“IDS와 고성능 스위치의 결합으로 해결하라”

당신의 네트워크는 내·외부 안팎으로 끊임없는 공격 위험에 노출돼 있다. 지금까지 공격에 대한 대응은 ‘초크 포인트(choke points)’를 통해 유입되는 외부에 맞춰져 왔으며, 내부 인프라에서 발생하는 공격에는 비교적 소홀했다. 그러나 최근 많은 기업들이 컨트롤과 인증 기능을 스위치에 포함시킴으로써 보안성을 강화하고, 내부 공격에 대한 문제를 해결하기 위해 노력하고 있다. <편집자>

최근 대다수 기업들이 컨트롤과 인증 기능을 스위치에 포함시킴으로써 네트워크의 보안성을 강화하고, 내부 공격에 대한 문제를 해결하기 위해 많은 노력들을 기울이고 있다. 기업들은 과거 분리돼 있던 기능들을 하나의 유기적이고 동적인 시스템에 통합시켜 보안에 대한 새로운 국면에 접어들고 있는 것이다. 이에 따라 새로운 단일 시스템은 이벤트와 연관된 보안에 대해 자동으로 대응이 가능하다.

고성능 스위치와 IDS
오늘날 네트워크가 직면해 있는 상황에 대해 검토해 보자. 먼저, 많은 네트워크들은 ‘고성능 스위치(high function switches)’를 설치해 왔다. 이 스위치는 일반적으로 인증 및 권한 기능을 내장하고 있으며 가상랜(VLAN)에 접근하는 사용자를 제어하고, 레이어 2/3/4에서 트래픽 필터링을 최적화 시킨다.
그 다음으로 내부 보안 위협을 감지한 많은 네트워크 운영자들은 악의적인 활동을 발견했을 때 경보(alerts) 기능을 제공하는 침입탐지시스템(IDS)을 설치해 왔다. 비록 고성능 스위치와 침입탐지시스템 도입이 향상된 보안 기능을 제공하기는 하지만 다음과 같은 모델로 인해 효과를 극대화시키지 못한다.

· 권한 및 인증시 수립된 정책이 정적(static)이다.
· 운영자들은 IDS가 생성하는 경보 갯수에 자주 기가 질린다.
· IDS에 의해 탐지된 공격에 대응하기 위해서는 관리자의 손이 필요하다.
· 24시간, 7일, 365일 IDS를 모니터링하기 위해서는 관리자의 손이 필요하다.

이러한 문제점을 인식한 기업들은 IDS와 고성능 스위치를 하나의 시스템으로 통합시켜 자동 분산 대응 시스템을 이행하기 시작했다. 이 시스템은 관리자의 별다른 개입이 없어도 탐지된 공격에 대해 능동적인 대응이 가능하다.

IDS+고성능 스위치
이 시스템이 작동하는 방식을 살펴보자. 먼저 IDS는 시그니처나 어노멀리(anomaly) 기반 메커니즘을 통해 악의적인 움직임을 포착한다. 그 다음으로는 악의적인 움직임의 위치(스위치 포트)를 지정하기 위해 정렬(sorts) 디렉토리가 사용된다. 마지막으로 침입한 사용자 및 장비를 ‘제거(remove)’ 하기 위해 스위치에 존재하는 정책이 동적(Dynamic)으로 수정된다. 제거는 침입한 사용자를 ‘존재하지 않는(null)’ 가상랜에 맵핑시키거나 레이어 2 또는 3에서 필터링 시킨다. 또한 오용된(abused) 프로토콜은 레이어 4에서 필터링 시킨다. 이러한 메커니즘은 에지에 배치된 스위치 성능에 따라 구체화된다. 이 시스템이 주는 이점은 많다.

· 네트워크 정책은 동적으로 변화된다.
· 중앙화된 ‘초크 포인트’ 정책 실행이 없다. 실행은 분산처리 된다.
· 웜과 바이러스를 수 분 안에 제거하며, 공격으로 인한 피해를 완화시킨다.
· 네트워크의 안정성이 향상된다.
· 높은 수준의 자동 처리는 관리자의 개입을 줄임으로써 총소유비용(TCO)을 절감시킨다.

네트워크 안정성과 비용 측면에서 이익 제공
이 시스템은 불합리한 결과를 피하기 위해 주의 깊게 배치돼야 한다. 오작동을 최소화하기 위해 IDS는 세심한 튜닝이 필요하며, 오작동이 실행됐을 경우 잘못 설정된 정책은 자동 혹은 수동적 방법을 통해 가능한 빨리 제거돼야 한다. 즉, 이 시스템 역시 관리자의 개입이 여전히 필요하며, 이 경우 실시간 대응이라기보다는 비 실시간 분석 규칙과 연관된다는 것이다.
IDS와 에지 기반 정책 실행이 하나의 시스템으로 통합되는 것은 보안을 증진시키고 별개의 구성 요소를 하나로 묶는다는 관점에서 중요한 진보라고 할 수 있다. 이는 흥미로운 발전이며, 향상된 네트워크 안정성과 저렴한 비용 측면에서 엄청난 이익을 제공한다.