김경석
탑레이어코리아 지사장
kskim@topLayer.com

네트워크 보안 분야는 동적인 환경으로서 원격으로 공격 가능한 새로운 취약점이 지속적으로 나타나 악용되고 있다. 서치시큐리티닷컴(SearchSecurity.com)에 따르면 시스템과 소프트웨어 취약점의 성장률은 2001년에서 2003년 사이에 3배인 한 달에 60개이며, 매달 10~15개의 새로운 바이러스가 등장했다. IT 조직은 심각한 피해를 입거나 자산을 도난당하기 전에 시스템에 신속하게 패치를 설치하기 위해 고군분투하는 상황이다.
각종 취약점과 신속한 패치 적용의 어려움에서 벗어나기 위한 대안을 무엇일까? 기존 시그니처 기반의 IPS가 아닌 정책기반 침입방지시스템을 활용한 제로데이 공격 방어 방안을 살펴보자. <편집자>

네트워크 침입방지시스템(IPS)과 같은 네트워크 보호 솔루션은 전체 인프라에 패치가 올바르게 설치될 때까지 취약한 시스템을 보호하기 위해 필요하다. 모든 시스템에 패치를 설치할 때까지는 일부 IPS 장비의 시그니처를 갱신해 공격을 탐지하고 차단하면 서버를 더욱 효과적으로 보호할 수 있다.
그러나, 서버에 지속적으로 패치를 설치하더라도, 패치가 나오기 전에 취약점이 악용되거나 주요 메커니즘으로 시그니처를 사용하는 IPS가 설치된 환경에서는 시그니처가 나오기 전에 취약점이 악용된다. 또 벤더가 아무리 빠르게 패치와 시그니처를 개발해 출시한다고 해도 상당한 IT 손실을 방지하기에는 너무 느린 것으로 알려져 있다. 이런 경우에는 제로 데이 익스플로이트는 더 큰 문제를 야기할 수 있다.
따라서 제로 데이 익스플로이트라고 불리는 유해한 공격으로부터 보다 능동적으로 보호할 수 있는 새로운 방법이 필요하다.

사이버 공격 피해 갈수록 늘어나
CSI/FBI의 컴퓨터 범죄 및 보안(Computer Crime and Security) 보고서에 따르면, 조사응답자당 평균 사이버 범죄 손실액은 약 52만6천달러에 이른다. 이것은 현재 IT 인프라는 취약해 컴퓨터, 인터넷 연결, 약간의 기술만 갖고 있으면 공격을 감행할 수 있기 때문이다. 악성 코드를 작성하거나 사용하고 새서와 같은 웜, 트로이 목마 등을 배포하는 개인이나 집단을 차단해야 한다. 종전에는 대부분의 악성 코드로 인해 네트워크 대역폭 사용, 일부 파일 손실 또는 도난, 관리자가 문제의 시스템을 판별하고 패치를 설치하는 데 소요되는 시간 등이 피해의 전부였다. 악성 코드가 발견되면 소프트웨어 및 보안 벤더가 추가 공격을 방지하기 위해 패치를 출시하고는 했다.
최근에는 경제적인 피해를 입히기 위한 공격이 늘어나고 있다. 상당한 재정 자원을 보유하고 있는 주요 인프라 및 기업이 주로 공격의 대상이 되고 있다. 재정 서비스, 의료, 전력 및 에너지 부문의 기업들이 2004년에 심각한 공격을 당한 바 있다.
2004년도 6월에 진행된 CSI/FBI 컴퓨터 범죄 및 보안 설문 조사에 따르면 미국에서 사이버 위협으로 인해 1억4천만달러 이상의 손실이 발생했다.
상호 연결된 이동 작업장이 늘어남에 따라, 악성 코드는 보다 빠른 속도로 주요 자산으로 퍼져 감염될 수 있다. 자원이 증가하고 공격이 보다 자주 발생하는 환경에서 취약점 패치가 출시된다 하더라도 수많은 패치를 계속 적용하는 것도 쉽지는 않다. 또한, 제로 데이 익스플로이트라는 공격 방식이 등장해 이전에는 알려지지 않아 보호되지 못했던 취약점도 공격하는 추세를 보이고 있다. 이러한 익스플로이트가 점점 더 복잡해지고 방대해지면서, 기존 방화벽 보안, 바이러스 업데이트, 소프트웨어 패치로는 제로 데이 익스플로이트 문제에 대처할 수 없게 됐다.

제로 데이 익스플로이트란 무엇인가?
제로 데이 익스플로이트는 사람들이 취약점을 알게 되기 전이나 알게 된 날에 취약점을 공격하는 공격 방식이다. IT 조직은 계속해서 시스템에 패치를 설치하고 업데이트를 하고 있다. 소프트웨어 및 하드웨어 벤더는 타사의 연구자, 고객 피드백, 내부 테스팅 등을 통해 새로운 취약점을 발견하면, 소프트웨어 업데이트, 패치, 서비스 팩, 보안 업데이트 등을 개발하여 보안 문제를 보정한다. 악의적인 공격자가 아직 벤더에서는 인식하지 못하여 패치가 없는 취약점을 악용하는 바이러스나 웜을 작성하면, 단시간에 피해를 극대화할 수 있다<그림 3 참조>.
<그림 2>는 IT 전문가가 인프라의 보안 작업 시 중점을 둬야 하는 세 가지 분야를 도식화한 것이다.

·무단 접근: 합법적인 사용자와 허용된 애플리케이션을 기준으로 접근을 차단하고 사용 규칙을 적용합니다. 예를 들어, 특정 이메일 서버에 대한 접근을 제한하거나 P2P 트래픽을 차단한다.
·악의적인 콘텐츠: 내부 자원에 있는 파일을 설치, 삭제, 또는 조작하거나 네트워크 및 서버 애플리케이션 또는 운영 체제의 취약점을 공격하는 악성 프로그램 또는 악성 코드다.
·속도 기반 공격(자원 소모): 분산 서비스 거부(DDoS) 공격과 같은 유형의 제로 데이 공격은 단기간에 많은 트랜잭션을 발생시켜 네트워크, 서버, 애플리케이션 자원의 용량을 초과하도록 한다. 예를 들어, 스푸핑을 사용하는 사용자가 동일한 웹 페이지를 1초에 1천번 접근 시도할 수 있다. 이렇게 하면 방화벽이나 로드 밸런서 등의 네트워크 장비, 네트워크 패킷을 처리하는 서버, 요청을 처리하는 애플리케이션 등과 같은 장치에 로드가 발생하게 된다. 그 결과, 합법적인 사용자가 웹 콘텐츠에 접근할 수 없게 된다.

제로 데이 익스플로이트는 악의적인 콘텐츠 또는 DDoS 공격과 같은 속도 기반 공격이거나 악의적인 콘텐츠를 포함하는 속도 기반 공격(혼합 공격)으로 분류된다. 하지만, 사용자 또는 자원 접근을 차단하는 것만으로도 제로 데이 익스플로이트를 어느 정도 막을 수는 있다.
<그림 2>에서 보면 속도 기반 공격에 악의적인 콘텐츠가 사용되는 제로 데이 공격의 방어는 보다 어렵다는 것을 알 수 있다.
DDoS 공격이나 대량의 부당한 트래픽이 함께 포함돼 애플리케이션 공격을 시도하는 것이 현재 추세다. 혼합 공격은 IPS와 같은 보안 장비의 용량을 초과시켜서 잘못된 모든 패킷을 검사해 차단할 수 없도록 하는 데 효과적이다. 따라서 악의적인 트래픽이 인프라에 침투할 확률이 높아지게 된다.
잘 알려진 예로, 마이크로소프트 SQL 서버를 공격한 SQL 슬래머 웜이 있다. SQL 슬래머 웜은 코드레드와 같은 웜을 사용한 자동 전파 기법과 DDoS 공격이 모두 포함된 혼합 웜은 MS SQL 서버 시스템의 알려져 있는 취약점을 공격했다.

제로 데이 공격 방어에 따른 문제점
많은 벤더가 알려진 보안 취약점의 공격을 제로 데이 익스플로이트로 분류하고 있다. 벤더 및 주요 기술 제공업체는 대중에게 취약점이 알려져서 공격이 작성되기 몇 주 혹은 몇 달 전에 그 사실을 알고 있는 경우가 많다<그림 3 참조>. 여기서 제로 데이는 벤더가 패치 또는 탐지 메커니즘이 출시되기 전을 뜻하며 공격이 처음 발견된 날이 아니다.
불행히도 벤더 및 대부분의 사람들이 취약점을 발견하게 되는 것은 흔히 시스템에 어떻게 침입했는지 조사하거나 이미 전파되고 있는 바이러스를 분석할 때라는 것. 따라서 벤더가 취약점을 1년 전부터 알고 있었든 오늘 아침에 발견했든 간에 취약점이 대중에 알려졌을 때 이미 악성 코드가 존재한다면, 이 악성 코드는 주요 자산을 위협할 수 있는 제로 데이 익스플로이트다.
패치가 만들어져 출시된 이후라도 패치가 테스트 되어서 모든 시스템에 설치될 때까지 약간의 기간이 필요하다. 이 기간 동안에도 시스템은 공격을 받을 수 있다. 더욱 안 좋은 점은 패치가 발표되거나 출시된 이후에 공격 빈도가 보다 높아진다는 것이다. 시장조사 기관인 가트너에 따르면 취약점이 발표되고 나서 공격을 받는 취약점은 2003년의 15%에서 30%로 2배가 될 것이다(0.7 확률).

· 대응적 방어: 시그니처 및 제로 데이 공격
소프트웨어에 새로운 취약점이 발견되면 벤더는 취약점을 악용을 막을 수 있는 패치를 최대한 빨리 개발하여 발표해야 한다. 이 방법으로는 매우 빠른 속도로 전파되는 바이러스와 웜을 막을 수가 없었다. IDS 기반 침입방지시스템은 시그니처 일치 기법을 사용하고 있다. IDS 기반 IPS는 수집된 정보를 분석하고 공격 시그니처 데이터베이스와 대조한다.
즉, IPS는 이미 알려져 있는 특정 공격을 찾고 있는 것이다. 바이러스 탐지 시스템과 마찬가지로 IDS 기반 IPS는 패킷을 대조하는 데 사용되는 공격 시그니처 데이터베이스의 완벽성이 IPS의 성능을 좌우한다. 시그니처 대조가 중요하기는 하지만, 시그니처를 방지의 주요 장치로 사용하고 있는 벤더의 제품은 알려진 공격은 방어할 수 있지만 제로 데이 익스플로이트를 막을 수 있다고 주장할 때는 약간 제로 데이 익스플로이트의 정의를 변경해 주장하는 것이다. 실제로는 보안 회사(IDS 기반 IPS 벤더 포함)가 새로운 시그니처를 작성해 반응하기 이전에 가장 빠른 웜들은 전파되고 있다.
또한, 시그니처 데이터베이스의 크기가 커지면 커질수록 IDS 기반 IPS는 검색하는 데 시간이 많이 걸린다. 따라서 제로 데이 익스플로이트를 막기 위해서는 특수 용도 구조로 되어 있는 IPS 솔루션보다는 현재 기능 이상으로 성장할 가능성이 있는 탑레이어 IPS 5500과 같은 정책기반의 IPS 솔루션을 찾을 필요가 있다.

· 능동적 방어: 제로 데이 공격으로부터 보호하는 올바른 방법
업계 전문가에 따르면, 공격을 방지하는 최고의 전략은 좋은 보안 규칙을 따르고 다중 레이어 접근 방식을 사용하는 것이다. 안티바이러스 소프트웨어를 설치하고 최신 버전으로 유지하고, 악성 코드를 포함할 수 있는 이메일 파일 첨부를 차단하고, 알려져 있는 취약점을 패치를 통해 차단하면, 시스템이나 네트워크를 대부분의 위협으로부터 보호할 수 있다.
그러나, 알려진 공격과 제로 데이 익스플로이트에 대한 최선의 방어는 다중 레이어 보호 기능을 사용하는 침입방지시스템을 사용하는 것이다. 여기서 다중 레이어 보호는 무단 침입 차단, 악의적인 콘텐츠 필터링, 부적합한 네트워크 및 애플리케이션 트래픽 속도 등을 제한하는 등의 메커니즘을 포함하고 있어서 가장 완벽한 보호 기능을 제공한다.
정책기반의 IPS는 알려진 공격과 제로 데이 익스플로이트로부터 시그니처 대조 외의 세 가지 주요 장치를 통해 보호해 준다.

· 허용 가능한 사용법 적용을 통한 보호
많은 공격이 HTTP, DNS, FTP 등의 프로토콜을 대상으로 하고 있다. 특정 프로그래밍 오류(예: 제어되지 않은 버퍼)를 공격자가 악용해 시스템에 피해를 입힐 수 있다. 허용 가능한 프로토콜 사용법을 적용하면 네트워크에서 전송되는 데이터가 실행 중인 애플리케이션의 사용법 규칙에 알맞은 사용법이라는 것을 확실히 할 수 있다. 또한, IPS는 인터넷 프로토콜 표준을 기준으로 알맞은 사용법을 적용할 수도 있다.
다음은 간단한 예제다. HTTP 1.0/1.1 프로토콜은 호스트명의 길이를 제한하고 있지 않으므로 RFC 체커(Checker)는 이 필드의 길이를 확인하지 않다. IPS의 애플리케이션 유시지 인포스먼트(Application Usage Enforcement)와 같은 기능은 DNS가 256자 이상의 호스트명을 허용하지 않는다는 사실을 알고 있기 때문에 IPS 장비들은 256자 이상의 호스트명을 포함하고 있는 HTTP 요청을 차단하도록 설정이 가능하다. 이런 장치를 통해 IPS는 임의의 길이의 호스트명 필드를 처리할 수 없는 웹서버의 알려지지 않은 취약점에 대한 공격을 차단할 수 있다.

· 자원 사용 정책 적용을 통한 보호
일부 혼합 공격은 정상적으로 보이는 요청을 대량으로 전송해 대역폭을 사용하여 서비스 거부로 이어지도록 한다. 이렇게 로드가 많은 시기에 악성 사용자가 일부 패킷에 제로 데이 익스플로이트를 첨부해 공격을 시도할 수 있다. 또한, DDoS 공격은 내부 자원을 차지한 웜의 공격일 수도 있다. IPS 5500은 자원 공격의 영향력을 제한하는 또 하나의 메커니즘을 제공한다. 대량의 네트워크 및 애플리케이션 기반 공격을 제한하기 위해 애플리케이션별로 제한점을 설정해 예상치 상한으로 사용될 수 없도록 할 수 있다. 제한점이 초과되면 IPS는 트래픽을 즉시 제한하는 것이 아니라 일정 시간 동안 감시 모드에 들어가서 공격을 계속 감시한다.
따라서 일시적으로 발생할 수 있는 초과 자원 사용은 문제 없이 작동한다. 하지만 그 상태가 계속돼서 내부 자원이 지나치게 남용될 경우에는 트래픽을 악성으로 지정하고 정상적인 수치로 돌아갈 때까지 접속 수가 제한된다. 정상적인 수치로 돌아가고 나서도 잠시 동안은 트래픽을 감시하게 되며 지속적으로 정상적인 수치를 유지할 경우 정상 상태로 돌아간다. 모든 정상적인 접속은 지체 없이 접속이 가능하지만 문제의 접속은 프록시를 통해 접속되고 악의적인 트래픽은 버려진다. 님다. 코드레드, 블래스터 등의 공격은 임의의 네트워크 주소를 선택하여 접속했기 때문에 많은 시스템에 새로운 접속을 시도하는 매우 이례적인 행위를 했다. IPS의 허용 가능한 사용법 적용은 이러한 공격을 차단해 주고 IPS의 속도 기반 감시는 공격이 전파되는 것을 제한하고 감염된 시스템이 내부에서 DDoS 공격을 시작하지 못하도록 막아 주는데 유용하다.

· 허용된 서비스 규칙을 통한 보호(액세스 보호)
제로 데이 익스플로이트의 전파 또는 효과를 차단하는 데 또 하나의 효과적인 전략은 공격 받은 자원이 접근해서는 안되는 자원에 접근을 시도할 경우 차단하는 것이다.
예를 들어, 이동 중인 직원의 노트북이 마이둠 바이러스에 감염돼 사내 네트워크에 접속했다면 감염된 시스템은 이메일 서버로 작동하면서 감염된 이메일 메시지를 보내기 시작할 것이다.
그러나 이메일 서비스를 호스팅할 수 있는 이메일 서버 목록을 정의해 두면 노트북에서 발송되는 메시지는 전부 차단할 수 있다. 따라서 공격의 범위가 극도로 제한되고 보통 상황에서라면 공격 받거나 과부하가 걸릴 많은 자원들이 보호된다.

IPS 도입, 네트워크 보호위한 가장 손쉬운 방법
네트워크 침입방지시스템의 주요 목표는 능동적으로, 선택적으로 ‘나쁜’ 트래픽을 차단하면서 동시에 시스템 가용성 및 ‘좋은’ 트래픽의 무결성을 유지하는 것이다. 완전한 침입 방지 솔루션은 방화벽에서 제공하는 것과 같은 기본적인 메커니즘을 기반으로 해야 하는 동시에 시스템 및 네트워크 환경에 알맞은 애플리케이션 사용법 및 행위를 적용할 수 있어야 한다. 전체적인 보호를 위해 시그니처가 필요하기는 하지만 IPS는 제로 데이 익스플로이트를 막기 위해 보다 강력한 능동적인 메커니즘을 사용해야 한다.
IPS의 능동적인 보호 구조는 심각한 경제적 피해를 가져올 수 있는 제로 데이 익스플로이트로부터 IT 인프라를 보호하는 데 적합한 솔루션이 될 수 있다. 다수의 IPS는 허용 가능한 애플리케이션 사용법 분석 및 속도 기반 보호 경험을 통해 다음과 같은 장치를 포함하고 있는 다중 방어 솔루션을 적용할 수 있다.

·허용 가능한 애플리케이션 사용법을 통한 보호
·자원 사용 규칙을 통한 보호
·허용된 서비스 규칙을 통한 보호(액세스 보호)

인터넷이 생활의 주요 부문을 차지하게 되면서 기업은 IPS와 같은 적합한 솔루션을 설치하여 전 세계적인 네트워크 및 기업 네트워크를 보호해야만 한다. 이것은 차세대 인터넷 컴퓨팅 기반을 안전하게 만들기 위한 가장 편리하고 믿을 수 있는 방법이다.