모든 TCP/IP 프로토콜 지원 … 유비쿼터스 환경 변화 맞춤 ‘최적 장비’
위협 증가에 따라 오늘날 보안 솔루션은 방화벽, IDS, IPS, 가상사설망(VPN), 데이터베이스 보안, 웹 보안, 콘텐츠 보안 등 다양한 솔루션 형태로 분화·발전했으며, 지금도 새로운 보안 솔루션을 지속적으로 등장시키고 있다. 다양한 보안 솔루션 중에서도 IPS는 흥미로운 기재 중 하나다. 유연성, 확장성을 기반으로 보안 환경 변화에 맞춰 스스로의 진화를 거듭하고 있기 때문이다. 새 옷을 갈아입는 IPS에 대해 알아본다. <편집자>
연재순서
1. 공격방법 진화에 따른 NAC·UTM에서의 IPS(이번호)
2. 보호대상별 IPS 방법론의 진화
손동식 //
윈스테크넷 침해사고대응팀(CERT) 부장
overclass@wins21.com
기업 IT환경은 언제 어디서나 접근할 수 있는 공개된 환경으로 급속히 변화하고 있다. 이러한 유비쿼터스 비즈니스 환경에서의 보안문제는 외부의 다양한 액세스 포인트(Access Point)를 얼마나 효율적으로 제어하고 적절한 보안수준을 유지하느냐가 될 것이며, 환경변화에 따라 현재의 IT보안정책은 획기적인 변화가 필요한 시점에 있다. 기존의 폐쇄된 환경, 알려진 단말 사용자 환경, 알려진 침입형태 등에 대응하기 위해 고안된 현재의 보안체계는 새로운 보안문제에 대응할 수 없으며, 새로운 획기적 보안 방법론이 요구되는 것이다.
기존 위협원 통제기준은 외부로부터 위협과 위험을 얼마나 감소시켜 내부의 기밀 자산들을 적절히 유지하느냐에 관점이 맞춰져 있었으며, 모든 보안위협의 방어 체계는 외부에서 내부로 진입하는 단방향성 공격의 방어에 집중될 수밖에 없었다.
그러나 최근의 취약성 공격 방법은 단순히 그 위협의 시작지점을 외부로 하지 않는다. 최근의 공격은 각종 보안장비로 중무장된 내부 네트워크 사용자의 접속을 유도해 자연스럽게 내부로 진입한다. 즉, 취약성 전달의 시작은 신뢰된 시스템(Trust Host)으로부터 자연스런 접속을 허가하는 해킹 경유지를 통과해 결국 악의적인 콘텐츠(해킹코드가 숨겨진 모든 경우의 전자문서)를 요청하게 된 신뢰된 시스템으로 돌아가도록 하는 것이다. 이러한 해킹 실현의 도구로 웹 기반의 방법론이나 메신저, 파일공유시스템이 주로 이용되는 것은 사용자 단위에서의 해킹실현이 보다 용이하기 때문이다.
예전보다 진보된 해커들의 침투 유도 방법은 기업의 단위보안시스템(Point Solution)인 방화벽(Firewall), 침입탐지시스템(IDS), 침입방지시스템(IPS), 바이러스월 등에 위협적인 존재로 인식된다. 보안 장비는 시기적으로 내부 사용자들이 외부로의 접속을 시작하기 이전에 설치되고, 기업의 보안정책이 개별 장비에 적용돼 운용될 때 가장 적합하다. 하지만, 인프라 구축이 우선인 대다수 기업 환경에 비춰볼 때 이는 구현하기가 매우 어려운 일 중 하나다.
결국엔 내부 사용자에 대한 막연한 신뢰성이 보안정책을 유지하는데 가장 큰 걸림돌이 된다. 신뢰된 호스트라고 믿던 단 한대의 고성능 데스크톱의 위력이 기업 내부망에 치명적인 위협요소가 될 수 있는 것이다. 이는 최신의 웜 바이러스 특성을 반영한다면 충분히 가능한 수 있는 상상이다.
기업내부 자산의 웜 바이러스 감염은 흔히 외부 지원이 잦은 내부 직원이나 외부 상주직원들의 데스크톱PC나 노트북PC를 통한 내부 네트워크의 접속에서 시작된다. 따라서 사용자의 위협상황은 사전에 충분히 검토되고, 감염 컴퓨터가 네트워크에 온라인되기 전에 적절한 보안수준평가를 거쳐 인증되거나 관리돼야 하며, 이러한 기반에서 시작된 관점이 최근 가장 큰 이슈가 되고 있는 네트워크 접근 제어(NAC: Network Access Control)다.
NAC 개념의 IPS
NAC는 이미 운영 중이거나 신규 도입예정인 각종 보안장비와의 연동을 통해 유연하고 강력한 내부 사용자 통제도구로서 그 기능을 수행하는데, 이러한 아키텍처는 정책 실현 도구인 IPS를 통해 구현되는 경우에도 훌륭한 기대효과를 창출해 낼 수 있다. 물론 내부 사용자 통제를 위한 제어 방법론적 차이는 있겠지만, 웜 바이러스에 감염된 호스트의 네트워크 진입을 방지하는 역할은 정책실현 도구로써 사용되는 모든 보안장비의 궁극적인 목표일 것이다.
우선 네트워크 기반에서 독자적 NAC로서의 IPS는 웜 바이러스의 유포 및 악성행위가 탐지된 호스트가 외부로 향하는 네트워크 접근 시 액세스 시도 자체를 격리 및 차단하며, 비정상적인 행위 시도 및 공격용으로 사용되고 있는 호스트에 대해서는 각각의 기업보안 정책에 더 이상 네트워크를 사용할 수 없도록 적절한 패널티를 부과하게 된다. 이러한 접근제어를 위하여 IPS는 동적규정(Dynamic Rule)을 운영할 수 있어야 한다. 또한 개별정책과 더불어 주어진 패널티를 수행하기 위해 정책 유효시간 체크 블랙리스트(Black List)를 제공해야 한다.
이러한 기업 보안의 정책에 위배된 문제를 유발하거나 증가시킨 내부 호스트의 네트워크 단절을 IPS로 구현함으로써 보안관리자는 내부 인프라 보호를 위한 완벽한 접근제어 솔루션의 도입효과를 누릴 수 있다. <그림 1>은 IPS가 독자적인 NAC역할을 수행하기 위한 개념도다.
또한 IPS는 일반적으로 알려진 호스트 및 애플리케이션 기반에서의 NAC솔루션 및 운영체제와 혼용 또는 연동해 사용돼 네트워크의 사용자 접근 식별 및 금지(Identification & Protection), 감염된 호스트 치료(Remediation) 등 기업 보안의 정책실현 도구로 사용될 수 있다. <그림 2>는 MS의 윈도 비스타와 롱혼에서 지원하는 NAP 기반의 아키텍처에 IPS가 사용됨으로써 얻을 수 있는 접근통제 아키텍처다.
NAC 보안 아키텍처는 분명 단위 보안솔루션이 아닌 다양한 엔드포인트 보안솔루션 및 네트워크 인프라와 긴밀하게 연동돼야 하는 통합보안 프레임워크다. 따라서 성공적 NAC 구축을 위해서는 다양한 보안솔루션을 고려한 충분한 사전 검토 작업과 구축전략 수립이 필요하며, 체계적인 계획이 수반돼야 한다.
체계적인 계획 아래에서 접근제어 정책을 규정하고, 실행하는 데 있어 IPS는 보다 구체적인 대응 방법을 제시할 수 있다. 예를 들어, 접근제어 정책 수립단계에서의 IPS는 특정서버의 특정 서비스로 접속을 허용하는 통제정책을 위해 IP, 포트에 대한 ACL(Access Control List)을 구현, 제어기능을 제공한다. 이러한 제어기능은 기업보안의 정책을 적용하기 위한 기본적인 요소가 돼 웜 바이러스의 번식으로부터 기업 인프라 장비들의 보호수준을 결정하기 위한 임계치를 설정하고, 그 임계치를 넘어서는 경우 네트워크의 가용성을 보장하기 위한 트래픽 통제 수단인 비율제한(Rate Limit)과 QoS를 이용, 신뢰받지 못한 행위에 대해 자유롭게 해줄 대안을 제시한다.
UTM 개념의 IPS
최근 기업 및 사용자의 기대요구 수준의 다양화는 다양한 네트워크 환경을 대변이라도 하듯 매우 까다롭다. 기업들의 위험관리 대상에 맞춰 기업이 요구하는 새로운 보안 패러다임의 중심에는 컨버전스가 있다.
인터넷이 각 기업과 기관, 가정으로 확산되기 시작한 1990년대 말부터 지금까지 보안솔루션은 그 목적에 따라 방화벽, IDS, IPS, VPN, 데이터베이스 보안, 웹 보안, 컨텐츠 보안 등 다양한 솔루션 형태로 분화, 발전돼 왔다.
그러나 이러한 진화와 네트워크의 확장은 다양한 단위보안 솔루션을 구축하고 운영해야 하는 기업 및 기관에게는 구축/운영의 양적 증가를 가져왔으며, 이에 대한 효율적인 관리를 이슈로 대두시켰다. 다양한 보안 솔루션의 도입에 따른 비용과 문제, 각각의 보안 솔루션 운용방법을 익히기 위한 시간 비용, 그리고 운용을 위한 물리적 공간과 인력 확보가 급속히 증가함에 따라 이에 대한 효과적인 관리 대안을 필요로 하게 된 것이다.
이에 대한 해법으로 다양한 보안 솔루션을 하나로 묶어 비용을 절감하고 각각의 보안기능 간 시너지를 내면서 보다 쉽게 운영 관리가 가능할 수 있도록 하는 방안과 요구사항이 필요 하게 됐다.
사용자 입장에서 볼 때 각종 보안기능들을 통합하면서도 설치 및 관리가 쉽고, 비용까지 절감할 수 있는 UTM(Unified
Threat Management)은 매우 매력적인 솔루션임에 분명하다. UTM은 방화벽과 안티바이러스, 침입탐지, 침입방지 등 다양한 보안 기능을 하나의 장비로 제공하는 통합 솔루션이다. 기업관리자 입장에서는 기업 네트워크에 UTM 하나만 설치하면 모든 보안 위협을 집중해서 통제할 수 있는 장점을 가진다. 이 때문에 보안관리자가 부족한 중소기업에 적합한 솔루션으로 평가된다.
사용자의 요구는 때로 IPS를 만능장비로 진화하게 만드는데, 내부사용자 통제를 위한 메신저 제어, 다양한 파일공유 프로그램 접속제어, 웹디스크 접속제어, 원격관리 프로그램의 통제 및 트래픽 제어기능, 서비스와 특정 호스트를 제어하기 위한 방화벽 기능 등이 그것이다. 즉, IPS는 사용자의 다양한 요구를 수용하면서 점차 UTM과 흡사한 방향의 컨버전스를 경험하고 있는 것이다.
다양한 애플리케이션에 능동적으로 유연하게 대처해온 것은 IPS만의 최첨단 기술에서 찾을 수 있다. IPS는 TCP/IP의 모든 프로토콜 스펙을 지원하며, 애플리케이션 계층을 정밀하게 검증(Deep Inspection, Protocol Analysis, Application Parser)해 다양한 엔드포인트 서비스(Application Service)에 대한 적절한 방어 기반을 마련한다. 유연성과 확장성이란 특징으로 인해 IPS는 기업 사용자의 기대요구를 충족하는데 가장 중요한 요소로 자리잡은 상태로, 보안시장에서의 IPS의 진화는 혁명적이다. 이런 맥락에서 UTM이란 집적화의 트렌드는 이미 당연한 결실일지도 모른다.
