2020.12.01

방화벽을 넘어서··· ‘침입 감지 시스템’(IDS) 안내서

Steven J. Vaughan-Nichols | INSIDERPRO
단순한 이분법이었다. 방화벽 내부의 모든 것은 안전했고, 방화벽 외부는 위험했다. 애석하게도 컴퓨터 네트워크 보안은 그렇게 단순하지 않았다. 또 사람들이 수백, 수천 곳의 작은 사무소, 즉 집에서 근무하면서 좀더 어려워졌다. 다행스럽게도 오늘날의 인력에게 효과적으로 작용할 수 있는 또 다른 접근법, 즉 침입 감지 시스템(Intrusion Detection System, IDS)이 있다.

방화벽은 일반적으로 일정 인터넷 트래픽 유형을 컴퓨터로부터 차단하지만, 이와 달리 침입감지시스템(IDS)은 트래픽을 차단하지 않고, 유입 및 유출 트래픽을 감시한다. 방화벽이 집과 거리 사이의 문이라면 IDS는 문을 지켜보는 보안 카메라이다. 

단순한 공격을 차단하기 위한 방화벽이 여전히 필요하기는 하다. 그러나 IDS과 이의 사촌격인 침입예방시스템(Intrusion Prevention Systems, IPS)은 어느 때보다 더 중요해졌다. IDS와 IPS에 관해 살펴본다.
 
Image Credit : Getty Images Bank



IDS 개요 
첫째, IDS는 소프트웨어이거나 하드웨어 기기이고, 네트워크 트래픽을 감시한다. 이는 의심스러운 활동과 알려진 위협을 끊임없이 찾는다. 위험 요소를 발견하면 IDS는 문제가 있음을 관리자에게 경고한다. 또한 보안 정보 및 사건 관리(security information and event management, SIEM) 시스템에 잠재적 공격을 기록할 수 있다. IPS는 이러한 잠재적 공격을 자동으로 차단한다.

IDS 크게 두 종류가 있다. 하나는 네트워크 기반 침입 감지 시스템(network-based detection system, NIDS)이고 네트워크 상에서 작용하고, 구체적으로, 유입 및 유출 네트워크 트래픽을 감시한다. 간단히 말해 이들은 와이어샤크(Wireshark) 같은 네트워크 탐지기(network sniffers) 위에 구축된다. 통상적으로 NID는 비무장지대(DMZ)에 설치된다. DMZ는 물리적 내지 논리적 하위 네트워크이고, 이메일, 웹서버 등 외부 접촉 네트워크 서비스를 인터넷 등 신뢰할 수 없는 네트워크에 연결한다.

다른 하나인 호스트 기반 IDS(HIDS)는 로컬 영역 네트워크 내에 설치된다. 이들은 PC와 서버 내에서 작용할 수 있지만, 독립형 기기일 수도 있다. 

두 가지 모두 IDS이지만 이들은 서로 같지 않다. NIDS는 트래픽 내의 알려진 공격의 특성이나 정상 네트워크 활동으로부터 의심스러운 일탈을 찾는다. 일단 파악되면 이 정보는 이를 처리할 수 있는 일정 사람 또는 시스템으로 전송된다.

반면, HIDS는 현재의 시스템 파일의 스냅샷을 찍는다. 스냅샷을 찍은 후 이를 과거의 스냅샷과 대조한다. HIDS는 예상치 않은 무단 변경을 찾는 게임이다. 예를 들어 덮어쓰기, 삭제, 파일 추가, 시스템 설정 변경 등이다. 

이상적으로, 두 가지를 모두 사용하는 것이 좋다. HIDS는 잠재적 내부자 위협을 보호한다. 부모의 업무 컴퓨터에 아이가 포트나이트 게임을 설치하는 상황이 사소한 사례다. 한편 NIDS는 네트워크 영역 내에서 벌어지는 일을 계속해서 감시할 수 있다. 예를 들어 아이가 포트나이트 게임을 한다면 트래픽이 크게 증가할 것이다. 이는 공격과 비정상 역시 검출한다.

공격 특성 데이터베이스를 바탕으로 방화벽, 라우터, 서버, 스위치, 데스크톱을 모니터링함으로써 문제가 너무 커지기 전에 침해에 대해 경보를 받을 수 있다. 위 특성 데이터베이스를 이용함으로써 IDS는 알려진 변종 트래픽을 식별할 수 있다. 위에서 말했듯이 아이가 포트나이트를 하더라도 허위 경보가 늘어날 위험이 낮아진다. 이 경우라면 CISO는 경보를 받을 필요가 별로 없을 것이다. 

즉 IDS는 여러 공격 유형을 분석해 공격 패턴 역시 식별할 수 있게 해주며, 네트워크 관리자는 이에 의해 방어를 적절히 강화할 수 있다.

마지막으로, IDS는 미국의 HIPPA, EU의 GDPR 등 규제적 컴플라이언스 규정과 회사 보안 표준을 준수하는 데 도움이 된다. 

IPS는, 예상한 것처럼, 위의 모든 것을 이행한 후 위협에 자동으로 대응한다. 그러나 IPS에게 지나친 권한을 부여하는 것은 주의해야 한다. 

IDS가 허위 긍정을 보고하더라도 대개 크게 문제가 되지 않는다. 그러나 IPS가 무언가를 악성 행위라고 식별한다면 이는 정당한 네트워크 트래픽을 차단할 수 있고, 연관된 서버를 중지할 수 있고, 서브넷을 폐쇄할 수 있다. IPS가 진짜 문제를 차단한다면 좋은 일이지만, 진짜 업무를 방해한다면 재난이 아닐 수 없다. 

그러면서도 IPS는 랜섬웨어 다운로드를 시작하는 피싱 공격을 놓쳐서는 안 된다. 이는 세심한 균형의 문제이다. 

실제로, IDS와 IPS의 중대한 문제 가운데 하나는 똑똑한 보안 관리자가 필요하다는 것이다. 문제가 전혀 없는 IDS 같은 것은 없다.

유능한 보안 관리자는 찾기가 쉽지 않다. 그러나 AI와 ML이 도움이 될 수 있다. ML과 IDS가 조화롭게 작용하도록 만드는 학술적 연구가 진행되고 있다. 특히 딥러닝 모델은 오늘날의 피상적인 ML 모델보다 우월하다. 

이는 단순히 학술 이론에 그치지 않는다. 카네기멜론대학교의 사이랩(CyLab)은 우수한 속도의 오픈소스 IDS를 이제 막 공개했다. 이는 피거서스(Pigasus)라는 우스꽝스러운 이름을 가지고 있고, 필드 프로그래머블 게이트 어레이(Field Programmable Gate Arrays, FPGA)를 통해 초당 100 기가비트의 네트워크 검사 속도를 달성했다.

최고의 시나리오라면 잘 관리된 IDS와 IPS를 동시에 이용하는 것이다. 최근의 발전 덕분에 전문 인력 부족이 과거처럼 장애가 되는 일은 많지 않다. 

코로나바이러스 시대의 네트워크 보안 
현재 이용할 수 있는 우수한 IDS, IPS는 수없이 많다. 그러나, 이를 구매하기 전에 알아야 할 것들이 있다. 먼저, 이들은 형태가 매우 다양하다. 심지어 같은 제품 계열이라도 형태가 다르다. 예를 들어 시스코의 넥스트 제너레이션 인트루전 프리벤션 시스템(Next Generation Intrusion Prevention System) 같은 제품은 하드웨어 기기나 VM웨어 인스턴스 두 가지 형태로 출시된다.

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.



2020.12.01

방화벽을 넘어서··· ‘침입 감지 시스템’(IDS) 안내서

Steven J. Vaughan-Nichols | INSIDERPRO
단순한 이분법이었다. 방화벽 내부의 모든 것은 안전했고, 방화벽 외부는 위험했다. 애석하게도 컴퓨터 네트워크 보안은 그렇게 단순하지 않았다. 또 사람들이 수백, 수천 곳의 작은 사무소, 즉 집에서 근무하면서 좀더 어려워졌다. 다행스럽게도 오늘날의 인력에게 효과적으로 작용할 수 있는 또 다른 접근법, 즉 침입 감지 시스템(Intrusion Detection System, IDS)이 있다.

방화벽은 일반적으로 일정 인터넷 트래픽 유형을 컴퓨터로부터 차단하지만, 이와 달리 침입감지시스템(IDS)은 트래픽을 차단하지 않고, 유입 및 유출 트래픽을 감시한다. 방화벽이 집과 거리 사이의 문이라면 IDS는 문을 지켜보는 보안 카메라이다. 

단순한 공격을 차단하기 위한 방화벽이 여전히 필요하기는 하다. 그러나 IDS과 이의 사촌격인 침입예방시스템(Intrusion Prevention Systems, IPS)은 어느 때보다 더 중요해졌다. IDS와 IPS에 관해 살펴본다.
 
Image Credit : Getty Images Bank



IDS 개요 
첫째, IDS는 소프트웨어이거나 하드웨어 기기이고, 네트워크 트래픽을 감시한다. 이는 의심스러운 활동과 알려진 위협을 끊임없이 찾는다. 위험 요소를 발견하면 IDS는 문제가 있음을 관리자에게 경고한다. 또한 보안 정보 및 사건 관리(security information and event management, SIEM) 시스템에 잠재적 공격을 기록할 수 있다. IPS는 이러한 잠재적 공격을 자동으로 차단한다.

IDS 크게 두 종류가 있다. 하나는 네트워크 기반 침입 감지 시스템(network-based detection system, NIDS)이고 네트워크 상에서 작용하고, 구체적으로, 유입 및 유출 네트워크 트래픽을 감시한다. 간단히 말해 이들은 와이어샤크(Wireshark) 같은 네트워크 탐지기(network sniffers) 위에 구축된다. 통상적으로 NID는 비무장지대(DMZ)에 설치된다. DMZ는 물리적 내지 논리적 하위 네트워크이고, 이메일, 웹서버 등 외부 접촉 네트워크 서비스를 인터넷 등 신뢰할 수 없는 네트워크에 연결한다.

다른 하나인 호스트 기반 IDS(HIDS)는 로컬 영역 네트워크 내에 설치된다. 이들은 PC와 서버 내에서 작용할 수 있지만, 독립형 기기일 수도 있다. 

두 가지 모두 IDS이지만 이들은 서로 같지 않다. NIDS는 트래픽 내의 알려진 공격의 특성이나 정상 네트워크 활동으로부터 의심스러운 일탈을 찾는다. 일단 파악되면 이 정보는 이를 처리할 수 있는 일정 사람 또는 시스템으로 전송된다.

반면, HIDS는 현재의 시스템 파일의 스냅샷을 찍는다. 스냅샷을 찍은 후 이를 과거의 스냅샷과 대조한다. HIDS는 예상치 않은 무단 변경을 찾는 게임이다. 예를 들어 덮어쓰기, 삭제, 파일 추가, 시스템 설정 변경 등이다. 

이상적으로, 두 가지를 모두 사용하는 것이 좋다. HIDS는 잠재적 내부자 위협을 보호한다. 부모의 업무 컴퓨터에 아이가 포트나이트 게임을 설치하는 상황이 사소한 사례다. 한편 NIDS는 네트워크 영역 내에서 벌어지는 일을 계속해서 감시할 수 있다. 예를 들어 아이가 포트나이트 게임을 한다면 트래픽이 크게 증가할 것이다. 이는 공격과 비정상 역시 검출한다.

공격 특성 데이터베이스를 바탕으로 방화벽, 라우터, 서버, 스위치, 데스크톱을 모니터링함으로써 문제가 너무 커지기 전에 침해에 대해 경보를 받을 수 있다. 위 특성 데이터베이스를 이용함으로써 IDS는 알려진 변종 트래픽을 식별할 수 있다. 위에서 말했듯이 아이가 포트나이트를 하더라도 허위 경보가 늘어날 위험이 낮아진다. 이 경우라면 CISO는 경보를 받을 필요가 별로 없을 것이다. 

즉 IDS는 여러 공격 유형을 분석해 공격 패턴 역시 식별할 수 있게 해주며, 네트워크 관리자는 이에 의해 방어를 적절히 강화할 수 있다.

마지막으로, IDS는 미국의 HIPPA, EU의 GDPR 등 규제적 컴플라이언스 규정과 회사 보안 표준을 준수하는 데 도움이 된다. 

IPS는, 예상한 것처럼, 위의 모든 것을 이행한 후 위협에 자동으로 대응한다. 그러나 IPS에게 지나친 권한을 부여하는 것은 주의해야 한다. 

IDS가 허위 긍정을 보고하더라도 대개 크게 문제가 되지 않는다. 그러나 IPS가 무언가를 악성 행위라고 식별한다면 이는 정당한 네트워크 트래픽을 차단할 수 있고, 연관된 서버를 중지할 수 있고, 서브넷을 폐쇄할 수 있다. IPS가 진짜 문제를 차단한다면 좋은 일이지만, 진짜 업무를 방해한다면 재난이 아닐 수 없다. 

그러면서도 IPS는 랜섬웨어 다운로드를 시작하는 피싱 공격을 놓쳐서는 안 된다. 이는 세심한 균형의 문제이다. 

실제로, IDS와 IPS의 중대한 문제 가운데 하나는 똑똑한 보안 관리자가 필요하다는 것이다. 문제가 전혀 없는 IDS 같은 것은 없다.

유능한 보안 관리자는 찾기가 쉽지 않다. 그러나 AI와 ML이 도움이 될 수 있다. ML과 IDS가 조화롭게 작용하도록 만드는 학술적 연구가 진행되고 있다. 특히 딥러닝 모델은 오늘날의 피상적인 ML 모델보다 우월하다. 

이는 단순히 학술 이론에 그치지 않는다. 카네기멜론대학교의 사이랩(CyLab)은 우수한 속도의 오픈소스 IDS를 이제 막 공개했다. 이는 피거서스(Pigasus)라는 우스꽝스러운 이름을 가지고 있고, 필드 프로그래머블 게이트 어레이(Field Programmable Gate Arrays, FPGA)를 통해 초당 100 기가비트의 네트워크 검사 속도를 달성했다.

최고의 시나리오라면 잘 관리된 IDS와 IPS를 동시에 이용하는 것이다. 최근의 발전 덕분에 전문 인력 부족이 과거처럼 장애가 되는 일은 많지 않다. 

코로나바이러스 시대의 네트워크 보안 
현재 이용할 수 있는 우수한 IDS, IPS는 수없이 많다. 그러나, 이를 구매하기 전에 알아야 할 것들이 있다. 먼저, 이들은 형태가 매우 다양하다. 심지어 같은 제품 계열이라도 형태가 다르다. 예를 들어 시스코의 넥스트 제너레이션 인트루전 프리벤션 시스템(Next Generation Intrusion Prevention System) 같은 제품은 하드웨어 기기나 VM웨어 인스턴스 두 가지 형태로 출시된다.

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.

X