네트워크 가용성 확보·정보유출 방지 … 클라이언트 기반 솔루션 문제 해결
연재순서
1. 엔드 포인트 보안의 중요성 및 현황
2. 네트워크 기반의 엔드 포인트 시큐리티 강화 방안과 향후 발전 방향 (이번호)
지난 호에서 우리는 최근 이슈가 되고 있는 엔드포인트 보안의 필요성 및 이를 강화하기 위한 클라이언트 기반 솔루션의 기능 및 한계점 등에 대해서 살펴봤다. 이번호에서는 클라이언트 기반 솔루션이 가지고 있는 문제점을 해결한 네트워크 기반의 솔루션에 대해 알아본다. 더불어 클라이언트 기반과 네트워크 기반의 솔루션이 혼합된 하이브리드(Hybrid) 방식에 대해 살펴본다. <편집자>
운영체제와 애플리케이션은 근본적으로 취약점 기반의 소프트웨어다. 즉, 날로 증가하는 공격에 노출돼 있는 상태로 볼 수 있다. 정확한 단말의 건강 상태 체크를 통해 네트워크에 로그인되지만, 잠재적인 웜 혹은 바이러스 감염으로 유해 트래픽을 발생시킬 수 있다. 이럴 경우, 이런 트래픽을 발생하는 단말/호스트에 대해서 격리(Quarantine)시켜야 할 필요성을 가지게 된다.
그럼 과연 단말/호스트가 유해 트래픽을 발생시킨다는 것을 판단하는 주체는 누가돼야 할 것인가란 의문이 남아있다. 이를 행하는 주체는 널리 사용되고 있는 IDS, IPS, TMS 등과 같은 취약성 기반의 탐지/차단 솔루션 및 어노말리 기반의 보안 솔루션이 될 수 있다.
네트워크 기반의 엔드 포인트 강화 방안
엔드 포인트 강화를 위한 솔루션은 사용이 쉽고, 간단하며, 중앙 집중화된 관리 및 자동화된 엔드 포인트 보안 솔루션이어야 한다.
이번 기고에서는 IPS를 이용한 네트워크 기반의 엔드 포인트 강화 방안에 대해서 알아보도록 하겠다. 이를 이해하기 위해 쿼런틴 프로텍션 솔루션(Quarantine Protection solution)에 대해 먼저 정의할 필요가 있다. 쿼런틴 프로텍션 솔루션은 내부 네트워크상에서 IPS와 네트워크 장비 연동을 통해 악의의 사용자 및 감염된 단말(Device)을 규명 및 격리할 수 있게 설계된 엔드포인트 시큐리티 솔루션이다.
IPS를 이용한 네트워크 기반의 엔드 포인트 보안 강화 방안은 다음과 같이 3가지 방안이 있다.
1. IPS
2. IPS + SMS
3. IPS + SMS + EMS
각각의 방안에 대해 자세히 알아보도록 하겠다.
▶ IPS (Intrusion Prevention System)
아래 <그림 1>과 같이 네트워크에서 정상적으로 동작하는 PC가 갑작스러운 유해트래픽 전파를 시도(①)할 경우, IPS에서 이를 탐지 및 차단(②)하고, 이에 대해서 IPS가 내부 PC를 격리(③) 시킨다. 격리 후, 내부 PC에 치료 웹 페이지를 전송(④)하여, 사용자를 내부 패치 서버로 유인하여 적절한 패치 행위나 업데이트 행위를 유도한다.
IPS만을 이용한 쿼런틴은 한정된 방식의 블랙 리스트 기능이라고 볼 수 있다. 이 방식의 최대 문제점은 취약한 PC가 발생하는 트래픽 중에서 IPS를 거쳐 나가는 트래픽만을 차단할 수 있다는 것이다. 즉, 내부로 향하는 트래픽은 차단할 수 없다는 한계점을 가지고 있다.
IPS만을 이용한 쿼런틴 구성은 가장 빠른 응답 속도를 가진 가장 쉬운 적용 방안이다. PC가 네트워크에 위협을 가하는 것을 발견하면, IPS 그 유해 트래픽을 차단하고 세그먼트 단위로 공격을 차단한다. 추가적인 행위로 PC에 격리 치료 웹 페이지를 전송하고, 차단된 이유와 상태를 제공한다.
▶ IPS + SMS (Security Management System)
아래 그림과 같이 모든 PC는 802.1x를 이용해 네트워크에 로그인하거나 MAC 기반의 인증을 통한 후 네트워크 접속(①)하게 된다. 이 때, SMS는 래디우스 서버의 프록시 역할을 하게 되며, 이 역할을 통해 PC의 MAC/스위치/포트 등의 정보를 획득(②)하게 된다.
정상적으로 동작하는 PC가 갑작스러운 유해트래픽 전파를 시도(③)할 경우, IPS에서 이를 탐지 및 차단하고, IPS는 SMS로 보안 이벤트를 전송(④)한다.
SMS는 정책 기반의 쓰레쉬 홀딩(Thresh holding) 수행 및 정책에 해당하는 내부 PC를 식별하고, 이 정보를 해당 스위치에 전송(⑤)하게 된다. SMS로부터 특정 명령 수행을 받은 스위치는 포트 디저블(Port disable), 쿼런틴 가상랜으로의 격리, 재 인증 수행 등의 기능을 수행(⑥)함으로 취약한 PC를 일정기간 격리시킨다. 또한 취약 PC에 치료 웹 페이지를 전송해 사용자를 내부 패치 서버로 유인, 적절한 패치 행위나 업데이트 행위를 유도한다.
이 방식은 위에서 설명한 IPS 자체적인 쿼런틴 구성보다는 세련된 방식이다. 격리돼야 하는 PC가 발견된 경우, SMS는 스위치 포트의 설정을 능동적으로 재설정해 적절한 격리 가상랜으로 바꾸거나, 네트워크 접속을 차단(Port disable)한다. 이와 함께, IPS는 PC에 격리 치료 웹 페이지를 전송하고, 차단된 이유와 상태를 제공할 수 있으며, PC의 IP를 차단하는 행위를 수행한다. 격리 행위는 매우 유연하며, 네트워크 관리자나 보안 관리자에 의해 격리 정책은 쉽게 통제된다.
