최근 정보보호의 중요성을 인식한 대부분의 기업, 은행, 공공기관들이 다수의 보안 시스템을 갖추기 시작했다. 하지만 많은 비용을 들여 도입한 보안시스템에 대한 특성 이해 및 보안 지식(Security Expertise) 결여로 인하여 조직의 보안 목표 달성에 기여하는 것이 아니라 애물단지로 전락하는 경우를 많이 보게 된다. 그 대표적인 예가 네트워크 침입탐지시스템의 경우라 하겠다.
네트워크 침입탐지시스템은 일반적으로 네트워크 상의 트래픽 분석(Traffic Analysis), 혹은 패턴 매칭(Pattern Matching) 등의 정형화된 기법을 통해서 공격을 탐지하므로 실제 공격이 아님에도 불구하고 공격이라 판정(false positive)하는 그릇된 다수의 보안 이벤트를 생성한다. 이 때 보안 관리자는 다수의 보안이벤트 중에서 모니터링 해야 할 보안 이벤트와 그렇지 않은 보안 이벤트를 분리해야 하고 모니터링 해야 하는 보안 이벤트 각각에 대한 공격성공여부를 판단하기 위하여 침입차단시스템 로그, 네트워크 침입탐지시스템의 원시 로그(Raw Log), 공격 대상시스템(Victim System) 로그 분석을 해야 하는 부담을 지게 된다.
보안 관리자가 보안이벤트 발생 시마다 공격영향분석(Attack Impact Analysis)을 수행하는 것은 현실적으로 불가능하다. 물론 이 문제를 해결하기 위한 방안으로 통합보안관리시스템(Enterprise Security Systems)이 등장했으나 현재 시점에서 볼 때 적절한 대안이 아니라는 것은 분명한 사실이다. 그럼 이 문제를 해결할 수 있는 방법은 없는 것일까? 이 문제에 대한 대안으로서 등장한 것이 취약점 정보와 침입탐지시스템 보안 이벤트간의 데이터 상관관계분석시스템(VA/IDS Correlation System)이다.
이 글에서는 취약점분석시스템과 침입탐지시스템을 연동해 고품질의 보안이벤트만을 추출해 내는 데 사용되는 접근 방법 및 관련 모델의 장단점에 대해서 알아보고, 그 예제 시스템으로 ‘스마트 IDS’라고도 불리는 ‘시큐리티 퓨전 모듈(Security Fusion Module)’에 대해 소개하고자 한다.
침입탐지시스템과 폴스 포지티브
침입탐지시스템에서 발생하는 다수의 폴스 포지티브(False Positives)가 보안 관리자, 보안 시스템 등에 미치는 영향(impacts)은 아래와 같다.
첫째, 침입탐지시스템은 폴스 포지티브 레벨이 허용수준에 도달할 때까지 튜닝(tuning)이 필요하다. 일반적으로 침입탐지시스템이 기본 정책(default policy)으로 설정되어 운영되는 경우 상당 수준의 폴스 포지티브 보안이벤트를 발생시키고 기록된다. 또한 디스크 용량 점유, 디스크 과다 사용에 따른 성능 저하, 관리적 부담 증대 등의 과부하를 일으킨다.
정책 튜닝(Policy tuning)은 침입탐지시스템, 네트워크, 프로토콜, 응용 프로그램에 대한 전문가적인 식견(expertise)을 가진 이에 의해서 수행되어야 하며 모니터링 네트워크 변경, 새로운 응용 프로그램 추가/삭제/업그레이드, 새로운 취약점 발견 등에 따라서 반복적으로 수행되어야 하는 특성을 지니고 있다.
둘째, 폴스 포지티브에 의해서 각각의 보안 이벤트는 전문가에 의해서 분석되어야 한다. 보안 이벤트 분석은 각각의 보안 이벤트 발생 시마다 분석이 이뤄져야 하나 하루에 1회 혹은 2회 쌓여진 보안이벤트를 분석하는 것이 일반적이다. 예를 들면 보안이벤트 분석가는 침입탐지시스템 보안이벤트에 대한 전체적인 요점(Summary)을 보고 보안 이벤트 중 관심이 가는 이벤트를 수동적으로 선택해서 분석을 한다. 이 분석은 분석가의 경험에 지극히 의존적이어서 무수히 많은 보안이벤트 중에서 어떤 경우는 실제 공격을 찾아내지만 그렇지 못하는 경우도 발생하기 쉽다.
셋째, 폴스 포지티브에 의해 공격자에 대한 능동적 대응(Active Response)이 어렵다. 침입탐지시스템과 방화벽 및 라우터 등 접근제어시스템과 연동은 기술적으로 가능하나 실제 적용 시에는 정상적인 트래픽 차단에 따른 네트워크 장애 발생 우려 등 상당한 제약이 뒤따르게 되는 것이다.
취약점 정보와 IDS 보안이벤트의 연동
침입탐지시스템과 관련된 상당수의 폴스 포지티브는 보호네트워크(Protected Network) 및 보호대상시스템의 취약점 정보와 침입탐지시스템에서 탐지된 보안이벤트와의 연동을 통해 줄일 수 있다. 침입탐지시스템이 보호대상 서버의 취약점 정보를 확보하여 해당 취약점을 통한 공격에 중점을 맞춘다면 기존에 발생하던 폴스 포지티브의 상당량을 감소시켜 고품질의 보안이벤트(high quality security events)를 생산할 수 있을 뿐만 아니라 접근제어시스템(방화벽, 라우터 등)과의 연동을 통해 공격자에 대한 능동적 대응을 가능하게 할 수 있다.
하지만 취약점분석시스템과 침입탐지시스템 자체가 지닌 폴스 포지티브와 폴스 네거티브(false negatives)에 의해서 분명히 연동사항의 제약사항(Limitations)은 존재한다. 두 시스템간의 데이터 상관관계분석은 9가지의 범주로 나누어 질 수 있으며 각각 제약사항은 아래와 같다.
■ 타입 1. 취약점분석시스템의 폴스 포지티브 취약점을 기초로 침입탐지시스템의 폴스 포지티브 보안이벤트가 발생한 경우
취약점분석시스템과 침입탐지시스템 자체의 근본적인 특성에 의해 기인하는 제약사항으로서 데이터 상관관계분석 목적에 위배되는 최악의 경우라 하겠다. 이를 최소화하기 위해서는 취약점분석시스템과 침입탐지시스템의 정책 튜닝 및 성능 향상이 동시에 이뤄져야 한다. 즉 대상시스템 운영체제, 응용프로그램, 침입탐지시스템 정책, 대상 취약점 등이 취약점분석시스템의 정책과 침입탐지시스템의 정책에 적절히 반영되어 유기적으로 연결된다면 이런 경우에는 최소화될 수 있을 것이다.
■ 타입 2. 취약점분석시스템의 폴스 네거티브를 기초로 침입탐지시스템의 폴스 포지티브 보안이벤트가 발생한 경우
이 경우 데이터 상관관계분석 결과는 보호대상시스템 자체의 취약점이 등록되어 있지 않기 때문에 침입탐지시스템의 보안이벤트는 그다지 주목을 받지 못할 것이다. 이를 최소화하기 위해서는 취약점분석시스템의 정책 튜닝 및 성능향상이 필요하고 적절한 데이터 상관관계분석을 위해서는 취약점분석시스템의 선택이 매우 중요함을 알 수 있다.
■ 타입 3. 취약점분석시스템에 의해서 정확한 취약점이 등록되어 있는 데 침입탐지시스템이 폴스 포지티브 보안이벤트를 생성한 경우
취약점분석시스템과 침입탐지시스템 데이터 상관관계분석의 성능을 최대한 발휘할 수 있는 경우라 하겠다. 이 경우 침입탐지시스템의 보안이벤트는 낮은 위험수준(Low Risk Level)을 지니게 될 것이다.
■ 타입 4, 5, 6. 침입탐지시스템 자체가 공격을 탐지하지 못한 경우
데이터 상관관계분석을 적용시키기 위해 필요한 침입탐지시스템 보안이벤트가 없는 경우로서, 침입탐지시스템 자체가 공격을 탐지하지 못한 이와 같은 경우에는 VA/IDS 데이터 상관관계분석 자체가 의미가 없어진다. 따라서 침입탐지시스템 자체의 성능 및 새로운 취약점에 대한 VA/IDS 신규 정책 생성이 매우 중요하다.
■ 타입 7. 취약점분석시스템에 의해서 부정확한 취약점이 등록되어 있는데 침입탐지시스템이 정확한 보안이벤트, 즉 실제공격을 탐지한 경우
VA/IDS 데이터 상관관계분석 시스템이 부정확한 보안이벤트를 생성하는 경우이다.
■ 타입 8. 침입탐지시스템이 정확한 보안이벤트를 발생시켰으나 취약점분석시스템에 의해서 취약점이 없다고 보고된 경우
VA/IDS 데이터 상관관계분석 시스템은 위의 보안이벤트를 무시하게 되는 상황이 발생한다. 일반적으로 제로데이 익스플로이트(Zero-day Exploit)에 의해서 이런 상황이 발생하게 된다
■ 타입 9. VA/IDS 데이터 상관관계분석 시스템 및 구성요소 시스템이 완벽하게 동작하는 경우
취약점분석시스템 및 침입탐지시스템의 정확한 보안이벤트에 의해서 고품질의 보안이벤트를 생성시키는 경우이다.
