우 이를 드롭(drop)하는 기능이다. 별도의 세션 테이블을 관리할 필요가 없기 때문에 SYN 공격 시 메모리 과부하를 막을 수 있는 장점이 있다.
다음으로 OMPC(Offset Mask Pattern Condition) 기능이다. 이 기능은 L3 ∼ L4의 TCP/IP 헤더의 모든 정보를 이용한 필터링 기능이다. 예를 들어 헤더의 토털 패킷 길이(length), 프로토콜 넘버, 시퀀스 넘버 등에 대해서 사용자 필터 정의를 지원하는 기능이다. 최근 많은 제품이 데이터 부분을 검색하고 이에 대한 차단 기능을 제공한다. 이에 따라 공격자들은 더욱 지능화된 방법으로 공격한다. 예를 들어 데이터는 비워두고 패킷 길이를 작게 해서 공격을 시도하는 방법이다. 아래는 실제 이런 공격이 한 IPS에 행해지는 것을 캡쳐한 그림이다.
다음으로 BWM(Bandwidth Manage ment) 기능이다. 각 서비스별로 우선 순위 및 대역폭 설정을 통해 공격이 진행되는 상황에서도 필요한 서비스에 대해서는 대역폭만큼의 서비스를 보장해주는 기능이다. 트래픽 제어 기능이 더욱 강조되면서 IPS의 또 다른 기능으로 반영되고 있는 추세다.
다음으로 IPS 제품의 가장 중요한 기능이랄 수 있는 자동 업데이트 기능이다. 최근에 발생하는 웜은 일주일이 멀다 하고 새로운 변종이 출현하고 있다. 따라서 새로운 웜 출현 시 얼마나 신속하게 이를 차단하느냐가 IPS의 중요한 기능으로 부각되고 있다. 따라서 많은 제품들이 자동 업데이트 기능을 지원하고 있으며, 이를 이용해 웜 및 공격에 대해 DB 업데이트를 통해 차단하는 기능을 제공하고 있다.
최근에는 IPS 장비 장애 시 이에 대한 페일-오버(fail-over) 기능이 IPS의 중요한 기능으로 떠오르고 있다. 즉 IPS에 장애가 발생하더라도 서비스 제공에는 문제가 없도록 하는 기능으로, 장비 자체의 우회(bypass) 기능을 제공하거나 별도의 외장형 장비를 이용해 이런 기능을 제공하고 있다.
다양한 리포팅 및 상세 리포팅 기능 또한 IPS의 주요한 기능이다. 이는 공격 발생 시 관리자가 신속히 대처할 수 있도록 제공하는 기능이다. 즉 어떤 공격이 많이 발생하는지 어떤 소스 IP에서 발생하는지 등의 정보를 관리자들이 쉽게 볼 수 있도록 요약된 정보를 제공하는 기능이다. 최근에는 많은 IPS 제품들이 이런 모니터링과 리포팅 기능을 강화하고 있다.
국내의 IPS에 관한 또 다른 큰 이슈는 인증이다. 이는 현재 IPS 시장을 선점하고 있는 외산 공급 업체에 대항해 전통적으로 금융과 공공 부문에서 강세를 보여온 국내 기업에서 제기하고 있는 문제다. 이는 2005년 K 시리즈를 대체하는 CC 인증과 맞물려 올 하반기 IPS 시장에서 커다란 이슈가 될 전망이다.
(그림 7) 우회(bypass) 기능을 이용한 페일-오버
(그림 8) IPS 모니터링 기능
맺음말
IPS 제품은 고객과 시장의 요구 사항에 반응하면서 이에 대한 기술과 기능을 계속 반영하고 있다. 다만 IPS 제품을 설치한다고 해서 모든 보안 문제가 해결되는 것은 아니다. 하지만 최근 국내 IPS 시장을 보면 실제 기능과는 무관하게 마케팅 용어에 의해 그 기능이 너무 과장되는 경향이 있다. IPS의 도입을 고려하는 기업이라면 다양한 제품과 그 기능들을 비교해보면서 자신의 환경에 가장 적합한 제품을 선택하는 것이 바람직하겠다.
댓글 없음:
댓글 쓰기