정확한 로그분석으로 관리 부담 경감 … 다양한 기능 통합제공 필수
김형욱
ISS코리아 기술지원부 과장
hykim@iss.net
최근 IPS는 보안 시장의 핫이슈가 되고 있고, 많은 리서치 기관에서 IPS 시장이 크게 성장할 것이라 기대하고 있지만, 아직 고객의 요구사항에 부합하지 않아, 그 실효성에 대해 많은 기업들이 의문시하고 있다. 이런 문제는 IPS의 3대 필수 구성 요건인 성능(Performance), 방어(Protection), 취약점 연구(Research)의 유기적인 관계 부재로, 고객의 요구사항을 제대로 충족시키지 못한 문제라 볼 수 있을 것이다. 이번호에서는 지난호에 살펴본 ‘IPS의 3대 필수 요건’에 이어 ‘기존 IPS솔루션의 한계와 향후 IPS 기술 전망’에 대해 알아본다.<편집자>
많은 IPS 솔루션들이 침입탐지 방식으로 여러 가지 탐지 방식을 혼용해 사용하고 있지만, 대부분 패턴매칭 방식을 중심으로 사용하고 있다. 패턴매칭방식은 이전 IDS에서 많이 사용하던 방식으로 종종 ‘패킷 그레핑(packet grepping)’이라고 불리기도 한다. 보통 네트워크 트래픽에서 특정 패턴을 찾는 단순한 기법을 사용하는 방식으로, 정상적인 트래픽이 아닌 공격에 해당하는 트래픽에, 해당 공격에서만 발견되는 특정 패턴을 찾는 방식이다.
침입탐지 방식의 한계
실례로 마이크로소프트 윈도 관련 취약점이었던 사세르(Sasser) 웜에 대해 살펴보자. 사세르 웜은 마이크로소프트 LSASS(Local Security Authority Subsystem) 서비스에 버퍼 오버플로우를 일으키는 취약점으로 패턴매칭방식을 사용하는 대표적인 스노트(Snort)의 정책을 살펴보면 <그림 1>과 같다.
스노트에서는 LSASS 취약점을 탐지하기 위해 네트워크 트래픽 중에서 위 룰에 보이는 6개의 ‘콘텐츠(Content)’ 내용과 한 개의 ‘바이트 테스트(byte_test)’ 내용을 비교 매칭함으로 탐지한다. 그러나, 패턴 매칭의 경우에는, 공격자가 몇 가지 조작을 통해 쉽게 IPS를 우회할 수 있는 여지를 남기게 된다.
1) 첫 번째 콘텐츠를 볼 경우, TCP 페이로드에서 정확하게 4바이트 ‘SMB’ 패턴을 찾게 돼있다. 해당 패킷이 프레그먼테이션(Fragmentation)이 일어날 경우, 더 이상 이 룰은 LSASS 취약점을 탐지하지 못할 것이다.
2) 두 번째, 세 번째 콘텐츠를 볼 경우, ‘SMB Transact Pipe’ 동작에 일치하는 패턴을 찾게 돼 있다. 그러나 RPC 콘텐츠는 ‘SMB Transact Pipe’ 대신에 ‘SMB Write’를 보내 우회할 수 있을 것이다.
3) 또한, RPC는 ‘byte-swapping’을 지원하고 있어 이를 이용할 경우 기존 LSASS UUID값을 변경(shuffled)함으로 우회 가능하다.
6A 28 19 39 0C B1 D0 11 9B A8 00 C0 4F D9 2E F5(현재값)
39 19 28 6A B1 0C 11 D0 A8 9B 00 C0 4F D9 2E F5(변경된값)
이를 방지하기 위해,IPS는 IP계층·TCP계층에서 발생하는 프레그먼테이션뿐만 아니라, 네이밍파이프(Named Pipe), RPC계층에서 발생하는 프레그먼테이션 등도 지원할 수 있어야 하며, 아울러 다양한 애플리케이션 프로토콜을 이해하고 분석할 수 있어야 한다. 바로 이런 대안이 프로토콜 분석(Protocol Analysis) 기법이다.
프로토콜 분석 기법의 경우에는, LSASS취약점이 버퍼오버플로우 공격이라는 점을 감안해, 오버플로우를 발생시키는 버퍼의 값을 측정하고, 이를 초과하는 트래픽에 대해서만 탐지·방어를 제공한다. 다시 말해, LSASS 취약점에 대한 연구를 통해 해당 버퍼플로우가 800바이트 쯤에서 발생할 수 있다는 결론을 얻어야, 이 값을 임계치로 설정해 이 값보다 높은 값에 대해서는 LSASS 취약점이라고 탐지할 수 있을 것이다. 따라서, 취약점 기반의 프로토콜 분석 방법은 앞서 살펴본 IPS 우회 방법이 더이상 통하지 않게 된다.
사전 탐지 능력 부재
대부분의 IPS 제품은 사전 탐지 능력 부재로 인해 사전(Proactive) 대응이 어려운 것이 사실이며, 현실이다. 이는 대부분 IPS제품이 탐지엔진으로 위에서 살펴본 공격(exploit) 시그너쳐에 기반을 둔 패턴 매칭 방식을 사용함에 따라 새로운 취약점을 이용한 공격 발생시 또는 유사한 공격 발생시 적절히 대응하지 못하거나, 오탐하는 경우가 많으며, 새로운 공격보다 늦게 시그너쳐가 업데이트되고 있는 실정이다. 이는 대부분 IPS제품의 벤더들이 자체적으로 취약점을 연구할 수 있는 조직이 없거나, 소수의 인원으로 운영하다 보니 하루에도 수십건씩 발견되는 수많은 취약점에 대해 일일이 분석할 수 있는 여유가 없어, 단순히 이미 발표된 공격(exploit) 코드를 분석하거나, 공개용 소스를 이용해 시그너쳐를 업데이트하는 데서 비롯되고 있다.
공격 코드(exploit code) 기반의 시그너쳐는 풀 디스클로슈어(Full-Disclosure), 버그트래그(Bugtrag), 패킷 스톰(Packet Storm)같은 사이트나 보안 메일링 리스트, 뉴스 그룹 또는 스노트의 시그너쳐 등을 이용해 공격 시그너쳐를 IPS에서 구현함으로 개발이 쉬운 반면, 특정 공격코드에 제한적이므로 변형된 공격을 탐지하거나 차단하지 못하며, 알려지지 않은 공격코드나 웜공격 등은 시그너쳐 업데이트 후에나 탐지·차단이 가능하다. 다음 <그림 2>는 이를 나타내는 것으로 취약점 발견 전이나 발견 후에 대한 대응이 전혀 안되고 있으며, 공격코드가 출현한 후에야 시그너쳐 업데이트를 통해 방어 할 수 있다. 또한 웜공격의 경우에도 웜공격이 시작된 이후에야 시그너쳐 업데이트가 가능하므로 웜공격에 매우 취약함을 알 수 있다.
반면 취약점(Vulnerability) 기반의 시그너쳐는 공개된 소스를 사용하는 것이 아니라, IPS 벤더의 자체 연구소에서 해당 취약점에 대한 분석을 통해 취약점 기반의 시그너쳐를 제작함으로 특별한 기술과 축적된 노하우가 요구된다. 이런 취약점 기반의 시그너쳐는 특정 공격코드에 제한적이지 않으므로, 변형된 공격이나 변형된 웜공격, 알려지지 않은 공격 등에 대해 탐지·차단이 가능하게 된다. 이는 보다 적은 오탐률을 제공함과 동시에 IPS를 우회하는 공격을 무력화 시킨다.
<그림 3>은 이런 취약점 기반의 사전방어(Proactive)를 나타낸 것으로, 먼저 트래픽에 대해 프로토콜 유효성(Protocol Validation)을 확인함으로 기본적인 문제가 발생할 수 있는 취약점을 차단할 수 있다. 또한 취약점이 발견된 경우, 자체 연구소를 통해 취약점을 분석, 테스트함으로 취약점에 대응할 수 있는 가상패치(Virtual Patch)를 즉각적으로 제공할 수 있다. 이는 실제 공격코드가 출현되기 이전에 IPS에 먼저 적용됨으로 공격코드, 변종공격, 웜 공격 등을 원천 봉쇄할 수 있고, 아울러 시스템의 패치가 발표돼 적용되기 전까지 시스템을 보호해 줄 수 있는 역할을 할 수도 있다.
프로토콜 유효성·다양한 애플리케이션 지원 부재
프로토콜 유효성 검사란 RFC 컴플라이언스(Compliance)라고 하며, 공식적인 프로토콜 규약에 위배되는 트래픽을 체크하는 방법이다. 일반적으로 많은 공격들이 프로토콜 상의 위배를 이용해 공격하는 점을 감안한다면, 상당수의 공격을 별다른 시그너쳐 없이 탐지, 차단할 수 있을 뿐 아니라 알려지지 않은 공격 또한 탐지, 차단할 수 있을 것이다.
그러나 프로토콜 유효성 체크의 문제점은, 프로그래머들의 잘못된 코딩(RFC 규약 위배)으로 인해 오탐의 가능성이 있다. 따라서, 이를 적절히 튜닝할 수 있도록 프로토콜 유효성 체크를 각각의 시그너쳐로 제공할 수 있어야 할 것이다. 또한 현재 대부분의 IPS의 경우 지원되는 프로토콜 수가 제한적인 경우가 많다. 따라서 얼마나 많은 프로토콜 유효성을 체크할 수 있느냐가 트래픽을 보다 정밀하고 정확하게 분석, 탐지할 수 있을 뿐아니라 사전방어를 위해 필요할 것이다. IPS는 범용적으로 사용되는 다양한 프로토콜을 지원할 수 있어야 하며, 더 나아가 VoIP, 암호화된 트래픽, IPv6 등 최근 이슈화 되고 있는 프로토콜 또한 지원할 수 있어야 할 것이다.
트래픽 성능의 한계
최근 IPS 솔루션 대부분이 네트워크 장비에 준하는 고성능 처리를 지원하고 있다. 하지만 대부분 랩테스트 환경에서의 성능으로 중요한 것은 실제 현장에서 얼마나 안정적으로 트래픽을 처리 할 수 있느냐는 문제일 것이다. 일반적으로 레이어 2 또는 레이어 3 장비와 근접할 정도의 빠른 패킷 처리를 요구하며, VoIP와 같은 음성 데이터 서비스를 위해서는 1500마이크로 세컨드 이하의 지연율(Latency)를 보장할 수 있어야 한다.
최근과 같은 P2P, 웹 기반의 응용 프로그램 개발로 인한 CPS(Connections Per Second) 및 PPS(Packet Per Second) 증가, 대량의 트래픽 발생 등의 환경에서 패킷 누수 현상으로 인해 정확히 탐지하지 못하거나 공격을 놓치는 경우가 발생하는 경우가 있다. 또한, 몇 개의 시그너쳐를 적용했는지 여부에 따라 IPS 장비의 성능이 좌우되는 경우도 있는데 이런 한계를 극복해야 할 것이다.
전사적인 보안 플랫폼 부재
근래 많은 기업들이 기업의 중요한 자산을 보호하기 위하여 앞다퉈 IPS를 도입하고 있지만, 적절한 IPS 장비에 대한 관리가 없다면 아무리 완벽한 IPS를 설치했더라도 무용지물이 될 수밖에는 없을 것이다. 또한 많은 기업에서 대부분 IPS 장비를 단품으로 설치, 관리하는 경우가 많은데, 이는 IPS 장비 효과를 최대한 극대화시키지 못하고, 나아가 통합된 시너지 효과를 만들 수 없게 한다.
통합 보안 플랫폼(ESP)이란 기업의 IT 서비스 운영과 보안이 확고하게 통합돼, 불법적인 접근이 기업의 중요한 자산에 영향을 주기 전에 사전 보호할 수 있는 전사적인 통합 보안을 말한다. 이는 <그림 4>와 같이 새로운 자산이 네트워크에 추가되거나 새로운 취약점 발견시 내부 자산에 대한 취약점 평가를 통해 현재 상태를 파악하고, 자산의 중요성, 네트워크의 구성 평가 등을 기반으로 보호 대상의 우선순위를 정해야 한다. IT부서를 가로지르는 전사적인 보안 관점과 IT프로세스를 연결함으로 위협 및 취약점을 방어하거나 제거하고, 아울러 보안 표준 준수나 감사를 받기를 위해 필요한 자세한 리포팅을 제공받을 수 있는 통합 보안 플랫폼을 말한다.
통합된 관리장비를 통해 공격에 대한 사전 방어 기능(Virtual Patch)을 모든 관련 에이젼트에게 제공하고, 전사적인 위협 모니터링, 사고 발생시 통합된 관리장비를 통해 단순화된 사고 추적기능, 네트워크, 서버, 데스크톱 PC, 취약점 분석 툴 등의 이벤트를 통합한 상관관계 분석 및 리포팅이 가능해야한다. 아울러 자동 에이젼트 설치 및 업데이트나, 원터치 정책 적용, 전사적·원격관리등 완벽한 엔드 투 엔드 솔루션 기능을 제공해야 할 것이다. 이런 ESP의 사전 방어를 통해 중요 시스템 및 중요 정보에 대한 가용성을 확보할 수 있으며, IT 절차와 통합된 ESP를 통해 보다 효과적인 IT 운영이 가능할 수 있을 것이다. 또한 보안 표준 준수가 가능하며, 기업의 보안에 대한 위험이 얼마나 감소하고 있는지 리포팅이 가능할 수 있을 것이다.
침입 유형별 여러 기법 혼용 사용 필요
침입방지시스템은 모든 유형의 침입을 정확히 탐지하기 위해서 한가지 기법에 절대적으로 의존해서는 안되며, 프로토콜 분석(Protocol Analysis) 기법을 중심으로 침입 유형별로 여러 종류의 다른 기법들을 적절히 혼용해 사용해야 할 것이다. 그리고, 사전방어기능(Virtual Patch)을 제공함으로 사전 방어가 가능해야 하며, 최근 이슈가 되고 있는 VoIP, IPv6, 암호화 트래픽 등 다양한 애플리케이션을 완벽히 지원할 수 있어야 될 것이다.
관리적인 면에서는 여러 보안 장비간의 로그를 통합하여 각 이벤트간의 상관관계를 분석해 정확한 이벤트만을 보안관리자에게 알려 줌으로 관리적인 부담을 덜어 줄 수 있어야 하며, 만약의 사고에 대비한 간편한 추적/사고 분석기능, 법적인 증거로 사용될 수 있는 포렌직(Forensics) 기능, 더 나아가 허니팟(Honeypot)을 통해 공격자의 행위를 분석, IPS의 시그너쳐를 자동 업데이트 할 수 있는 기능 등을 통합해 제공할 수 있어야 할 것이다.
