첫번째 컨셉은 IDS라는 머리글자다. 이것은 ‘침입탐지시스템(Intrusion Detective System)’의 머리글자이다. 흔히 어떤 사람이 갑자기 IDS라는 말을 사용할 경우, 그것은 ‘네트워크 IDS’ 또는 ‘NIDS’를 말하는 것이다. 우리는 이 글에서 주로 NIDS에 대해 다룰 것이다. NIDS는 네트워크의 병목 부분(choke points)에 설치되어 네트워크 활동을 모니터링하고 공격이나 기타 의심스런 움직임들을 찾아내는데 사용된다. <편집자>
현대 네트워크에서 사용되고 있는 IDS 제품들의 종류는 여러 가지가 있다. 호스트 기반 IDS(HIDS)는 서버의 움직임을 모니터링하고 외부 해커 또는 불법적인 시스템 접속과 관련된 움직임들을 파악하는데 사용된다. 일부 벤더들은 HIDS에 NIDS의 기능을 추가하기도 하지만, 대개 NIDS는 그것이 모니터링하고 있는 시스템에 대한 공격만을 리포팅한다.
IDS와 연관된 다양한 보안 제품들
허니팟(Honeypot)은 ‘가짜’ 시스템으로, 네트워크 서비스를 제공하기 위해 만든 것이다. 간단한 허니팟은 단순히 네트워크의 주변에 사용하지 않는 박스를 추가함으로써 만들 수 있다. 허니팟으로 들어오는 트래픽은 무엇이든 자동적으로 의심스러운 것으로 간주된다. 몇몇 상용 허니팟 제품들은 전체 운영 시스템과 네트워크를 시뮬레이션할 수 있다.
취약성 평가 툴들은 ‘알려진’ 네트워크 공격들에 대한 대규모 데이터베이스를 가지고 있다. 이런 툴들은 네트워크의 웹 또는 FTP 등과 같은 모든 서비스들을 탐색하고, 발견된 서비스들에 대해 보유하고 있는 공격 데이터베이스의 자료들을 적용한다. 이런 툴들은 네트워크 상의 발견된 문제들에 대한 자세한 리포트를 제공한다. 그리고 대개 순위를 함께 제공해 줌으로써 운영자가 가장 중요한 보안 문제들을 우선적으로 처리해 나갈 수 있도록 해준다.
보안 관리 툴들은 방화벽과 IDS 시스템과 같은 몇몇 상이한 보안 소스들로부터의 데이터를 종합하는 새로운 종류의 상용 제품이다. 우리는 그것에 대해서도 여기서 논할 것인데, 왜냐하면 올바른 IDS를 선택하는 것 만큼이나 공격 정보를 분석하는 것 또한 중요하기 때문이다. 실제로 많은 IDS 제품들이 쓸만한 리포팅 툴을 가지고 있지 않으므로, 좋은 써드파티 제품을 사용하거나 또는 네트워크 관리 시스템에 통합시킴으로써 IDS로부터 보다 의미 있는 정보를 얻을 수 있을 것이다.
마지막으로 우리가 고려해야 할 기술은 방화벽과 라우터 등과 같은 인프라스트럭처 하드웨어다. 이런 장비들로부터 나오는 로그들(정확한 컨피그레이션이 되어있을 경우)은 IDS의 로그들을 보완해 줄 수 있다.
흔히 갖게 되는 오해들
고객들이나 이쪽 업계에 대해 잘 모르는 사람들이 흔히 갖는 오해들이 있다. 이런 오해들은 흔히 IDS을 구매하지 않는 이유를 정당화하는데 사용된다.
방화벽은 특정한 종류의 트래픽을 차단하고 그 외 다른 것들은 통과시키도록 만들어진 것이다. 이것은 ‘정책’ 기반 장비이다. ‘해커들은 차단하고 우리편은 통과시킨다’라는 정책은 없다. 만일 기업에 방화벽 전문가가 있다면 여러 계층의 방화벽들을 사용하고 인바운드 및 아웃바운드 액세스 컨트롤 리스트를 사용해 우수한 수준의 보안을 유지하는 것이 가능할 수도 있다. 불행히도 방화벽들은 ‘정상’ 트래픽을 통과시킨다. ‘정상’ 트래픽에 보안 취약성이 존재할 경우에 해커는 언제든지 방화벽을 통과해서 그 뒤에 있는 시스템을 공격할 수 있다. 예를 들어서 웹 호스팅 회사가 모든 웹 서버들에게 포트 80을 준다고 하자. 만일 포트 80에 취약성이 존재한다면, 전통적인 방화벽 기술은 공격을 막을 수 없을 것이다. 방화벽이 트랜잭션이 발생했다는 사실을 기록할지도 모르지만, 공격이 발생했다는 사실은 전혀 알 수 없다. 네트워크나 호스트 레벨에서 방화벽에 IDS를 추가함으로써 운영자는 외부의 침입자들을 탐지할 수 있는 추가 정보를 제공받을 수 있게 된다.
VPN의 장점과 그것이 가져오는 위협들을 혼동하는 사람들도 흔히 있다. VPN은 가상 사설망이다. 이것들은 기본적으로 하나의 네트워크로부터 보통의 네트워크 트래픽을 받아 데이터를 암호화하고 그것을 다른 네트워크로 전달한다. 데이터는 움직이는 동안 암호화되어 보호받는다. 바로 이런 점이 많은 CEO들과 CIO들이 텔레컴퓨팅을 도입하는데 영향을 주었다. 그러나 실제로 VPN 파이프의 다른 쪽 끝에 있는 시스템은 기업의 통제에서 벗어나 있다는 점을 명심해야 한다. 그 시스템이 손상을 입었을 경우 VPN을 통해 기업의 백본 내에 들어오는 통로가 만들어질 수 있다. 그것은 즉 액티브X 트로이의 목마와 같은 바이러스를 가지고 있거나 어린이들의 공격에 취약한 개인용 컴퓨터로부터 기업의 네트워크에 접속할 수 있는 한 부대의 원격 유저들을 갖게 된다는 뜻이며, 이것은 네트워크의 보안에도 그만큼의 위험을 안게 되는 것이다. 그러므로 VPN의 종단부에 방화벽과 IDS를 설치하는 것이 현명한 전략이라 할 수 있겠다.
