과거의 공격이 단순화된 공격이었다면, 최근의 공격은 한 가지 방식이 아닌 다양한 방법이 결합된 복합적 공격으로 진화하고 있다. 이러한 복합 공격은 보안 시스템에 있어서도 변화를 요구하고 있다. 복합적 공격을 방어하기 위해 네트워크 통합 보안이 각광받고 있는 것. 통합 보안 솔루션은 다양한 포인트 솔루션의 단순한 결합에서 이제 패킷 분석을 통합 무결성 네트워크 통합 보안 환경으로 발전하고 있다. <편집자>
오늘날 웜, 바이러스, 스파이웨어, 애드웨어, 피싱 등 네트워크상의 다양한 보안 위협은 한 가지 종류가 아닌 복합적이고도 다양하게 쏟아지고 있다. 최근 이슈가 된 무인시스템 자동화기기 보안 취약점 역시 네트워크상의 보안취약점과 시스템 자체의 보안취약점에 의해 네트워크와 연결된 단말시스템의 보안 위협요소가 존재하는 네트워크 연결망에서의 취약점이라 할 수 있다.
복합공격의 증가는 본점과 지점 그리고 자가망, 광대역통합 네트워크 환경에 이르는 보호 제품의 기능 역시 한 가지 종류만으로는 불가능하게 만들고 있으며, 이러한 보안 관리를 하는 각 기관 및 기업 보안 담당자는 네트워크 자체의 보안 위협요소와 안정된 서비스를 위한 트래픽 제어 및 분석을 통해 보안 취약점과 보안 사고를 최소화할 수 있는 네트워크 보안 기술의 흐름을 파악하고 있어야 한다.
또 현재의 네트워크 보안 시스템에서 보다 향상된 정책기반의 네트워크 통합보안이 접목된 침입차단 기술, VPN 기술, 침입방지 기술, 웹보안 기술 등 네트워크상에 존재하는 모든 위협 요소를 감시 및 격리 차단하는 일원화된 네트워크 통합보안 기술이 요구되고 있다. 급변하는 IT운영환경에서 네트워크와 통신 인프라의 발전에 따라 개인정보 유출 등의 보안 취약점이 사회적 문제로 대두됨에 따라 복합적 보안 취약점과 문제점을 정확히 파악하고 발 빠른 대응책 마련이 반드시 요구되는 것이다.
무결성 네트워크 통합 보안 ‘대두’
2000년부터 2004년까지만 해도 보안 사고의 유형은 각각의 분야별로 보안 위협이 발생됐으나 2006년 들어 복합적이고 다양한 위협요소가 발생돼 시급한 문제로 제기되고 있다. 현재 침입방지시스템/침입탐지시스템의 경우 웜(Worm)/멀웨어(Malware)/바이러스(Virus), DoS/DDoS, UDP플루핑(UDP Flooding), 유해 트래픽, P2P로 인한 트래픽 과다, 웹 상에서의 SQL 공격, 피싱에 의한 정보유출 사고 등 네트워크상에 존재하는 모든 복합적인 위협요소들이 존재하고 있는 실정이다.
이러한 문제는 침입방지시스템을 갖춘 대규모 네트워크망만의 문제는 아니다. 공중망을 이용하는 사용자, 본점과 연결된 지점 서비스망 사용자 또한 이러한 복합적인 문제를 인지하고 그 대응방안 모색에 동분서주하고 있다.
모든 네트워크 연결망 자체를 보안하기 위해서는 통합보안 기능이 절실하다. 즉, 단일 네트워크망에서 보안사고 유형을 미리 분석하고, 보안정책 일원화를 통해 각각의 보안사고를 통합적으로 적용해야 하는 것이다.
네트워크 보안 관리자가 한정된 네트워크 인프라에서 중요업무/서비스와 보안정책 및 서비스 대역폭을 관리할 수 있도록 전체 네트워크의 강력한 보안관리를 위해서는 애플리케이션 서비스와 패턴을 분석·식별하고, L7 트래픽 콘트롤 기능으로 이뤄진 QoS, 방화벽, VPN, 안티바이러스, 안티스팸, 유해사이트 차단, 웹 공격 차단을 위한 80포트 제어, NAC(Network Access Control), 랜스위칭 시스템 등의 개념을 수용한 패킷콘트롤(Packet-Control) 기반 무결성 네트워크 통합 보안 환경으로 발전해야 한다.
여기서 말하는 무결성 네트워크 보안(Integrity Network Security)은 네트워크 보안에 있어서 데이터 정보가 인가된 사람에 의해서 만이 접근 또는 변경 가능하다는 확실성과 네트워크 단말기와 서버의 물리적 환경 통제, 데이터 접근 억제 등의 엄격한 접근제어를 의미한다.
한편 데이터 무결성은 같은 환경에 의해 위협받을 수 있는 데이터를 물리적 네트워크 환경에서 네트워크 관리자만의 접근 제어를 통해 네트워크상 모든 보안 위협요소로부터 보호하는 것을 말하며, 무결성 네트워크 관리 대책은 현재의 보안정책 수준을 한 단계 높은 차원에서 모든 사람에게 적용시켜 보안시스템 관리 절차, 관리 항목, 유지보수 사항을 문서화하며, 시스템 장애, 바이러스 공격과 같은 불시의 재난을 막을 수 있도록 대비책을 세우는 것이라고 할 수 있다.
무결성 네트워크 통합보안 기술은 현 네트워크 보안기술에서 한 차원 더 높은 차세대 보안기술을 접목시켜 발전해 가고 있다. 과도하고 엄청난 트래픽과 실시간으로 발생하는 웜 공격, 그리고 다양한 해킹공격과 유해 패킷들, 네트워크와 연결된 본/지점간 업무 단말의 보안 취약점을 효과적으로 보호할 수 있도록 기술적 접근이 요구된다.
L7 기반으로 진화
최근 적용된 네트워크 통합보안기술을 보면 QoS엔진 기반의 L7 애플리케이션 레이어 트래픽 콘트롤과 DPI(Deep Packet Inspection)를 제공해 트래픽 안정성과 성능향상을 위한 최적 어플라이언스 시스템을 적용하고 있다. 이는 L7 기반 프로세싱 엔진 기반으로 보안정책을 적용하는 기술이다.
이를 살피면, 우선 QoS, 방화벽/VPN, 웹보안, NAC 보안 기술은 ISP/IDC/대기업/중, 소기업 통신인프라 환경에서 ASP서비스를 위해 대역폭 보장 및 보안 솔루션 연동이 가능한 고품질 네트워크 보안 서비스가 최적화됨으로써 전체 대역폭에서 절대적인 점유를 차지하는 P2P, 메신저 등의 트래픽에 대한 대역폭 제한 및 접근제어까지 동시에 수행한다.
7레이어(DPI)기반 트래픽 콘트롤 QoS 기술은 패턴매칭 방식의 애플리케이션 데이터를 기반으로 패킷을 식별 분류해 실제 특정 패턴에 대한 데이터를 분석함으로써 TCP프로토콜의 트래픽을 정확하게 분류한다. TCP프로토콜(HTTP, FTP, H.323, eDonkey, 소리바다 등)은 IP 주소 또는 포트 번호에 상관없이 식별이 가능하고 식별된 패킷에 대한 세션을 추적해 해당 세션에 대해서 QoS를 적용함으로써 대역폭 제한, 대역폭 보장, 우선순위 결정할 수 있도록 한다.
무엇보다도 애플리케이션 계층의 시그니처(Signature) 정보를 수집해 자동업데이트 서비스 하는 것도 중요하다. 방화벽 엔진에서는 스테이트풀/스테이트리스(Stateful/Stateless) 패킷 필터링 및 네트워크 주소와 포트 변환(NAT/NAPT)을 수행하고 스트링 검색 기반 구조하에 분류된 패킷에 대하여 접근 제어 정책을 적용, L7상의 패킷 필터링을 수행한다.
또한 기존 통합 보안 솔루션의 성능과 안정성이 떨어지는 문제점을 패턴매칭의 정밀한 탐지와 방어, 패킷 통신의 무결성 및 안전성을 보장함으로써 네트워크 통합보안 솔루션의 성능을 높여 고품질 서비스를 제공해야 한다.
통합으로 3단계 보안 구현
네트워크와 각각의 보안 모듈이 하나로 통합됨으로써 3단계 방어 시스템을 이뤄 다양한 보안 이슈를 한꺼번에 해결할 수 있다.
그 첫 번째 이점은 바로 ‘감염 차단’이다. 내부로 들어오는 바이러스를 정확한 시그니처를 통해 바이러스가 감염되기 전 예방함으로써 네트워크의 성능 보장과 오탐을 최소화한다. ‘감지 후 차단’은 일시적인 내부 트래픽이 인바운드/아웃바운드로 폭주했을 경우 스캐닝 탐지와 세션 제안 정책을 통하여 DOS, UDP(UDP Flooding) 공격 등에 대해 트래픽 통계분석 정책을 세워 비정상 패킷을 차단한다. 마지막으로 ‘발생차단’은 클라이언트의 격리 기능으로 발생하는 아웃바운드 이상의 트래픽을 임계치 설정을 통해 비정상 트래픽 발신지를 확인하여 이상 징후에 따라 제어한다.
이처럼 무결성 네트워크 통합 보안에서의 3단계 방어시스템 기능을 통해 L7 패턴매칭 방식의 통합 보안 기술을 적용, 각각의 장비로는 제어 할 수 없었던 네트워크상에 존재하는 모든 보안 위협요소를 하나의 솔루션으로 제공하며, 이로써 한정된 인프라에서 강력한 네트워크 보안을 유지할 수 있게 한다.
애플리케이션 운영환경과 네트워크망의 연결성은 이제 별개의 문제일 수 없다. 네트워크별 특정 애플리케이션 서비스의 보안 위협요소를 격리 차단하고, 네트워크 구성 및 보안 정책 일원화를 통해 서로 다른 서비스를 구분해 보안정책을 적용해야 할 것이다.
이제는 단일 보안 정책을 벗어나 다양한 형태의 침입행위를 분석해 비정상적인 패킷을 분석/제어, 차단함으로써 안정적인 네트워크 환경을 구축하고 침해성 네트워크 접근을 차단하고 고속처리 능력을 극대화함으로써 실시간으로 네트워크 위협요소를 보호해야 한다.
결국 보안 취약점과 취약점을 보안하는 기술을 올바르게 적용해 실제 현장에서 필요로 하는 네트워크상의 보안취약점을 최소화해야 할 것이다.
<그림 3>은 STN-UTN 엔터프라이즈의 핵심 엔진을 설명한 것이다. STN-UTM의 통합보안 서비스는 크게 세 가지 단계로 구분되며, 이를 통해 STN기술은 네트워크상의 보안 취약점의 해결방안을 하나의 통합 장비에서 제공하려 노력하고 있다.
우선 첫 번째 단계는 패턴매칭으로, 레이어7 상에서 패킷 분류(Packet Classification)와 패킷 필터링을 수행한다. 스트링 검색 기반 구조 아래에서 분류된 패킷은 QTM&I 엔진을 통해서 QoS(Quality of Service) 정책이 적용되며, 필터링 엔진을 통해서 접근제어(Access Control)가 이뤄지게 된다.
두 번째 단계는 L7 패킷 콘트롤 파이어월(Packet control Firewall) 적용이다. 방화벽 엔진에서는 각 세션에 대해 출발지 주소, 목적지 주소, 출발지 포트, 목적지 포트별 해쉬 테이블을 생성하고, 각각의 테이블을 제어함으로써 보다 능동적 방어를 수행한다. 이를 통해 STN-UTN은 DoS, DDoS, 플루딩 공격, 웜 발생 트래픽 등에 대한 효과적인 방어를 수행하게 된다.
세 번째 단계로는 웹 콘텐츠 필터링을 들 수 있다. 웹 콘텐츠 필터링 엔진에서는 URL 필터링, 도메인 필터링, 블랙리스트 필터링, 피싱 사이트 필터링, 웜/멀웨어/바이러스 필터링, 웹 공격 필터링 등을 수행한다. 특히 STN-UTN은 지능적인 알고리즘을 이용한 스캔을 통해 효과적으로 유해 사이트나 정보 유출에 대한 웹 필터링을 수행할 수 있다.
