‘주니퍼’ 가장 강력하고 유연 … ‘포티넷’ 합리적 가격에 사양 풍부

이제 네트워크 침입 탐지만으로는 더 이상 충분치가 못하게 됐으며, 현명한 조직에서는 이들을 막는 것을 목표로 하고 있다.
취약성 발표와 패치 발표, 그리고 이것의 악용 사이의 거리가 엄청나게 짧아지고 있는 지금은 이것이 그리 놀랄 일도 아니다.
블래스터(Blaster) 공격은 패치가 발표된 지 불과 25일 뒤에 등장했으며, 새서(Sasser)는 그보다 훨씬 더 빨리 19일만에 왔다. 지난 3월, 위티 웜(Witty worm)은 결함이 발견된 지 하루만에 버퍼 범람 취약성을 강타했다.
이번 호에는 9가지 IPS 제품들을 샅샅이 들여다보기로 했다.

네트워크 IPS(Intrusion Prevention Systems)는 수상한 트래픽을 식별 및 차단함으로써 시스템의 안전을 유지해준다. 본지에서 2004년 실시한 설문조사의 응답자들 가운데 nIPS를 배치했거나 1년 안에 배치할 계획이라고 답한 사람은 80%를 꽉 채웠다. 우리는 업체들에게 2004년 허리케인 시즌이 한창일 때 플로리다 대학의 파트너 랩으로 시스템을 보내줄 것을 요청했다.
결국 테스트하게 된 장비는 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 인터스펙트 610(InterSpect 610), 포티넷(Fortinet)의 포티게이트-3600 안티바이러스 파이어월(FortiGate-3600 Antivirus Firewall), 인터넷 시큐리티 시스템즈(Internet Security Systems)의 프로벤티아 G1000-400(Proventia G1000-400), 주니퍼 네트웍스(Juniper Networks)의 넷스크린-IDP 1000(NetScreen-IDP 1000), 루시드 시큐리티(Lucid Security)의 ip엔젤 X3 AVS-400(ipAngel X3 AS-400), 라드웨어(Radware)의 디펜스프로 AS-III/SME(DefensePro AS-III/SME), 시큐리티메트릭스(SecurityMetrics)의 시큐리티 어플라이언스 모델 60(Security Appliance Model 60), 티핑포인트 테크놀로지스(TippingPoint Technologies)의 유니티원-1200(UnityOne-1200)과 V-시큐어 테크놀로지스(V-Secure Technologies)의 V-시큐어 V-1000 등 9가지 제품이었다.
디터미나(Determina), 마주 네트웍스(Mazu Networks), 넷컨티넘(NetContinuum) 및 프라이버시웨어(Privacyware) 는 자사 제품이 우리 요구조건에 맞지 않는다고 판단했다. 이아이 디지털 시큐리티(eEye Digital Security)와 카바두(Kavado)는 때맞춰 닥쳐온 허리케인으로 인해 일정에 맞출 수가 없었다. 포어스카우트 테크놀로지스(ForeScout Technologies)는 일단 제품을 보내긴 했지만 그 후 다시 토론을 거쳐 이번 테스트에 맞지 않는다는 결론을 내렸다. 시만텍은 자원 부족을 들어 참가를 거절했으며, 맥아피는 기사가 나갈 즈음이면 센서 기계가 업데이트돼 있을 것이라고 말했다.

두 가지 반의 방식
우리는 여전히 발전하고 있는 이 부문에서 참가자들이 그 접근 방식과 결과에 큰 차이를 갖고 있다는 사실을 발견했다. 이번 조사에서는 각각의 장비가 방화벽이나 다른 네트워크 인프라 장비로 명령어를 보내는 대신, 반드시 네트워크 공격을 식별하고 자체 대응을 통해 공격을 막을 수 있는 자급자족 시스템이어야 한다는 조건을 내걸었다. 또한 테스트 네트워크 코어 스위치를 통해 400Mbps 흐름을 예상대로 처리할 수 있는 시스템을 요청했다.
우리는 대학 네트워크의 코어를 가로질러 이동하는 트래픽을 이용해 테스트를 했는데, 여기서 흐름의 속도는 평균 600Mbps를 상회했으며, 18만~25만 동시 사용자가 있는 상태에서 최고 800Mbps 이상을 기록했다. 물론 우리는 참가자들에게 시키지 않은 조건에서 했다고 벌점을 주지는 않았으며, 오히려 보다 큰 흐름들은 많은 실제 악용(exploit)과 폴스 포지티브(false positive)들을 이용해 대용량의 실제 네트워크 트래픽을 제품들이 어떻게 처리하는지를 보여줌으로써 오프더 레코드로 장비의 용량을 관찰할 수 있었다. 또한 특정 공격 유형을 모방한 트래픽을 만들어 장비들이 일반적인 악용 사례를 얼마나 성공적으로 중단시키는지도 확인해 보았다.
최종 분석결과, 이번 비교에서는 크게 세가지의 부류로 구분됐는데, 각각 다음과 같다.

>> 포티넷, 주니퍼, 라드웨어 및 티핑포인트의 제품들은 주로 서명 패턴을 이용해 공격이 감행됐는지를 파악한다.

>> 체크포인트와 V-시큐어 제품은 정상적인 네트워크 트래픽의 특성을 익히고 발견학습법(heuristics)을 이용해 비정상적 작동을 막아내는 방식을 주로, 혹은 단독으로 이용하고 있다.

>> 나머지 절반은 오픈소스 기술을 기반으로 한 서명 기반 제품들을 말한다. 전용 콘솔 및 관리 제품에 통합된 스노트와 같은 애플리케이션을 이용하는 루시드와 시큐리티메트릭스의 제품들은 다른 전용 제품보다 더 구성이 용이하다.

모든 제품이 TCP 접속을 재설정하고, 입증된 공격 소스로부터 오는 새로운 접속을 다양한 시간대로 차단할 수 있었다. 어떤 제품은 특정 트래픽 흐름의 속도를 제한할 수도 있었으며, 라드웨어 제품은 정교한 트래픽 쉐이핑(traffic-shaping) 능력도 제공하고 있다. 각 제품들에게는 저마다의 강점이 있었지만, 1, 2위를 차지한 제품들은 보다 잘 다듬어진 서명 기반 부문의 제품들이었다.
전반적으로 성적은 인상적이긴 했지만, A를 받은 제품은 없었다. 지난해 마이크 프래토가 IPS 제품을 분석했을 때와 마찬가지로 최고 점수는 좀체 받기가 힘든 것 같다. 제품이 아직 덜 성숙한 것인지, 아니면 우리 기대치가 너무 높아서인지는 모르겠지만 어쨌든 그랬다. 하지만 성숙성 문제는 제품 평가시에 참조돼 보다 성숙한 IDS 기술을 기반으로 한 제품들이 더 높은 점수를 받았다.

폴스 포지티브의 위험
독자들의 의견에 따르면, 이런 장비에서 가장 큰 걱정거리는 폴스 포지티브로 여기서는 적법한 네트워크 트래픽이 차단될 수가 있다. 대부분의 경우에는 대용량의 파괴적인 공격을 중단시키고, 사소한 공격들은 IPS를 통과해 다른 네트워크 컴포넌트에 의해 중단되도록 하고 싶을 것이다. 거의 모든 IPS가 인라인으로 배치가 되기 때문에, 폴스 포지티브는 애플리케이션 방화벽에 의해 중단되는 공격보다 확실히 더 많은 사용자들의 불만을 야기시킨다.
테스트의 첫 단계에서, ISS의 프로벤티아는 폴스 포지티브가 거의 없이 우리 IDS가 확인한 공격의 대다수를 식별해냈다. 티핑포인트의 유니티원은 경고가 부족한 경향이 있었는데, 이는 실제로 변칙적인 모든 것을 잘못될 가능성이 있는 것으로 취급하며 유명한 보디가드보다도 더 엄격한 라드웨어의 디펜스프로와는 대조적인 모습이었다.
포티게이트의 서명도 또한 우리 IDS에서 확인한 많은 공격들을 발견했으며, 서명 정제(signature refinement)에서는 통과를 시킬 일부 활동들을 플래깅했다. 주니퍼의 넷스크린 IDP는 디폴트 구성에서 상당량의 트래픽을 문제의 소지가 있는 것으로 식별해 폴스 포지티브로 간주될 많은 경보를 만들어냈지만, 보안 전문가들이 신속하게 변경 프로세스를 처리할 수 있게 도와줄 툴세트가 있어 맞춤화가 용이한 제품이기도 하다.
발견식 학습법 제품들의 정확도는 네트워크를 관찰하고 정상적 트래픽에 대한 통계 모델을 개발한 다음 정상적인 범주에서 벗어난 패킷이나 상호교환 사례를 찾아내는 장비에 따라 달라진다. 이들은 폴스 포지티브를 피하기 위해 배치를 비교적 느슨하게 시작한 다음 시간이 지나면서 보다 적극적으로 구성을 한다.
포티넷의 포티게이트와 주니퍼의 넷스크린은 핵심 부문에서 변함없이 강력한 성능을 보여준 덕분에 같은 총점을 얻게 됐다. 이들은 탄탄한 기본 성능과 간편한 셋업에 더불어 공격을 세부적으로 분석하고 맞춤 서명을 만드는 풍부한 기능들이 조화를 이루고 있었다. 하지만 리뷰에서 에디터즈 초이스의 영광은 한 제품만이 받게 돼 있어 최종 승자는 주니퍼의 넷스크린이 되었다. 포티게이트는 합리적인 가격에 풍부한 사양과 잘 만들어진 인터페이스를 갖추고 있지만, 테스트한 제품들 가운데 가장 유연하고 강력한 IPS는 넷스크린이었다(모든 제품 가격은 테스트 구성 상태에서의 가격이며, 타깃 대역폭은 400Mbps, IPS 엔진의 단일 인스턴스 상태다).

주니퍼 네트웍스
넷스크린-IDP 1000
침입 방지를 자동화시키고 눈에 띄지 않는 프로세스로 만들어주는 시스템들이 있는가 하면 넷스크린-IDP 100과 같은 제품도 있다. 보안 직원들 가운데 공격에 대한 모든 세부 사항을 분석할 수 있는 노하우와 열망을 가진 사람이 있고, 맞춤 서명을 만들어 회사 네트워크의 특수한 필요조건을 처리할 수 있는 사람이 있다면, IDP 1000이야말로 가장 적합한 제품이 될 것이다. 이 시스템은 강력한 전문가용 인터페이스로서 전문 기술을 갖춘 사람들이 공격의 컨텍스트를 이해할 수 있게 해준다. 나아가 이 제품에는 맞춤 서명을 위한 최상의 도구가 있다.
상세함을 지향하는 이 시스템의 성격을 잘 드러내주는 한 가지 예는 활동 로그를 보여주는 장비 창이다. 사건이 디스플레이가 될 때 공격에 마우스를 갖다 대면 응답을 트리거링한 서명에 대한 세부 사항을 볼 수 있다. 공격 타깃과 진원지의 IP 어드레스에 관한 필터 정보도 공격과 함께 잘 정리돼 있어 유용하게 사용할 수 있다.
테스트한 많은 시스템들과 마찬가지로, IDP 1000에도 여러가지 관리 인터페이스가 있었는데, 첫 단계의 테스트를 거친 후 시스템을 재구성하는 데는 약간의 불편함을 겪어야 했다. 스니핑 모드에서 브리징 모드로 바꿀 때에는(여기서 공격 차단이 행해진다) 전담 관리 인터페이스를 바꿀 수 있는 방법이 전혀 없었기 때문에 웹 인터페이스를 통해 첨부를 시켜야만 했다. 각각의 인터페이스에서 전체 구성 및 관리가 허용돼 특정 작업에 어떤 인터페이스가 사용되는지를 기억할 필요가 없으면 더 좋을 것 같다.
재구성 후에는 한 가지 흥미로운 기능을 발견했는데, IDP 1000을 인라인으로 두고 보고서 화면을 띄우자 이전 24시간 동안의 수많은 공격들을 볼 수 있었다. 이것은 사흘 동안 켜지지 않았던 장비로서는 흔히 볼 수 없는 일이었다. 이 결과는 유효하긴 하지만 처음 재시동 중에 무언가로 인해 타이머의 기록이 정확하지 않게 됐다. 이 문제는 재시동을 시키자 사라졌다.
우리가 만든 트래픽으로 테스트를 시작하자 넷스크린은 적절한 이유로 많은 트래픽을 유실시켰다. 즉 헤더와 포트가 일치하지 않을 경우에는 트래픽의 통과를 허용하지 않았다. 이 장비는 접속을 재설정하거나 특정 IP 어드레스에서 트래픽을 차단했으며, 이는 트리거링 이벤트의 종류와 엄격성에 따라 좌우됐다. 디폴트 구성에서 이 시스템은 서명 대조보다도 더 많이 변칙 트래픽을 탐지해냈다.
하지만 이러한 모든 활동 중에 우리는 멋진 요약 데이터를 볼 수 있었으며, 시스템은 여기에 컨텍스트/디코드 정보를 추가시켰다. 한 번만 더 클릭을 하면 주변 패킷의 디코드가 있는 이더리얼(Ethereal) 페이지로 옮겨갈 수 있었는데, 이 데이터를 이용해 무엇을 해야할지 아는 사람들에게는 매우 소중한 기능이다.
우리가 받은 서명은 임베디드 그림 공격을 막지 못했지만, IDP 1000은 생성 스트림 테스트에서 다른 어느 시스템보다도 더 많은 문제의 트래픽을 식별해 냈다. 이 장비는 침입 방지용으로는 비싸지만 보안 전문가의 손에 들어가면 풍부한 툴세트와 강력한 관리의 진가를 발휘할 수 있을 것이다.
■ 넷스크린 IDP 1000 ■ 가격: 4만9천995달러
■ www.juniper.net

포티넷
포티게이트-3600 안티바이러스 파이어월
포티넷의 포티게이트-3600은 테스트에서 복합적인 인상을 주었다. 즉 풍부한 사양과 매우 뛰어난 사용자 인터페이스가 있긴 하지만 테스트의 어느 특정 시점에서는 성능이 그리 좋지가 못했다. 그러나 상황 정리가 끝나자 포티넷은 이번 리뷰의 최고 득점자 가운데 하나로 판명이 났는데, 이는 그 관리성과 편리한 사용법, 그리고 아무리 열정적인 구성 트위커들이라도 기뻐하기에 충분할 만큼 풍부한 사양 덕분이었다.
포티게이트의 보안 접근방안은 단일 관리 세션에 접속하기 이전에 시작되었다. 우리는 전면 패널 스위치를 이용해 많은 패러미터들을 구성했으며, 여기에는 어떤 구성 변경이든 PIN으로 권한을 부여받아야 한다는 필요조건뿐만 아니라 표준 사용자 이름 및 패스워드 등이 포함됐다. 포티게이트로 접속을 하자, 이것은 표준 웹 브라우저를 이용했는데, 여기서 자바는 사용되지 않으며, 인터넷 익스플로러는 필요치 않았다. SSL은 지원됐다. 세션을 시작한 후 우리는 확실한 모양에 논리적 조직을 갖춘 사용자 인터페이스로 이동을 했으며, 여기서는 이번 리뷰에서 본 것들 가운데 가장 완벽한 사양 세트로의 액세스가 준비돼 있었다.
서명 기반 장비로서, 포티넷은 자동화된 접근 방안을 택하고 있는데, 여기서는 새로운 서명이 포티넷의 서명 서비스로부터 다운로드된 다음 관리 시스템을 통해 장비로 푸싱된다. 이메일 발표는 통보 연락처나 목록으로 전송되며, 자동 업데이트 기능을 원치 않는 사람들을 위한 원 클릭 수동 프로세스도 사용 가능하다. 서명이 자동으로 다운로드되긴 하지만 이들이 장비로 설치되기 이전에 관리자의 확인 절차가 요구되는 세 번째 옵션이 있었다면 더 좋았을 것 같다.
맞춤 서명이 필요한 사람들을 위해 포티게이트에는 이들을 만들 수 있는 설비가 갖춰져 있다. 테스트 때 사용 가능했던 600개의 서명에 비교적 간단하게 우리가 만든 것들을 추가할 수 있었다. 서명 생성을 위한 인터페이스는 나머지 인터페이스처럼 레이아웃이 논리적이진 못했지만, 포티넷답게 사양은 매우 풍부하게 갖추고 있었다.
포티게이트에는 한 쌍의 기가비트 이더넷 동선 인터페이스 및 패스트 이더넷 관리 인터페이스와 함께 네 개의 파이버 SC 인터페이스가 있다. 기가비트 인터페이스를 개별적인 네트워크 영역으로 관리하거나, 혹은 이들을 보다 큰 영역에 통합시킬 수가 있었으며, 여기서 정책들이 적용 및 시행됐다. 생성 및 배치될 수 있는 정책의 범위 덕분에 포티게이트를 표준 방화벽에서부터 고도로 엄격한 작동 방지 시스템에 이르는 다른 여러 보안 장비들과 같이 작동시킬 수가 있었다.
포티게이트-3600은 4기가비트 장비로 규정돼 있으며, 단순 작동 단계에서 우리 테스트의 1Gbps 한계까지 쉽게 트래픽을 처리해냈다. 하지만 적용시키는 규정들이 점점 복잡해지고, 이들이 점차 더 많이 시행이 되자 장비의 성능은 영향을 받기 시작했다. 시스템이 완전히 구성된 상태에서, 네트워크에 테스트 중인 장비가 없을 경우의 기본 최고 대기시간은 트래픽 흐름이 500Mbps 이하일 때에 비해 세 배에 달했다. 예상치 못했던 바는 아니지만, 이 제품, 혹은 다른 어떤 IPS를 어떻게 배치할지 생각할 때는 이 점을 반드시 염두에 둬야 한다.
포티넷의 서명은 우리 테스트의 라이브 데이터 섹션에서 드러난 예상된 공격 범위를 탐지해내고, 2단계 테스트에서 생성된 공격을 중단시켰다. 디폴트 구성에서 사소한 부분이 우리를 실망시켰는데, 그것은 코드레드 웜용 서명이 서명 세트에 포함돼 있긴 했지만 디폴트로 작동하지 않았다는 점이었다. 이것은 충분히 디폴트 구성에 포함되고 남을 만큼 일상적인 공격이다. 사실상 모든 IPS에서처럼 포티게이트를 작동시키기 이전에 먼저 서명과 응답 기반을 조정할 필요가 있다. 다행히도 포티넷은 맞춤화 절차를 비교적 간단하게 만들어뒀다.
포티게이트-3600의 가격은 이 시장에서 비교적 저렴한 편이다. 단 비교적 짧은 기간인 90일 계약 기간 이후로 서명 업데이트를 계속하고 싶다면 별도로 유지보수 계약을 맺어야 한다. 물론 이것은 다른 모든 포티게이트의 단점들처럼 사소한 문제에 불과하다. 포티게이트-3600은 완벽하다고 할 수는 없지만 우리가 테스트한 제품들 가운데 최고의 서명 기반 IPS 가운데 하나였다.
■ 포티게이트-3600 안티바이러스 파이어월
■ 가격: 2만9천995달러 ■ www.fortinet.com

ISS
프로벤티아 인트루전 프리벤션 어플라이언스 G1000-400
G1000-400 ISS는 프로벤티아 G1000-400, 사이트프로텍터(SiteProtector) 소프트웨어, 그리고 사이트프로텍터 매니지먼트 콘솔(SiteProtector Management Console)로 구성된 풀 세트 제품으로 풀 세트의 기능을 제공하고 있다. 하드웨어와 소프트웨어는 함께 작동해 네트워크를 보호하는데, 단 포티넷이나 티핑포인트 제품보다는 다루기가 약간 더 힘이 들 것이다.
ISS는 사이트프로텍터와 사이트프로텍터 매니지먼트 콘솔 소프트웨어 컴포넌트를 별도의 시스템에서 돌리도록 권장하고 있는데, 우리도 여기에 동의하는 바다. 우리는 이 두 가지 애플리케이션을 하나의 서버에서 돌리려 했다. 제대로 구성이 갖춰진 서버이긴 했지만(듀얼 제온 프로세서와 많은 램 장착), 관리 콘솔의 성능은 몇 가지 상황에서 눈에 띄게 느렸으며, 특히 꽤 큰 로그 파일을 기반으로 보고서를 만들려 할 때는 더욱 그러했다. 사이트프로텍터 매니지먼트 콘솔은 자바로 만들어졌지만(이는 분명 하드웨어 필요조건 때문이다), 소프트웨어가 서버에 주는 부하를 반드시 알고 있어야 한다.
하지만 일단 인터페이스로 들어가자 여러 기능으로 액세스를 해서 사건 보고와 활동을 만들어내는 패팃들을 볼 수 있었다. 미리 짜여진 다양한 보고들이 관리자나 운영자용으로 애드혹이나, 혹은 정기적인 스케줄로 실행이 될 수 있다. 보안 전문가에게는 프로토콜 디코딩 능력이 아마 더 흥미로울 것이며, ISS는 비록 디코딩된 전체 패킷을 제시하진 않지만 훌륭한 모습을 보이고 있다. ISS는 곧 있을 소프트웨어 업데이트에서는 이 능력도 제공할 것이라고 밝혔다.
관리 보고와 패킷 디코드라는 양 극단 사이에는 공격을 그룹화하고 IPS의 활동을 볼 수 있는 여러 가지 방법들이 있다. 풍부한 옵션들로 인해 학습의 난이도는 경쟁 제품들보다 다소 높지만, 그 결과로 네트워크가 어떻게 목표물이 돼 있는지, 그리고 어떤 수단에 의해 그렇게 되었는지에 대해 상당한 정보를 얻을 수 있다. 이것은 보안을 향상시키고자 할 때 매우 소중한 정보가 될 것이다.
매니지먼트 콘솔의 대시보드 기능은 보고서, 도표, 그리고 운영 중에 장비가 어떤 일을 하고 있었는지를 보여주는 그래프들로의 액세스를 제공해주었다. 인터넷으로 가기를 진정으로 원하는 것은 센서가 아니라 바로 콘솔이었다. 콘솔은 중단되거나 통과로 기록된 공격을 설명하는 데 사용되는 정보를 찾기 위해 ISS 웹 사이트를 찾아갔다.
탐지 엔진도 또한 인상적이었다. 라이브 데이터 테스트에서, ISS는 적법한 트래픽을 그다지 많이 차단하지 않으면서 대다수의 공격을 식별해 냈다. 생성 트래픽 테스트 동안에 G1000-400은 서명과 인터페이스 안에 디폴트 이벤트로 정의돼 있는 응답들을 이용해 코드레드 웜을 중단시켰다. 관리 콘솔에서는 중단된 공격을 하나의 표준 공격이 아니라 이벤트로서 보여주었다. 이벤트의 모든 개별적인 사항들이 정확히 보고되기도 했지만 공격이 담겨 있는 빈(bin)은 정말이지 매력적이었다. 보안 관점에서 볼 때 이 시스템은 편집증 수준으로 엄격했다.
예를 들어 센서를 시동시키자 이것은 어떤 트래픽도 통과시키지 않으려 했다. 일단 인터페이스와 영역을 구성하자 공격이 적절히 식별 및 중단되었음을 알 수 있었다. 규정도 또한 멋지고 엄격해서 여러 가지 면에서 금지된 트래픽과 비슷하게 보여도 적법한 트래픽은 통과를 허용했다. 다른 트래픽은 눈에 띄는 대기시간이 없이 통과됐으며 어떤 트래픽 레벨에서든 최고 400Mbps 이상의 처리속도를 기록했다.
전체 관리 인터페이스의 일부로 ISS 취약성 평가 스캐너를 사용할 수 있는 플러그인이 있는데, 이것은 통합 보안 기능을 만들고자 하는 조직들에게 유용하다. 최종 분석 결과 이 합리적인 가격대의 시스템에는 멋진 손길의 흔적이 많이 눈에 띄였다. 관리용으로 지속적으로 보고서를 필요로 하거나, 혹은 자체 분석을 위해 매우 강력한 보고 기능을 갖춘 IPS가 단지 필요한 상황이라면, 프로벤티아 장비가 좋은 선택이 될 것이다.
■ 프로벤티아 인트루전 프리벤션 어플라이언스 G1000-400
■ 가격: 2만9천314달러(기술지원, 업데이트 및 교환 포함; 무제한 사이트프로텍터 콘솔 가격 포함)
■ www.iss.net

티핑포인트
유니티원-1200
티핑포인트의 유니티원-1200 인트루전 프리벤션 시스템은 아웃오브더박스로 ‘설치하고 잊어버리는’ 침입 방지 시스템으로는 최고의 제품이다. 강력한 보호 기능과 함께 많은 양의 트래픽을 처리할 수 있으면서 동시에 네트워크 관리자가 IPS의 세부사항들을 시시콜콜 알지 못하게 하고 싶다면 유니티원이 바람직한 선택이다. 하지만 IPS를 조정하기 위해 상당한 수동 작업을 해야 한다면 인터페이스의 일부분에서 작업이 중단될 것이다.
티핑포인트는 뭔가 살펴볼만한 여지를 그리 많이 주지 않는 간단한 사용자 인터페이스로 시작됐다. 이것은 거의 할 일이 별로 없는 것같은 느낌을 주지만 아마도 이는 아웃오브더박스로 지원이 되는 기능의 수와 관련이 있을 것인데, 이러한 기능들로는 서명 사용과 응답 및 보고용의 작업 가능한 초기 구성 등이 있었다. 셋업은 빠르고 간편하게 이뤄졌지만, 몇 가지 일일 관리 항목들이 숨겨져 있었다. 예를 들어 티핑포인트는 어떤 패킷이 이벤트를 만들어냈는지를 확인하기 위해, 혹은 포렌직을 목적으로 로 데이터를 얻기 힘들도록 만들어 뒀다.
티핑포인트는 언제나 인라인으로 배치될 것을 염두에 두고 유니티원을 만들었다고 말하며, 첫 단계의 테스트를 심각하게 보류하기도 했다. 하지만 유니티원은 옵티컬 탭 테스트 단계를 매우 잘 통과했으며, 높은 대역폭을 쉽게 처리하고 공격을 일관성 있게 집어냈다. 인라인 단계로 옮겨가자 장비의 성능은 인라인 배치 모델을 그대로 따라갔으며, 폴스 포지티브를 최소화했다.
유니티원은 두 번째 테스트 단계에서 코드레드와 JPG 악용 공격을 중단시키는 데 성공했지만. 성능 결과에서는 얼마간의 지터가 있어 당혹스러웠다. 대기시간이 늘어나긴 했지만, 개별적인 패킷 대기시간은 우리 테스트 트래픽의 속성 때문에 큰 폭의 차를 보였다. 그리고 우리는 우리가 거의 최악의 경우에 가까운 시나리오를 구성했음을 깨달았는데, 상당량의 수상한 트래픽에서 유니티원은 심도 깊은 점검을 수행한 다음에야 이것이 위협이 되지 않는다고 결정하고 통과를 허용했다. 정상적인 네트워크에는 성능이 문제가 되지 않을 것이다.
티핑포인트에는 옵티컬 바이패스 장비가 포함돼 있어 유니티원으로 가는 전원이 차단될 경우에도 네트워크의 연속성을 보장해준다. 바이패스 기능은 선전대로 작동해서 장비 플러그를 뽑았을 때도 데이터를 계속 전달해주었다.
유니티원은 테스트한 제품들 가운데 가장 비싼 시스템이었으며, 단 제품을 배치하는 데 보안 전문가를 둘 필요가 없는 것으로 얼마간의 회수는 가능할 것이다. 복잡한 보안 장비인 셈치고 유니티원은 설치와 구성, 그리고 이용 가능한 상태로 만들기가 매우 간편했다. 만약 공격과 악용에 대한 지저분한 세부사항들로 보다 쉽게 액세스만 가능했다면, 유니티원은 거뜬히 최고의 자리에도 오를 수 있었을 것이다.
■ 유니티원-1200 인트루전 프리벤션 시스템
■ 가격: 6만4천995달러(4포트 포함)
■ www.tippingpoint.com

시큐리티매트릭스
시큐리티 어플라이언스 모델 60
시큐리티메트릭스는 리눅스, 스노트, 네써스(Nessus) 및 기타 오픈소스 소프트웨어와 함께 맞춤 통합 및 관리 기능이 포함된 시스템을 이용해 IPS 시장에 진출했다. 모델 60은 ip엔젤(ipAngel)과 기본 기능을 공유하고 있다.
불행히도 시큐리티메트릭스 시스템에는 초기 IPS 제품들에서 흔히 볼 수 있는 거친 면면들이 있다(물론 여기에 대해 많은 약속이 돼 있는 상태이기도 하다). 가격은 이번 리뷰에서 가장 낮은 단돈 1만4천999달러였다.
모델 60은 최고 트래픽 속도가 보통 650Mbps인 라이브 트래픽 테스트에서는 좋은 결과를 내지 못했는데, 이는 놀랄 일도 아닌 것이 이 장비의 정격 속도는 200Mbps에 불과하다. 트래픽이 200Mbps로 줄어들자 시큐리티메트릭스 장비는 전체 흐름을 쉽게 처리했다. 사실 모델 60은 최고 400Mbps까지 트래픽을 처리하기도 했는데, 단 이 때는 상당량의 지터가 있었다.
시큐리티매트릭스 패키지에서 스노트는 없어서는 안 될 중요한 컴포넌트기 때문에, 침입이 탐지됐을 때 풀 패킷 디코드가 쉽게 가능했다. 모델 60의 인터페이스는 규칙적으로 기본 소프트웨어 인터페이스로 돌아갈 필요없이 활동에 대한 강력한 보고를 얻을 수 있게 해주었으며, 거의 어떠한 환경이든 처리하도록 시스템을 구성할 수도 있었다. 문제는 구성에 얼마나 많은 시간과 전문인력을 투자해야 하는가가 될 것이다.
생성 트래픽 테스트에서 이 시스템은 코드레드 트래픽 처리에 문제가 있었는데, 즉 이벤트에 대해 트리거링을 하긴 했지만 잘못된 서명을 이용했다. 이 장비는 코드레드를 감지하도록 구성되었지만 그 이름으로 집어내는 못했다. 사실 공격이 중단되기는 했다. 모델 60은 ‘JPG 그림’ 공격을 중단시키지도 못했다. 이 공격은 테스트 당시에만 하더라도 상당히 새로운 공격이긴 했다.
우리가 테스트에서 사용했던 대기업 모델에 비해 필요가 가벼운 수준이라면 모델 60의 대역폭 한계도 문제가 되지 않을 것이다. 기능성에서의 대부분의 문제는 인터페이스의 미성숙함으로 인한 것이었다.
■ 시큐리티메트릭스 시큐리티 어플라이언스 모델 60
■ 가격: 1만4천999달러(테스트 구성), 모델 10은 5천999달러
■ www.securitymetrics.com

라드웨어
디펜스프로 AS-III/SME
라드웨어의 디펜스프로(DefensePro)는 강력한 사양과 큰 대역폭이 조화를 이루고 있다. 이 제품은 우리가 던져 넣은 모든 트래픽을 처리했지만, 그 관리 및 분석 인터페이스가 경쟁 제품들만큼 직관적이지를 못했다. 다른 어떤 시스템의 CLI보다도 라드웨어의 ‘업계 친화적인’ CLI(이 인터페이스는 시스코 IOS와 매우 유사한 모습이다)에서 훨씬 더 많은 시간을 보내야 했다. 우리가 네개의 라드웨어 제품들과 만나본 결과 중간 성적을 낸 고성능 제품으로 마무리 할 수 있었다는 사실을 알아두기 바란다.
먼저 네 제품들을 보자. 무슨 일이 일어났는지 우리도, 라드웨어 엔지니어들도 확신할 수가 없지만, 세 개의 디펜스프로 장비들은 계속해서 우리 랩을 마음에 들어하지 않았다. 문제는 대역폭 처리 부족에서부터 새로운 공격 인식 거부에 이르기까지 다양했다. 네 번째 제품은 자리를 잡고 수행이 잘 됐다.
디펜스프로가 테스트한 다른 대부분의 장비들과는 매우 다른 방식으로 작동한다는 점을 주목해야 한다. 대부분의 IPS가 접속을 재설정해서 외부 IP 어드레스를 차단하고 내부 어드레스를 격리시키는 곳에서, 라드웨어 시스템은 트래픽 쉐이핑과 대역폭 제한을 추가함으로써 공격에 대한 보다 정교한 응답 세트를 만들어냈다. 예를 들어 DoS 공격은 전체 대역폭 중에서 작은 부분으로 한정될 수 있기 때문에, 그 영향이 최소화되며 동시에 위반 네트워크(서버)에서 오는 적법한 트래픽이 계속 통과할 수 있게 해준다.
라드웨어는 대역폭과 대기시간 수치에서도 좋은 결과를 보여, 서명, 규정 및 응답 수가 늘어났을 때도 많은 대기시간이 추가되지 않았다. 생성 트래픽 테스트 동안 디펜스프로는 아무 것도 보내지 않을 때조차 공격을 보여줬다. 노이즈 패킷을 일부 채우기 위해 랜덤 데이터를 우리가 사용했다는 것은 곧 가끔씩 헤더와 포트, 패킷 콘텐츠들 사이에 일치하지 않는 게 있었다는 사실을 의미한다. 디펜스프로는 우리의 모든 배드 트래픽을 성공적으로 중단시켰으며, 라이브 데이터 테스트 단계에서 보여지는 적법한 공격을 식별해냈다.
라드웨어의 디폴트 설정은 한정적이었으며, 포지티브 응답 수를 제한하기 위해서는 상당한 조정작업을 해야 했다(이 분야는 어느 제품이나 마찬가지일 것이다).
디펜스프로의 가격은 4만8천달러로 테스트한 장비들 가운데 최고 수준이었지만, 시스템의 전체적인 역량을 감안한다면 가격이 문제가 되지는 않을 것이다. 콘솔은 완벽하게 기능적이며, 단 ISS나 체크포인트 제품처럼 조정이 가능하지는 않다. 공격을 포함하고 있는 트래픽을 단순히 끄고 켜는 게 아니라 셰이핑할 수 있는 제품을 원한다면, 라드웨어가 정교한 솔루션으로서 그 역할을 다할 수 있을 것이다.
■ 디펜스프로 AS-III/SME ■ 가격: 4만8천달러
■ www.radware.com

체크포인트
인터스펙트 610
인터스펙트 610은 델 1U 서버를 기반으로 하는 몇몇 장비들 가운데 하나로, 이번에는 듀얼 CPU 박스가 사용됐다. 체크포인트는 각 인터페이스에 CPU를 하나씩 전담시킴으로써 네트워크 트래픽 흐름이 대칭적인 곳에서 얼마간의 성능 향상을 만들어냈다. 인터스펙트 610은 우리의 기대만큼 성능을 냈으며, 어떠한 큰 대기시간도 눈에 띄지 않았다. 그리고 이 제품에서는 이해하기 쉽고 성숙한 사용자 인터페이스를 이용해 기능을 구성 및 관리할 수 있었다.
인터스펙트 610과의 대부분의 상호작동은 전담 클라이언트 소프트웨어를 통해 이뤄졌다. 하지만 우리가 처음 본 것은 웹 인터페이스로, 이것을 통해 클라이언트 소프트웨어를 다운로드할 수 있었다. 체크포인트는 암호화 공중키 지문 디스플레이를 제공함으로써 인간이 개입된 공격은 전혀 없음을 확인할 수 있게 했다. 이것은 공중 네트워크 영역을 통해 클라이언트를 설치하고 있을 때 재보증 장치가 된다. 이 작은 것만 보더라도 이 제품이 얼마나 성숙하게 만들어졌는지를 금방 알 수 있다.
하지만 깔끔한 인터페이스는 일부 사용자들에게는 너무 지나친 수준이 될 수도 있다. 우리의 경우는 공격에 대한 보다 상세한 정보와 몇몇 지점에서의 유연한 실시간 뷰가 아쉬웠다. 데이터를 살펴볼 수 있는 간편한 길이 몇 가지밖에 없어, 예를 들어 이벤트 수, 최신 이벤트, 엄중성 및 적합한 응답 등에 대한 다양한 뷰와 분석은 찾을 수가 없었다. 특히 표준 활동 보고서는 하이레벨 관리자들용으로는 좋겠지만, 대부분의 보안 전문가들에게는 더 많은 질문을 낳을 것이다. 긍정적인 측면을 보자면, 인터스펙트는 하나의 인터페이스만 학습하면 사용 가능한 모든 기능에 액세스할 수 있게 돼 있다.
인터스펙트 610의 커버리지는 대폭적으로 발견학습법을 기반으로 하고 있다. 이 장비들은 배치돼 있는 평생 동안 자신들의 탐지 및 응답 특성을 계속 가다듬기 때문에, 어떠한 한정된 기간의 테스트를 통해 이들의 모든 능력을 보여주기란 불가능에 가깝다. 그리고 인터스펙트는 성능도 또한 훌륭했다. 개별적인 인터페이스를 셋업하고, 특정 유형의 행동이 예상되는 영역을 정의할 때는 약간의 수고가 필요했다. 일단 퀵 프로세스가 이뤄지자, 인터스펙트는 라이브 트래픽과 생성 트래픽 테스트 단계 모두에서 웜과 악용 사례들을 인식했다.
인터스펙트는 비교적 느슨하게 배치를 시작했지만 네트워크를 학습해감에 따라 점점 더 정확해지도록 만들어졌다. 설정값을 수동으로 조정함으로써 배치를 가속화시킬 수도 있는데, 이것은 체크포인트 인터페이스를 이용해 간단히 수행되는 프로세스였다. 테스트의 첫 부분에서 보고서를 살펴본 후 우리는 웜 탐지 보고에서 인터스펙트가 보다 활동적이 되도록 설정을 조정했다. 자체 서명을 만들 수 있는 도구가 시스템의 소프트웨어에 포함돼 있으며, 시스템의 간편한 속성과 조화를 이루는 인터페이스도 함께 한다.
인터스펙트 610이 중간 순위가 된 것은 그 가격 때문이다. 네트워크가 비교적 안정적이라 발견학습 프로세스에 정상적 트래픽이 완전히 포함될 수 있다면, 이 제품은 강력하고 합리적인 가격대의 선택이 될 수 있을 것이다.
■ 체크포인트 인터스펙트 610 ■ 가격: 3만6천달러
■ www.checkpoint.com

루시드 시큐리티
ip엔젤 X3 AVS-400
ip엔젤은 리눅스에서 돌아갈 수 있는 오픈소스 소프트웨어를 이용한 시스템으로는 테스트한 제품들 가운데 유일한 두 제품 중 하나였다. 이번 경우 루시드 시큐리티는 하나의 완전한 IPS 시스템에 대한 기반으로 레드햇 리눅스를 이용했다. 시큐리티메트릭스의 모델 60과 마찬가지로 ip엔젤은 네써스, 스노트 및 ip테이블 등과 같은 다양한 프로그램들을 하나의 유용한 중앙 인터페이스로 덮어서 여러 조각들을 하나의 IPS 서버로 통합시켰다. 루시드는 기능들을 잘 합쳤으며, 가격 경쟁력도 뛰어나다. 하지만 불행히도 루시드의 이행에는 몇 가지 결함이 발견됐다.
첫 번째 큰 문제는 ip엔젤이 라이선스 키를 확인받고 서명 파일을 업데이트하기 위해서는 인터넷에 연결이 돼야 한다는 것이다. 이것은 많은 네트워크 전문가들이 피하고 싶어하는 위험이다. 위험이 간단한 등록 절차에만 따르는 것이라면 좋겠지만, 루시드는 테스트한 다른 어떤 제품들보다도 더 많은 것을 포함시켰다.
ip엔젤은 테스트 시나리오에서 사용한 모든 만들어진 위협들을 포함해, 다양한 위협을 인식하고 여기에 대응하도록 구성될 수 있었다. 하지만 장비를 구성하고 ip엔젤의 활동을 정밀하게 관찰하는 데서는 얼마간의 문제에 부딪혔다. 루시드 인터페이스는 사용자와 리눅스간을 격리시킬 수 있는 방안을 제공하긴 하지만, 리눅스 전문가만이 할 수 있는 맞춤화 항목들이 있었다. 우리의 경우에는 일상적인 인터페이스를 통해 우리가 ip엔젤로 액세스하지 못하게 하는 방화벽 규정 그룹을 겨우 만들어냈다. 리눅스 명령어 라인을 잠깐 훑어보고 ip테이블에 변경을 가하자 관리 인터페이스 액세스는 복구됐다.
보고에 있어서의 문제는 외장 시스로그 서버에 이벤트를 기록하거나 혹은 SNMP 트랩을 기반으로 이벤트를 보고하기가 불가능해보이는 데서 시작됐다. 결정적인 결함은 아니지만, 이로 인해 ip엔젤을 보다 큰 보안 인프라로 통합시키기가 더 힘들었다. 루시드는 또한 실시간 기반으로 정보를 보기가 시큐리티메트릭스보다 더 힘들었으며, 결국에는 관리 인터페이스 밖에서 필요로 하는 모든 정보를 얻을 수 있었다.
ip엔젤은 무리들 가운데 저렴한 편에 속했다. 이 장비는 적법 공격 히트율이 좋았으며, 폴스 포지티브 수도 높지 않았고, 많은 사용자들이 오픈소스 프로세스의 일부로 여기는 기반을 이용하고 있다. 게다가 인터페이스도 성숙한 느낌을 주었다. 네트워크 팀에서 리눅스를 공기처럼 생각한다면 ip엔젤로 하여금 네트워크를 지켜보게 하는 것도 좋은 생각이다.
■ ip엔젤 X3 AVS-400
■ 가격: 1만8천달러(하드웨어 1만5천달러, 연 가입비 3천달러)
■ www.lucidsecurity.com

V-시큐어 테크놀로지스
V-시큐어 V-1000
V-시큐어는 아주 좋은 점도 몇 가지 있고 머리를 쥐어뜯게 만드는 인터페이스도 가지고 있는, 곤혹스러운 제품이었다.
V-1000은 발견학습법만을 기반으로 하는 유일한 제품이었다. 그 모니터링 및 차단 모델은 매우 창의적이며 효과적일 수 있지만, 반드시 문제를 수반하기도 했다. V-시큐어는 공격을 보고 필터를 돌린 다음, 필터 성공에 대한 피드백에 신속하게 반응하는 피드백 루프 시스템으로 작동한다. 하지만 이 제품은 이상 행동을 탐지하고 정찰 단계에서 거의 모든 공격을 잡아내는 데 전적으로 의존하고 있다.
누군가 구글을 이용해 취약한 서버를 발견한 다음 알려진 취약성에 대해 직접적인 공격을 가할 경우, 이상행동 탐지 시스템은 트래픽 패턴을 탐지하지 못할 가능성이 많다. 이를 통해 이 접근법의 한계를 잘 알 수 있다. 즉 정찰 단계가 없이 직접적으로 행해지는 공격을 처리하는 데는 패턴 패치 엔진이 반드시 필요하다. 이 점을 감안해 우리의 테스트 및 분석 결과를 보면 V-시큐어가 DoS 공격을 탐지 및 중단시키는 데는 최상의 시스템이 될 수 있다는 사실을 알 수 있다.
이 제품은 여기에 매우 신속히 대응해서 이들을 차단시킴으로써, 실질적으로 네트워크에 어떠한 영향도 미치지 못하도록 이들을 철저히 봉쇄했다.
성능 테스트에서 V-시큐어는 400Mbps를 쉽게 전달했다. 트래픽 부하를 늘리자 1,000Mbps 근처에서 대폭 느려져 마침내 한계에 도달했다. 게다가 V-시큐어는 전용망 어드레스가 공중망쪽 인터페이스로 라우팅되는 것을 싫어하여 여기에 대해 강력하게 불만을 토했다. 이 때문인지, 아니면 발견학습법을 익힐 만큼 충분히 자주 테스트를 반복하지 않아서인지, V-시큐어는 코드레드 트래픽이나 우리의 JPG 악용을 막지 못했다. 단 첫 단계 테스트에서 V-시큐어는 네트워크에 대해 퍼부어진 공격의 상당량을 인식하긴 했다.
주 사용자 인터페이스는 논리적인 외양을 갖추고 있으며, 우리가 본 것들 중 가장 직관적이진 않지만 생각대로 작동할 것이다. 우리는 공격을 발견하고, 어떤 것이 응답을 트리거링했는지를 확인할 수 있었다. 진짜 문제는 서로 다른 기능에 대해 가지각색의 인터페이스가 사용 가능하다는 데서 비롯됐다. 관리자, 운영자, 임원, 기술자, 그리고 심지어 야간청소부용으로까지, 인터페이스가 네 개보다 적은 경우는 없었다. 서로간에는 어떠한 연관도 없으며, 유용한 정보를 얻기 위해 이들간에 이동을 하기란 모험에 다름아닌 일이었다.
V-1000은 장래가 많이 기대되는 제품이긴 하지만, 4만5천달러의 가격이라면 약속보다는 실제로 제공하는 게 더 많아야 한다. 이 시스템의 다음 개발 세대에서는 진정으로 뛰어난 장비의 탄생을 볼 수 있을 것 같다.
■ V-시큐어 V-1000 ■ 가격: 4만5천달러
■ www.v-secure.com