> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
침입 방지 시스템(IPS)
2003년 01월 02일 00:00:00 탑레이어네트웍스코리아
외부와 단절하지 않는 한 기업은 방화벽을 사용해 전달되는 모든 공격을 차단할 수는 없다. 그리고 포트를 열어 둔 상태로 놓아둔다면, 공격자들이 이를 악용하게 될 것이다. HTTP 웜, DoS(Denial of Service) 공격 및 프로토콜 변형(protocol anomaly) 등으로 인해 업계 최고의 방화벽마저도 무너지게 될 것이다.

따라서 기업은 건물 출입구의 폐쇄 회로 비디오 카메라를 설치하는 것처럼 제 2의 보안 디바이스 세트를 설치하게 된다. 그 중에 하나가 네트워크 IDS(Intrusion Detection System)다. 본고에서는 기업이 직면하고 있는 위협, IDS가 이들 위협에 대처하기 위해 사용하고 있는 방법, 그리고 IPS가 이들 위협에 대처하는 새로운 방법을 설명하고 있다. <편집자>


보안 관리자가 nIDS에 대응하고 경보의 유효성 여부를 판단하고 침입을 막기 위해 조치를 취하기 시작하는 시점에는 침입자에 의해 한동안 침입이 진행된 상태이다. 따라서 기업은 오랜 시간과 많은 비용이 소요되는 원상 복구(cleanup) 및 수리 작업을 수행할 수밖에 없다.

따라서 최근에는 새로운 유형의 IPS(Intrusion Prevention System) 솔루션이 각광 받고 있다. 대부분의 경우, 이들 제품은 IDS의 업그레이드가 아닌 완전히 새로운 차원의 제품으로 구현되고 있다.

IPS 제품은 어떤 차이점이 있을까? 이들 제품은 네트워크 상에 상주하면서 트래픽을 모니터링할 뿐만 아니라 악성으로 예상되는 패킷을 드롭시키고 의심스러운 세션을 종료시키거나 공격에 대처하기 위한 기타 조치를 취하는 등 적극적으로 개입한다.

IPS가 전혀 새로운 차원의 제품이라는 점에서 서명 탐지, 프로토콜 분석 등 구형 IDS 모드에 익숙한 기업이 아니라 실시간 네트워크 트래픽을 처리한 경험이 있는 기업을 통해 성공적인 차세대 네트워크 보안 디바이스로 발전할 것으로 전망된다. 본 고에서는 기업이 직면하고 있는 위협, IDS가 이들 위협에 대처하기 위해 사용하고 있는 방법, 그리고 마지막으로 IPS가 이들 위협에 대처하는 새로운 방법을 설명하고자 한다.


보안 침입 유형

오늘날 특정한 카테고리의 공격이 주류를 이루고 있지만 이는 언제라도 순식간에 바뀔 수 있다는 점을 명심해야 한다. 님다(Nimda) 웜이 네트워크를 공격하는 단일 문제로서 가장 일반적인 형태로 자리잡는 데는 매우 짧은 시간이 소요됐지만 또 다른 새로운 공격이 순식간에 가장 심각한 사안으로 대두 될 수 있다. 다음의 보안 침입 유형은 가장 일반적인 공격 유형을 나타낸 것이다.

공용 프로토콜 침입. 네트워크 자원을 대상으로 가장 빈번하게 발생하는 공격은 인터넷 전반에 걸쳐 사용하는 프로토콜을 이용하기 위해 사용되는 메소드 그룹에서 시작되고 있다. 이들 공격은 네트워크 내부에서 돌아다니려고 하는 외부의 누군가에 의한 것이다. 이들 중 일부는 단순한 프로브(예, 취약점을 발견하기 위해 포트를 스캐닝하는 것)일 수도 있다. 이와 같은 프로브 자체로서는 네트워크에 아무런 해를 끼치지 않지만 종종 로그인 시도나 IP 스푸핑(spoofing)과 같이 좀더 은밀한 메소드를 사용해 열린 프로토콜을 악용하려고 시도하기도 한다. 일단 네트워크가 일차적으로 손상을 입게 되면 네트워크 프로토콜을 이용한 추가 침입이 발생할 수 있다. 또한 기업 내부의 사용자가 네트워크 상에서 악의적인 행동을 시도할 수 있으며 이런 침입 형태는 그 피해가 매우 심각할 수 있다.

HTTP 공격. 웜은 자기 복제를 통해 계속 퍼져나가도록 설계된 컴퓨터 코드다. 일부 웜은 단순히 계속 퍼져나가기만 해 컴퓨터와 네트워크 공간을 꽉 채워 마비시키기도 한다. 또한 다른 웜은 이동할 때 호스트 컴퓨터를 파괴시킨다.

1년 이상 수 천 여대의 머신을 감염시킨 님다와 같은 HTTP 웜은 감염된 e메일로부터 시작했다가, 일단 시스템에 이상이 발생하면 네트워크 공간으로 빠르게 퍼져나가게 되고, 그 다음 감염된 포스트는 취약한 웹 서버를 스캐닝한 후 감염시키는 여러 공격 메소드를 보유하고 있다.

웹 사이트를 관리하는 호스트 컴퓨터를 이용함으로써 님다는 실제로 기업의 방화벽 뒤에서 활동을 함으로써 인트라넷 상의 또는 심지어 비즈니스 파트너와 공유하는 엑스트라넷 상에서 안전하게 여겨지는 사이트를 감염시킨다. e메일을 스캐닝하는 안티바이러스 소프트웨어는 발생하게 될 웜의 확산을 전혀 파악하지 못한다. nIDS 센서는 단일의 감염된 호스트로부터 1,000회의 경보를 발행할 수 있지만 실제로 그 어떤 공격의 확산도 저지하지 못한다.

SYN 플러드(flood) 공격. 가끔 DoS 공격으로 인해 유명 웹 사이트가 마비 또는 중단됐다는 뉴스를 접하곤 한다. 그러나 이 DoS 공격은 실제 알려진 것보다 훨씬 더 자주 발생하며 모든 규모의 기업을 대상으로 이루어진다. 이들 공격은 서버에 엄청난 양의 트래픽을 일시에 반복적으로 보냄으로써 네트워크 속도를 느려지게 하며 적법한 사용을 막을 뿐만 아니라, 심지어 서버의 기능을 완전히 마비시킬 수 있다.

FTP 공격. FTP(File Transfer Protocol)은 파일 공유를 위해 일반적으로 사용되는 인터넷 프로토콜이다. 그러나 설계 상의 결함 때문에 ‘바운스(bounce)’ 공격에 취약하다.

공격자는 타깃 사용자의 IP 주소만 보유하고 있으면 된다. 공격자는 FTP 서버를 사용해 타깃 사용자와의 커넥션을 연결하고, 전혀 해롭지 않아 보이는 이 커넥션을 이용해 악성 코드가 방화벽을 통과할 수 있도록 한다. 이 때 종종 이 코드는 공격자에 대한 직접 액세스를 설정함으로써 공격자는 타깃 사용자의 컴퓨터에 완벽한 액세스 권한을 확보하게 된다.

ICMP 공격. 네트워크에 대한 진단을 수행하기 위해, 네트워크 관리자는 일반적으로 ICMP 프로토콜을 사용한다. 당연히 해커는 이 열려진 상태를 악용한다. 해커는 기본적으로 포트를 통해 가짜 요청(핑)을 보냄으로써 내부에서 응답을 하도록 한다. 이는 정보를 얻거나, 시스템을 마비시키거나(flood), 심지어 취약성을 더욱 악화시킬 수 있는 명령어를 심는데 이용될 수 있다. ICMP 응답을 이용해 손상된 머신에 명령어를 과도하게 보내는 것(피기백, piggyback)이 그 대표적인 예가 될 수 있다.

애플리케이션 공격. 웹 서버 상에서 실행되는 애플리케이션에서 완벽하게 버그를 제거한다는 것은 매우 어렵다. 만약 한 해커가 이를 이용할 수 있는 방법을 발견하게 되면, 언더그라운드의 해커들을 통해 급속하게 알려지게 된다. 종종 공격자는 임시 메모리 파일의 과부하로 인해서 흔히 발생하게 되는 취약점인 ‘버퍼 오버플로우’를 집중 공략한다. 영리한 해커들이라면 이런 취약점을 이용해 웜 또는 트로이 목마(Trojan)와 같은 악성 코드가 보안 액세스를 통과할 수 있는 방법이나 시스템에 대한 ‘루트(관리자)’ 액세스 권한을 확보하는 방법을 이미 알고 있다.
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr