2. 보호대상별 IPS 방법론의 진화(이번호)
상태바
2. 보호대상별 IPS 방법론의 진화(이번호)
  • 데이터넷
  • 승인 2007.03.14 00:00
  • 댓글 0
이 기사를 공유합니다

IPS의 진화와 기업보안 정책실현
연재순서
1. 공격방법 진화에 따른 NAC, UTM 개념의 IPS
2. 보호대상별 IPS 방법론의 진화(이번호)

손동식 //
윈스테크넷 침해사고대응팀(CERT) 부장
overclass@wins21.com

네트워크에 따라 진화하는 IPS, 시장 성장 ‘Go’
보호 대상 특성 맞춘 방어방법론 적용 … 웹 보안 위한 컨버전스 예상

유연성, 확장성을 기반으로 IPS는 다양한 옷을 갈아입는 흥미로운 보안 기재다. 보호하려는 사용자 시스템에 따라 각기 다른 보호방법을 수행할 수 있기 때문이다. 이번호에서는 통신사업자, 기업 네트워크 등 보호하려는 다양한 네트워크를 갖고 있는 환경에서 IPS가 어떻게 적용되는지 살핀다. <편집자>

최근 몇 년간 웜을 포함한 해킹공격의 유형은 크게 다형성(Polymorphic), 신속한 전파(Propagation), 지능화(Machine Learning) 등으로 구분돼 급속하게 발전했다. 이러한 특성은 제로데이 공격(Day-Zero Attack)이라는 평범하지 않은 정보보안 체계의 새로운 이슈를 야기시켰으며, 이를 대변하듯 보호대상 네트워크에 유해트래픽이 미치지 못하도록 네트워크 기반에서의 탐지 및 차단을 요구하는 시간적인 응답속도와 탐지 범위 또한 다각화되고 넓어지기 시작했다.
네트워크의 정상적인 서비스가 우선시되는 대형 통신사나 망사업자 입장에서 볼 때는 개별단위의 고밀도 해킹은 그다지 위협적이지 못하다. 개별단위의 고밀도 해킹이 네트워크의 근간을 이루는 망장비(라우터, 중계기, 스위치 등)에 직접적인 영향을 미치는 공격이라면 단 한 건의 공격이라도 무시하지 못할 비중을 차지하겠지만, 현재의 추세는 위협이 개별 사용자 및 시스템(서버)에 초점이 맞춰져 있기에 통신사나 망사업자의 관심 밖에 위치하는 것이다.
통신사의 네트워크 환경은 애플리케이션 서비스 구간을 제외한 대다수가 네트워크 중계 구간으로 이뤄져 있다. 즉, 보안의 초점이 L2~L4까지의 인프라 환경을 보호하는 것에 맞춰져 있다. 통신사의 네트워크 환경에서 IPS는 네트워크의 역효과를 제어하기 위한 사전예방(Prevention) 기능이 강조되며, IPS는 네트워크의 제어장비 역할을 담당, 인프라를 보호하기 위한 방법론으로 제시된다.
대부분 네트워크 중계 구간으로 이뤄진 통신사나 망사업자의 네트워크 인프라를 위협하는 공격은 개별 단위의 고밀도 해킹보다는 우선 L2 기반에서의 최대 문제점인 ARP 스푸핑, ARP 포이즈닝, ARP 플러딩과 같이 서비스 지연을 목적으로 하는 DoS, DDoS, DrDoS 계열들이며, L3~L4 기반에서는 ICMP 플러딩, Syn 플러딩, UDP 플러딩, 스캔 & 스윕 등의 웜 감염, 감염시도에서 오는 유해트래픽의 탐지그룹 및 웜 감염 이후 발생되는 공격시도, 또는 이에 따른 대용량 유해트래픽이 된다.
이렇듯 과도한 네트워크에서의 감염 및 감염시도로 인한 접속 요청은 L4기반에서의 세션 처리량에 직접적인 영향을 끼치며, 단위시간 내 과도하게 발생되는 비정상적 세션의 성립은 L4기반의 네트워크 인프라 장비에 치명적인 결과를 초래한다. 즉, 비정상적인 네트워크 흐름이 L2에서부터 상위 계층으로 올라가며, 각 계층을 담당하고 있는 인프라장비를 연쇄적으로 파괴하는 도미노 효과(Domino Effects)를 유발하는 것으로 IPS는 사전예방 기능을 통해 이러한 네트워크의 역효과를 방지함으로써 보호를 수행한다.

인프라 보호 차원에서의 IPS 방법론
인프라 공격을 제어하기 위한 방법론은 크게 임계치에 의한 제어방법과 트래픽 프로파일을 이용한 제어 방법으로 구분할 수 있으며, 트래픽 프로파일을 이용한 제어방법은 다시 프로파일에 대한 임계치 제어방법과 행위 기반의 제어방법으로 세분화할 수 있다. 또한 정상과 비정상의 구분 없는 서비스 트래픽을 제어하기 위해 기존의 방화벽에서 사용되던 기술인 서비스 필터링(Service Filtering)도 사용된다.
우선, 임계치 제어방법은 가장 보편적으로 사용되는 방법으로 단위시간 안에 발생되는 공격의 양을 사전에 규정하고, 사전 규정된 임계치를 초과하는 경우 정해진 시간만큼 공격자로 판단된 IP의 통신상태에 패널티를 부과하고 사용하지 못하게 하는 것이다. 이 때 주로 소스IP를 기준으로 방어하게 되는데, 안타깝게도 단위시간 안에 대량의 트래픽 또는 접속요청을 요구하는 P2P, 파일 공유 소프트웨어, 인스턴트 메신저 등에서도 유사한 형태(Aspects)가 발생할 수 있어 오탐(False Positive)의 가능성이 있다. 즉, 정상적인 트래픽을 차단하게 되는 문제점이 발생될 수 있다는 것이다.
프로파일 방식은 임계치 제어방식을 보정해 보다 더 정확한 탐지 및 제어를 수행하기 위해 등장한 것이다. 프로파일은 일종의 변이를 통계 처리한 패턴을 자가학습(Self-Learning)해 생성하게 되며, 이 프로파일 생성 시 다양한 분석 기법 및 통계처리 기법이 사용된다. 이를 비정상(Anomaly) 탐지기법이라 하며 특정한 문자열을 이루는 패턴, 행위(Behavior), 임계치, 시계열상의 양상 변화를 조합하여 탐지한다. 또한 임계치 방식처럼 무조건 임계값을 넘는 모든 IP의 트래픽을 차단하는 것이 아니라, 서비스가 존속되기 위한 최소한의 트래픽을 보존한다.
프로파일 방식은 QoS 장비의 한계율(Rate Limit)이나 트래픽 세이핑(Traffic Shaping) 기술을 접목시켜 오탐으로 인한 정상트래픽의 차단을 방지하는 트래픽 감내기술(Traffic Tolerance)이라고 볼 수 있는 것이다. 이러한 기술의 접목은 오탐으로 인한 정상적인 트래픽의 단절을 보완하고, 네트워크 인프라에 미치는 영향을 최소화(Attack Mitigation)하는 등 적절한 인프라 보호 차원에서의 답안이 될 수 있다.
마지막으로 서비스 필터링 방법은 신뢰할 수 없는 서비스로의 트래픽 폭주로 네트워크의 생존성을 위협받는 경우 강제 제어(Mandatory Forcing)를 위한 ACL(Access Control List)로 접근하는 방법이다. 즉, 정상유무의 판단보다는 가용성에 우선한 능동적인 대처 방안으로 볼 수 있겠다.
한편, 이러한 기법들은 위협관리시스템(TMS)의 탐지 및 차단 센서로 사용되는 경우, 완벽한 시너지를 형성할 수 있다. IPS가 센서로 여러 곳에 설치돼 있는 경우, 보호대상 네트워크와 시스템을 중앙에서 집중 관리 및 분석하고 하나의 모니터링 거점만을 기준으로 위협의 유무를 판단해 의사 결정하는 것이 아닌 전체적인 트래픽의 변화와 공격 양상들을 중앙에서 집중 관리한다. 또 각 공격의 연계성을 상호연관 분석해 얻어진 보다 정밀한 탐지결과를 바탕으로 사전에 트래픽을 제어하기 위한 ABS(Active Blocking System)로써 활용돼 중앙관제시스템의 네트워크 제어 장비로 사용될 수 있다.
그렇다면 인프라를 보호하는 차원에서의 IPS가 L7계층에서는 어떻게 제어할까? 물론 최근에는 애플리케이션 서비스 구간의 하나인 DNS 서버팜에도 방어 장비로 IPS가 사용되는 추세를 보이고 있다.
일반적으로 인터넷 사용자들은 인터넷 검색기(인터넷 익스플로러, 네스케이프 등)에서 자신이 질의한 사이트가 접속되지 않는 경우, 네트워크 장애로 보는 경우가 많다. DNS 서버의 다운이 기존 네트워크의 장애와 유사한 상황에 놓이게 되는 것이다.
과도한 DNS로의 질의가 DNS 서버의 장애를 일으켜 정상적인 DNS 질의에 응답을 못하게 되는 공격은 슬래머(Slammer)의 효과적 공격방법인 리버스DNS쿼리(Reverse DNS Query), 봇 계열 웜의 DNS쿼리 공격 등에 주로 이용됐다. IPS는 L7계층에서의 인프라를 위협하는 이러한 공격들에 대해 콘텐츠 필터링(Contents Filtering) 기법을 병행 사용함으로써 탐지 및 제어의 수단으로 사용된다.
네트워크 인프라 보호차원에서의 IPS는 일반적인 네트워크 장비와 유사하게 인라인(In-Line)으로 설치돼 망을 통과하는 트래픽에 직접적인 영향을 미치며, 네트워크의 장애 포인트를 그대로 갖게 된다. 이러한 문제에 관해 물리적 관점과 논리적 관점 모두를 만족하기 위해 IPS는 오류허용(Fault Tolerance) 기술을 지원한다.
기본적으로 IPS는 일반적인 네트워크 장비와는 달리 많은 업무를 처리해야 한다. 기존의 네트워크 장비는 L4기반을 감안하여 본다고 할지라도 처리업무의 수준이 세션 정보까지만을 위해 존재하지만, IPS 입장에서는 프로토콜 분석과 더불어 패턴의 매칭을 위한 L7기반에서의 데이터 영역(Payload) 모두를 분석해야 하는 것으로 세션 접목은 IPS의 기본과도 같다. 현재 IPS는 고성능의 분석기술과 대용량의 네트워크 트래픽 수집 및 전달능력이 접목된 10기가비트 기반의 대용량 IPS로 진화되고 있는 상태로 IPS의 진화는 일반적인 10기가비트 기반의 네트워크 장비의 진화보다 더 큰 의미를 부여할 수 있다. IPS에서는 실시간 분석 기술이 핵심이기 때문이다.
네트워크의 대역폭을 따라 IPS가 진화하다 보니 네트워크 백본에서의 트래픽 제어 기술은 IPS의 필수 사항이 됐으며, 이러한 구성 및 제어기술은 여러 기술을 통해 오류허용의 범위 안에서 IPS가 가용성과 기밀성을 적절히 유지할 수 있도록 하고 있다. 이를 위해 사용되는 기술은 패킷의 흐름이 일정치 않는 비대칭구조(Asymmetric Network)를 위한 멀티세그먼트(Multi Segment) 처리기술, 두 개 이상의 다중경로를 통해 경로 하나의 장애 시에도 망의 가용성을 확보하고자 하는 고가용성 구조(High Availability) 구현과 관련된 페일 클로징(Fail Close)과 L7 스테이풀 페일오버(Stateful Fail over), 단일경로를 가진 네트워크의 시스템 문제 발생 시 가용성 확보를 위해 사용되는 페일 오픈(Fail Open)을 이용한 바이패스(Bypass) 기술 등을 들 수 있다.
결과적으로 인프라 보호차원에서의 IPS는 단순히 보안을 위한 장비가 아니라 지능적인 확장성을 가진 유기체로 각각의 애플리케이션과 각각의 위치에서 독특한 방어체계를 가져가고 있는 것으로 IPS는 네트워크에 독립적인 스탠드얼론(Stand Alone) 형태의 정적인 장비가 아닌 네트워크를 구성하기 위한 일부분으로 봐야 한다.

단위시스템 보호 위한 IPS 방법론
개별 단위 사용자나 서버관리자 입장에서의 보안 쟁점은 매우 다양하다. 각각의 보안의 이슈는 자신이 제공하는 서비스에 따라 다르게 적용된다. 이는 매우 유기적이며, 유연하다.
예를 들어, 전자상거래를 중심으로 하는 서버 관리자 입장에서는 방문자에게 세련된 이미지를 전달하기 위해 다양한 웹 애플리케이션을 이용하여 시각적인 효과와 상품의 구매를 유발하기 위한 광고효과를 적절히 이용해 웹 서비스를 제공하게 된다.
이때 이러한 구성에서의 가장 중요한 서비스 쟁점은 바로 다양한 판매 품목들이 저장된 데이터베이스의 응답속도와 처리율로 여기서 주요하게 취급되는 공격은 세션과 트랜젝션을 공유하는 서비스 지연(Denial of Service)이다. 그 외로는 판매자의 판매와 구매자의 구매를 돕기 위한 이미지 삽입에 포함해 공격하는 그래픽 랜더링(Graphic Rendering) 공격, 사용자들의 커뮤니티 게시판을 이용해 대상 시스템의 제어권을 획득하기 위한 파일 업로드 및 다운로드 공격, 모든 사용자의 개인정보를 탈취하기 위해 사용하는 DB공격법인 SQL 인젝션, 스크립트 인젝션, 특정 사용자의 ID와 비밀번호를 알아내고자 하는 XSS(Cross-site Script, Http Cookie hijacking) 공격 등 수많은 개별 단위의 공격 방법이 있을 수 있다.
특히 최근에 화제가 되고 있는 웹 보안과 관련해 보면, 웹 방화벽과 IPS의 컨버전스도 예상된다. 최근 웹 보안은 웹 방화벽이라는 제품들이 제공하고 있는 몇 가지 주요한 기능들로 대표되는데, 바로 포지티브(Positive) 기반의 정책모델과 네거티브(Negative) 기반의 정책모델이 그것이다.
포지티브 기반 정책모델은 방어 및 방지에 관한 관점에서 알려지지 않은 위협원에 대해 사전에 방지할 수 있다는 것이 IPS와 유사하다. OWASP 10대 취약점에서 시사하고 있는 다양한 공격방법들에 대한 방어가 가능하고 기타 다양한 웹 공격을 방지하게 된다. 하지만, 포지티브 기반의 정책 모델은 비정상적인 접근을 차단하는데 그 초점이 맞춰져 있어 정상적인 경로와 정상적인 방법으로 시도되는 개별 단위 시스템에서의 고밀도 해킹공격은 탐지 및 차단할 수 없다는 단점을 갖게 된다.
예를 들어, 웹 게시판에서 공격자가 사용할 수 있는 방법은 매우 다양하지만, 방어에 한계를 갖게 된다. 정상적인 경로를 통해 접속, 정상적인 폼에 제목이나 내용을 적고 마지막에 자신이 올리고 싶은 이미지 파일을 첨부했다면 악의적인 게시물을 판단하게 하는 기준은 바로 마지막에 첨부된 게시물의 종류이지만, 웹을 중심으로 포지티브의 기준이 마련된 포지티브 방식 웹 방화벽에서는 사용자가 첨부한 이미지 파일이 정상적인 이미지인지 해킹코드가 삽입된 이미지인지 판단할 기준(Hacking Signature)이 없게 된다.
이러한 치명적인 결함을 극복하기 위해 제시되는 방법론은 IPS와 같은 네거티브기반의 정책 모델 수용이다. 이 방법론은 정상적인 방법을 이용하여 공격을 시도하는 패킷에 대해 이미 알려졌거나(Well-known Attack) 공격방법론이 소개된 취약점(POC)을 기준으로 탐지 패턴을 내장시킨 후 딥인스펙션(Deep Inspection) 작업을 수행하고 탐지 및 차단한다.
이는 웹 방화벽의 초기 시장에서 포지티브만을 강조했던 기존 제품들의 한계를 극복하기 위한 진화로 봐도 무방하며, 최신 웹 방화벽은 포지티브와 네거티브가 결합된 형태의 제품들이 주류를 이루고 있다.
“IPS는 진화하고 있다”
아울러 최근의 웹 방화벽을 네트워크에 설치하는 방식은 임베디드 서버 타입이나 프록시 타입에서 벋어나 인라인으로 바뀌어 가고 있다. 이는 IPS의 설치 방식과 유사해져 간다는 것을 의미한다. 이는 여러 가지 애플리케이션별로 진화를 거듭해온 IPS가 웹 해킹 공격을 수렴하거나 웹 방화벽의 기능을 포함해 가는 컨버전스 제품의 형태를 갖추게 될 날도 멀지 않은 듯 여겨지게 하는 단초들이다.
예를 들어, 웹 방화벽의 특장점 중 하나인 SSL 프로토콜 분석기능은 웹 방화벽의 설정 방식과 비슷하게 디크립트 키 임포트(Decrypt Key Import) 기능을 이용하거나 SSL 가속기를 이용해 접목될 수 있다. 또 쿠키 암호화, 오류페이지 핸들링(Error Page Handling) 등은 트랜스페어런트 프록시(Transparent Proxy) 기반에서의 http, https 후킹(Hooking)을 이용한 필터링 방식이 사용될 수 있을 것이다. 즉, 원천기술의 맥락은 유사하되 장르에서 오는 특징을 특화한 컨버전스(Convergence)가 이뤄질 전망이다.
IPS는 진화하고 있다. 더 정확히 말해 IDS기반의 IPS는 진화하고 있다. IPS의 애플리케이션 레벨 스테이트풀 인스펙션(Application Level Stateful Inspection) 엔진은 매우 유연하고 확장적인 기술로 보안과 관련된 다양한 콘텐츠를 가지고 영역별 보안 장비에 접목(Migration)할 수 있는 것이다. 앞으로 IPS는 대용량을 처리하기 위한 하이엔드(High-end) 제품들과 특정 애플리케이션(DNS, 웹, 메일 등)에 대한 방어군, 새로운 네트워크 규격(BcN 등)의 발전과 함께 진화해 나갈 것이며, 현재 IPS가 보이는 기술방향의 흐름은 이러한 관점에서 상당히 고무적이라고 할 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.