검수요청.png검수요청.png

"침입방지시스템"의 두 판 사이의 차이

해시넷
이동: 둘러보기, 검색
잔글 (같이 보기)
1번째 줄: 1번째 줄:
'''침입방지시스템'''<!--침입 방지 시스템-->(IPS)은 다양하고 지능적인 침입 기술에 대해 다양한 방법의 [[보안]] 기술을 이용해, 침입이 일어나기 전에 실시간으로 침입을 막고 알려지지 않은 방식의 침입으로부터 [[네트워크]]와 [[호스트]]를 보호할 수 있는 차세대 능동형 보안 솔루션이다.  
+
'''침입방지시스템'''<!--침입 방지 시스템-->(IPS, Intrusion Prevention System)은 다양하고 지능적인 침입 기술에 대해 다양한 방법의 [[보안]] 기술을 이용해, 침입이 일어나기 전에 실시간으로 침입을 막고 알려지지 않은 방식의 침입으로부터 [[네트워크]]와 [[호스트]]를 보호할 수 있는 차세대 능동형 보안 솔루션이다.  
  
 
== 개요 ==
 
== 개요 ==
침입방지시스템은 인터넷 웜, 악성코드, 해킹 등 외부로 부터의 침입을 방지하고 유해트래픽을 차단하며 네트워크와 호스트를 보호하는 차세대 능동형 보안솔루션 이다. 또한 침입방지시스템은 방화벽과 침입탐지시스템의 조합이다. 침입탐지시스템의 기능을 갖춘 침방지시스템의 모듈이 패킷 하나하나를 검사해 그 패턴을 분석한 후, 정상적인 패킷이 아닌 경우 방화벽 기능을 갖춘 모듈로 하여금 해당 [[트래픽]]을 차단하게 하는 것이다. 침입방지시스템은 크게 두가지로 나눌 수 있는데, 네트워크 기반 침입방지시스템과 호스트 기반 침입방지시스템이 있다. 네트워크 기반 침입방지시스템은 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 하고 호스트 기반 침입방지시스템은 서버 애플리케이션을 담당하며 시큐어 OS 등과 비슷한 기능을 수행한다.<ref name="가">채호석, 〈[https://defensecurity.tistory.com/entry/%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%8B%9C%EC%8A%A4%ED%85%9Cfirewall-IDS-IPS-VPN-%EA%B8%B0%ED%83%80%EB%B3%B4%EC%95%88%EC%9E%A5%EB%B9%84 정보보호시스템(firewall, IDS, IPS, VPN, 기타보안장비]〉, 《티스토리》, 2013-04-10</ref>  
+
침입방지시스템(IPS, Intrusion Prevention System)은 인터넷 웜, 악성코드, 해킹 등 외부로 부터의 침입을 방지하고 유해트래픽을 차단하며 네트워크와 호스트를 보호하는 차세대 능동형 보안솔루션 이다. 또한 침입방지시스템은 방화벽과 침입탐지시스템의 조합이다. 침입탐지시스템의 기능을 갖춘 침방지시스템의 모듈이 패킷 하나하나를 검사해 그 패턴을 분석한 후, 정상적인 패킷이 아닌 경우 방화벽 기능을 갖춘 모듈로 하여금 해당 [[트래픽]]을 차단하게 하는 것이다. 침입방지시스템은 크게 두가지로 나눌 수 있는데, 네트워크 기반 침입방지시스템과 호스트 기반 침입방지시스템이 있다. 네트워크 기반 침입방지시스템은 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 하고 호스트 기반 침입방지시스템은 서버 애플리케이션을 담당하며 시큐어 OS 등과 비슷한 기능을 수행한다.<ref name="가">채호석, 〈[https://defensecurity.tistory.com/entry/%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%8B%9C%EC%8A%A4%ED%85%9Cfirewall-IDS-IPS-VPN-%EA%B8%B0%ED%83%80%EB%B3%B4%EC%95%88%EC%9E%A5%EB%B9%84 정보보호시스템(firewall, IDS, IPS, VPN, 기타보안장비]〉, 《티스토리》, 2013-04-10</ref>  
 
 
  
 
== 등장배경 ==  
 
== 등장배경 ==  
인터넷 기술이 발달하면서 악의적인 사용자에 의한 네트워크 공격이 증가하였다. 일반 적인 네트워크 장비들은 보안을 고려하지 않은 상태에서 생성 되었기 때문에 침입탐지시스템과 방화벽이 생기게 되었다. 처음에는 방화벽과 침임탐지시스템으로 외부로 부터의 공격을 방어했는데 기술이 발달하면서 방화벽과 침임 탐지 시스템만으로 해킹, 바이러스 웜의 공격을 막을 수 없다. 그 이유는 바로 속도이다. 해킹, 바이러스, 웜이 공격으로 발전하는데 과거에는 반년에서 일년의 시간이 걸리던 것이, 지금은 하루 아침에 공격이 되기 때문이다. 이를 제로데이어택(Zero Day Attack)이라 부른다. 따라서 이를 탐지하고 방지하기 위해 침입탐지시스템과 방화벽의 조화가 이루어진 차세대 능동형 보안솔루션인 침입방지시스템이 개발되기 시작했다.<ref name="가"></ref>  
+
인터넷 기술이 발달하면서 악의적인 사용자에 의한 네트워크 공격이 증가하였다. 일반 적인 네트워크 장비들은 보안을 고려하지 않은 상태에서 생성 되었기 때문에 침입탐지시스템과 방화벽이 생기게 되었다. 처음에는 방화벽과 침임탐지시스템으로 외부로 부터의 공격을 방어했는데 기술이 발달하면서 방화벽과 침임 탐지 시스템만으로 해킹, 바이러스 웜의 공격을 막을 수 없다. 그 이유는 바로 속도이다. 해킹, 바이러스, 웜이 공격으로 발전하는데 과거에는 반년에서 일년의 시간이 걸리던 것이, 지금은 하루 아침에 공격이 되기 때문이다. 이를 제로데이어택(Zero Day Attack)이라 부른다. 침입방지시스템의 핵심기술로 가장 중요시 되는 것은 급속한 증가가 예상되는 제로데이공격(Zero-day Attack)의 위협에 대한 능동적 대응 기법과 알려지지 않은 어택(Unknown Attack)이나 이상 트래픽(Anomaly Traffic)을 효율적으로 탐지하고 방어할 수 있는 정확한 분석 기능이다. 따라서 이를 탐지하고 방지하기 위해 침입탐지시스템과 방화벽의 조화가 이루어진 차세대 능동형 보안솔루션인 침입방지시스템이 개발되기 시작했다.<ref name="가"></ref>  
 
   
 
   
 
== 특징 ==
 
== 특징 ==
 
;기술
 
;기술
침입방지시스템은 5가지의 기술체계가 있다. 먼저 첫 번째 기술체계는 인라인 네트워크 침입방지시스템이다. 인라인 네트워크 침입방지시스템은 모든 트래픽은 인라인 장비를 통과하며, 취약성에 대하여 패킷을 검사하게 된다. 인라인 NIDS의 능력에 방화벽의 차단능력을 제공한다. 두 번째 기술체계는 L7 스위치이다. L7 스위치는 복수 서버간 애플리케이션의 부하 균형을 위하여 주로 사용되고 있다. 이를 위하여 교환이나 라우팅 결정을 위하여 HTTP, DNS, SMTP와 같은 7계층 정보를 검사할 수 있다. 웹 애플리케이션의 경우, 미리 정해진 규칙에 기초하여 특정 요구를 서버로 보내기 위하여 URL을 검사할 수 있다. 이런 장치를 만드는 제조사들은 그들의 제품에 서비스 거부((Denial of Service)공격과 보호와 같은 보안 기능을 추가하기 시작했다. 고성능을 위하여 하드웨어상으로 구축하며, 수 기가비트 트래픽을 취급할 수 있다. 공격을 막기 위해 시그니처 기반 인라인 NIDS와 유사하게 동작한다. 단점은 NIDS와 비슷하게 알려진 공격에 대해서만 막을 수 있다는 것이나 NIDS처럼 시그니처를 쓰기 위한 방법을 제공한다. 세 번째 기술체계는 애플리케이션 방화벽과 침입탐지시스템이다. 애플리케이션 방화벽과 침입탐지시스템은 솔루션보다는 보통 침입방지 솔루션으로 시장에 나오고 있다. 이 솔루션은 패킷 레벨 정보를 보지 않고, 대신 API(Application Programming Interface) 콜, 메모리 관리, 어떻게 애플리케이션이 운영체제와 상호작용하는지, 어떻게 사용자가 애플리케이션과 상호작용하는지를 본다. 네 번째 기술체계는 하이브리드 스위치이다. 이 형태는 호스트의 기반 애플리케이션 방화벽과 침입탐지시스템, L7 스위치 사이의 교차 제품이다. 이 시스템은 L7 스위치와 같이 서버 앞에 위치하는 하드웨어이다. 그러나  
+
침입방지시스템은 5가지의 기술체계가 있다. 먼저 첫 번째 기술체계는 인라인 네트워크 침입방지시스템이다. 인라인 네트워크 침입방지시스템은 모든 트래픽은 인라인 장비를 통과하며, 취약성에 대하여 패킷을 검사하게 된다. 인라인 NIDS의 능력에 방화벽의 차단능력을 제공한다. 두 번째 기술체계는 L7 스위치이다. L7 스위치는 복수 서버간 애플리케이션의 부하 균형을 위하여 주로 사용되고 있다. 이를 위하여 교환이나 라우팅 결정을 위하여 HTTP, DNS, SMTP와 같은 7계층 정보를 검사할 수 있다. 웹 애플리케이션의 경우, 미리 정해진 규칙에 기초하여 특정 요구를 서버로 보내기 위하여 URL을 검사할 수 있다. 이런 장치를 만드는 제조사들은 그들의 제품에 서비스 거부((Denial of Service)공격과 보호와 같은 보안 기능을 추가하기 시작했다. 고성능을 위하여 하드웨어상으로 구축하며, 수 기가비트 트래픽을 취급할 수 있다. 공격을 막기 위해 시그니처 기반 인라인 NIDS와 유사하게 동작한다. 단점은 NIDS와 비슷하게 알려진 공격에 대해서만 막을 수 있다는 것이나 NIDS처럼 시그니처를 쓰기 위한 방법을 제공한다. 세 번째 기술체계는 애플리케이션 방화벽과 침입탐지시스템이다. 애플리케이션 방화벽과 침입탐지시스템은 솔루션보다는 보통 침입방지 솔루션으로 시장에 나오고 있다. 이 솔루션은 패킷 레벨 정보를 보지 않고, 대신 API(Application Programming Interface) 콜, 메모리 관리, 어떻게 애플리케이션이 운영체제와 상호작용하는지, 어떻게 사용자가 애플리케이션과 상호작용하는지를 본다. 네 번째 기술체계는 하이브리드 스위치이다. 이 형태는 호스트의 기반 애플리케이션 방화벽과 침입탐지시스템, L7 스위치 사이의 교차 제품이다. 이 시스템은 L7 스위치와 같이 서버 앞에 위치하는 하드웨어이다. 그러나 정규 NIDS 형태의 룰 셋을 사용하는 대신에 하이브리드 스위치는 애플리케이션 침입탐색시스템과 방화벽과 비슷한 정책을 사용한다. 마지막 기술체계는 거짓 애플리케이션이다. 이 형태의 기술은 약간의 거짓 실체를 사용한다. 먼저 네트워크 트래픽을 검사하여 애플리케이션 방화벽과 침입탐지시스템의 프로파일링 단계와 유사하게 무엇이 좋은 트래픽인지 판단한다. 그런 후, 그 서버에 존재하지 않거나 적어도 존재하는 서비스에 연결하기 위한 시도를 보면, 공격자에게 대응을 보낸다. 대응은 어떤 엉터리 데이터와 함께 표시하고 공격자가 들어와서 서버를 이용하고자 할 때, 침입방지시스템은 표시된 데이터를 보고 공격자로 부터의 모든 트래픽을 막게 된다.<ref name="다">침입방지시스템의 보안성 품질 평가기준 및 측정체계의 개발 백서 - http://jkais99.org/journal/v11n4/42/424l/424l.pdf</ref>
 +
 +
;장점
 +
침입방지시스템은 탐지 능력과 차단 능력을 결합한 것으로, 알려지지않은 공격 패턴에 효과적인 대응을 함과 동시에 명백한 공격에 대해서는 사전 방어 조치를 취함으로써 다음과 같은 장점을 가진다. 우선 방화벽에서 취약한 요소를 보완할 수 있는 2단계의 방어(방화벽,침입방지시스템)을 제공한다. 그리고 도스와 디도스(Dos, DDos)등과 같은 공격을 차단시킴으로써 보안 인프라와 네트워크의 영향을 제거하고 공격에 대한 조사로 인해 소용되는 관리자 운영 부담을 없앤다. 마지막으로 차단은 TCP 리셋 기능처럼 TCP에 한정되지 않고 모든 트래픽(IP, TCP, UDP 등)을 대상으로 한다. 정확하게 탐지하고 공격을 정밀하게 차단하는 인라인 장치, 라인 속도로 동작하여 네트워크 성능 또는 가용성에 악영향을 주지 않음, 보안관리 환경 안에 통합, 미래의 공격에 대한 방어를 쉽게 수용, 빠른 투자회수가 가능하도록 효과적인 비용이어야 비로서 침입방지시스템의 자격을 갖추게 된다.<ref name="다"></ref>
 +
 
 +
;보안성 품질평가기준
 +
보안성이란 권한이 없는 사람 또는 시스템은 정보를 읽거나 변경하지 못하게 하고, 권한이 있는 사람 또는 시스템은 정보에 대한 접근이 거부되지 않도록 정보를 보호하는 소프트웨어의 능력을 의미한다. 품질평가기준으로는 총 7가지가 있다. 보안성은 보안감사, 접근 통제 가능성 등의 평가항목을 가진다.<ref name="다"></ref>
 +
 
 +
*'''보안감사성''' : 보안과 관련된 행동에 대한 책임을 추적하기 위해 지식정보보안 제품에서 발생하는 관련 사건들의 감사 레코드를 생성, 기록, 검토하고 감사된 사건에 대한 잠재적 보안 위반을 탐지하고 대응행동을 수행하는 능력을 의미한다. 보안감사성은 보안 경보, 감사 데이터 생성, 잠재적 위반 분석, 감사 검토, 감사증적 저장소 보호, 대응 행동, 손실 방지의 평가항목을 가진다. 보안 경보는 보안위반 탐지시 대응행동의 목록을 취하는가를 평가하고 감사 데이터 생성은 규정된 감사데이터를 생성하는지를 평가, 잠재적 위반 분석은 사건을 검사시, 규칙집합을 적용하고 규칙에 기반하여 잠재적 위반을 지적할 수 있는지를 평가한다. 그리고 감사 검토는 인가된 관리자가 감사 레코드로부터 모든 감사데이터를 읽을 수 있는지를  평가하고 저장소 보호는 인가되지 않은 삭제로부터 감사 레코드를 보호하는지 평가, 대응행동은 감사 데이터가 한도를 초과할 경우, 관리자에게 통보하고 대응행동을 취하는지에 대해 평가를한다. 마지막으로 손실 방지는 감사 증적이 포화인 겨우, 감사 저장 실패시 취해야 할 행동을 수행하는지에 대해 평가를 한다.<ref name="다"></ref>
 +
 
 +
*'''식별 및 인증''' : 해당 정보보호 제품의 관리자를 포함한 사용자의 신원을 식별 및 인증하고 인증 실패시 대응 행동을 제공하는 능력을 의미한다. 식별 및 인증은 인증실패 처리, 사용자 보안속성 유지, 사용자 인증, 재사용 방지, 사용자 식별 등의 평가항목을 가진다. 인증실패 처리는 인증실패를 탐지하고 대응행동을 수행하는지를 평가하고, 사용자 보안속성 유지는 각 사용자에 대해 규정된 보안속성 목록을 유지하는지 평가, 사용자인증은 사용자에게 행동을 허용하기 전에 사용자를 성공적으로 인증하는지를 평가한다. 그리고 재사용 방지는 인증 데이터의 재사용을 방지하는지를 평가하고, 사용자 식별은 사용자에게 행동을 허용하기 전에 각 사용자를 성공적으로 식별하는지를 평가한다.<ref name="다"></ref>   
 +
 +
*'''보안관리성''' : 해당 지식정보보안 제품의 보안기능, 보안속성, 보안 관련 데이터, 보안 역할 등과 관련된 사항을 관리하는 능력을 의미한다. 보안관리성은 보안기능 관리, 보안속성 관리, 데이터 관리, 데이터 한계치의 관리, 관리기능 수행, 관리자 역할 유지 등의 평가항목을 가진다. 보안기능 관리는 인가된 관리자만 보안기능을 관리할 수 있도록 제한하는지를 평가하고, 보안 속성 관리는 보안속성의 디폴트값을 제공하도록 강제하는지를 평가, 데이터 관리는 식별 및 인증 데이터의 관리를 인가된 관리자로 제한하는지를 평가한다. 그리고 한계치 관리는 검사 저장소 용량, 실패한 인증시도 횟수, 자체 시험이 발생하는 시간 간격에 대한 한계치의 관리는 인가된 관리자로 제한 하는지를 평가한다. 마지막으로 관리기능 수행은 규정된 관리 기능을 수행하는지를 평가한다.<ref name="다"></ref>
 +
 
 +
*'''보안기능 보호''' : 보호란 주기적 또는 관리자의 요구에 따라 무결성을 검증하는 능력을 의미한다. 보호는 데이터 변경 탐지, 자체 시험의 평가항목을 가진다. 데이터 변경 탐지는 전송중인 모든 보안 관련 데이터의 변경 및 위조를 탐지하는 능력을 제공하는지를 평가하고, 자체 시험은 데이터 및 실행코드의 무결성을 검증하기 위해 자체 시험을 실행할 수 있는가를 평가한다.<ref name="다"></ref>
 +
 
 +
*'''접근통제성''' : 시스템이 정보흐름을 중재하기 위해 관련 보안 정책에 기반하여 패킷필터링 등을 통하여 외부망으로부터 내부망을 보호하는 능력을 의미한다. 접근 통제성은 세션 잠금의 평가항목을 가진다. 세션 잠금은 사용자 비활동 기간 후 상호작용하는 세션을 잠가 활동을 무력화 시키는지 평가한다.<ref name="다"></ref>
 +
 
 +
*'''침입방지성''' : 시스템이 보안을 위협하는 침입 행위가 발생할 경우 이를 방지하는 능력을 의미한다. 침입방지는 정보수집, 침입분석, 침입대응, 침입방지 결과 보호, 대응행동, 손실방지 등의 평가항목을 가진다. 정보수집은 보호대상시스템으로부터 침입방지를 위해 필요한 정보를 수집하는지를 평가하고 침입분석은 수집 데이터에 기반하여 정해진 분석 기능을 수행하는지 평가한다. 침입대응은 보안위반 가능성 및 사실을 탐지하였을 경우 수행해야할 활동을 수행하는지 평가, 침입방지 결과보호는 인가되지 않은 삭제로부터 지정된 침입방지 결과를 보호하는지를 평가한다. 마지막으로 대응행동은 침입방지 결과에 대한 손실이 예측될 때 필요한 대응행동을 수행하는지 평가하고 손실방지는 침입방지 결과 기록을 위한 저장소가 포화되거나 기타문제 발생시 취해야 할 행동을 수행하는지를 평가한다.<ref name="다"></ref>
  
 
== 종류 ==
 
== 종류 ==
39번째 줄: 56번째 줄:
 
== 참고자료 ==
 
== 참고자료 ==
 
* 채호석, 〈[https://defensecurity.tistory.com/entry/%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%8B%9C%EC%8A%A4%ED%85%9Cfirewall-IDS-IPS-VPN-%EA%B8%B0%ED%83%80%EB%B3%B4%EC%95%88%EC%9E%A5%EB%B9%84 정보보호시스템(firewall, IDS, IPS, VPN, 기타보안장비]〉, 《티스토리》, 2013-04-10
 
* 채호석, 〈[https://defensecurity.tistory.com/entry/%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%8B%9C%EC%8A%A4%ED%85%9Cfirewall-IDS-IPS-VPN-%EA%B8%B0%ED%83%80%EB%B3%B4%EC%95%88%EC%9E%A5%EB%B9%84 정보보호시스템(firewall, IDS, IPS, VPN, 기타보안장비]〉, 《티스토리》, 2013-04-10
 +
* * 침입방지시스템의 보안성 품질 평가기준 및 측정체계의 개발 백서 - http://jkais99.org/journal/v11n4/42/424l/424l.pdf
 
* 정보흥, 김정녀, 손승원, 〈[https://www.itfind.or.kr/WZIN/jugidong/1098/109801.htm 침입방지시스템 기술 현황 및 전망]〉, 《아이티파인드》
 
* 정보흥, 김정녀, 손승원, 〈[https://www.itfind.or.kr/WZIN/jugidong/1098/109801.htm 침입방지시스템 기술 현황 및 전망]〉, 《아이티파인드》
  

2020년 8월 18일 (화) 14:22 판

침입방지시스템(IPS, Intrusion Prevention System)은 다양하고 지능적인 침입 기술에 대해 다양한 방법의 보안 기술을 이용해, 침입이 일어나기 전에 실시간으로 침입을 막고 알려지지 않은 방식의 침입으로부터 네트워크호스트를 보호할 수 있는 차세대 능동형 보안 솔루션이다.

개요

침입방지시스템(IPS, Intrusion Prevention System)은 인터넷 웜, 악성코드, 해킹 등 외부로 부터의 침입을 방지하고 유해트래픽을 차단하며 네트워크와 호스트를 보호하는 차세대 능동형 보안솔루션 이다. 또한 침입방지시스템은 방화벽과 침입탐지시스템의 조합이다. 침입탐지시스템의 기능을 갖춘 침방지시스템의 모듈이 패킷 하나하나를 검사해 그 패턴을 분석한 후, 정상적인 패킷이 아닌 경우 방화벽 기능을 갖춘 모듈로 하여금 해당 트래픽을 차단하게 하는 것이다. 침입방지시스템은 크게 두가지로 나눌 수 있는데, 네트워크 기반 침입방지시스템과 호스트 기반 침입방지시스템이 있다. 네트워크 기반 침입방지시스템은 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 하고 호스트 기반 침입방지시스템은 서버 애플리케이션을 담당하며 시큐어 OS 등과 비슷한 기능을 수행한다.[1]

등장배경

인터넷 기술이 발달하면서 악의적인 사용자에 의한 네트워크 공격이 증가하였다. 일반 적인 네트워크 장비들은 보안을 고려하지 않은 상태에서 생성 되었기 때문에 침입탐지시스템과 방화벽이 생기게 되었다. 처음에는 방화벽과 침임탐지시스템으로 외부로 부터의 공격을 방어했는데 기술이 발달하면서 방화벽과 침임 탐지 시스템만으로 해킹, 바이러스 웜의 공격을 막을 수 없다. 그 이유는 바로 속도이다. 해킹, 바이러스, 웜이 공격으로 발전하는데 과거에는 반년에서 일년의 시간이 걸리던 것이, 지금은 하루 아침에 공격이 되기 때문이다. 이를 제로데이어택(Zero Day Attack)이라 부른다. 침입방지시스템의 핵심기술로 가장 중요시 되는 것은 급속한 증가가 예상되는 제로데이공격(Zero-day Attack)의 위협에 대한 능동적 대응 기법과 알려지지 않은 어택(Unknown Attack)이나 이상 트래픽(Anomaly Traffic)을 효율적으로 탐지하고 방어할 수 있는 정확한 분석 기능이다. 따라서 이를 탐지하고 방지하기 위해 침입탐지시스템과 방화벽의 조화가 이루어진 차세대 능동형 보안솔루션인 침입방지시스템이 개발되기 시작했다.[1]

특징

기술

침입방지시스템은 5가지의 기술체계가 있다. 먼저 첫 번째 기술체계는 인라인 네트워크 침입방지시스템이다. 인라인 네트워크 침입방지시스템은 모든 트래픽은 인라인 장비를 통과하며, 취약성에 대하여 패킷을 검사하게 된다. 인라인 NIDS의 능력에 방화벽의 차단능력을 제공한다. 두 번째 기술체계는 L7 스위치이다. L7 스위치는 복수 서버간 애플리케이션의 부하 균형을 위하여 주로 사용되고 있다. 이를 위하여 교환이나 라우팅 결정을 위하여 HTTP, DNS, SMTP와 같은 7계층 정보를 검사할 수 있다. 웹 애플리케이션의 경우, 미리 정해진 규칙에 기초하여 특정 요구를 서버로 보내기 위하여 URL을 검사할 수 있다. 이런 장치를 만드는 제조사들은 그들의 제품에 서비스 거부((Denial of Service)공격과 보호와 같은 보안 기능을 추가하기 시작했다. 고성능을 위하여 하드웨어상으로 구축하며, 수 기가비트 트래픽을 취급할 수 있다. 공격을 막기 위해 시그니처 기반 인라인 NIDS와 유사하게 동작한다. 단점은 NIDS와 비슷하게 알려진 공격에 대해서만 막을 수 있다는 것이나 NIDS처럼 시그니처를 쓰기 위한 방법을 제공한다. 세 번째 기술체계는 애플리케이션 방화벽과 침입탐지시스템이다. 애플리케이션 방화벽과 침입탐지시스템은 솔루션보다는 보통 침입방지 솔루션으로 시장에 나오고 있다. 이 솔루션은 패킷 레벨 정보를 보지 않고, 대신 API(Application Programming Interface) 콜, 메모리 관리, 어떻게 애플리케이션이 운영체제와 상호작용하는지, 어떻게 사용자가 애플리케이션과 상호작용하는지를 본다. 네 번째 기술체계는 하이브리드 스위치이다. 이 형태는 호스트의 기반 애플리케이션 방화벽과 침입탐지시스템, L7 스위치 사이의 교차 제품이다. 이 시스템은 L7 스위치와 같이 서버 앞에 위치하는 하드웨어이다. 그러나 정규 NIDS 형태의 룰 셋을 사용하는 대신에 하이브리드 스위치는 애플리케이션 침입탐색시스템과 방화벽과 비슷한 정책을 사용한다. 마지막 기술체계는 거짓 애플리케이션이다. 이 형태의 기술은 약간의 거짓 실체를 사용한다. 먼저 네트워크 트래픽을 검사하여 애플리케이션 방화벽과 침입탐지시스템의 프로파일링 단계와 유사하게 무엇이 좋은 트래픽인지 판단한다. 그런 후, 그 서버에 존재하지 않거나 적어도 존재하는 서비스에 연결하기 위한 시도를 보면, 공격자에게 대응을 보낸다. 대응은 어떤 엉터리 데이터와 함께 표시하고 공격자가 들어와서 서버를 이용하고자 할 때, 침입방지시스템은 표시된 데이터를 보고 공격자로 부터의 모든 트래픽을 막게 된다.[2]

장점

침입방지시스템은 탐지 능력과 차단 능력을 결합한 것으로, 알려지지않은 공격 패턴에 효과적인 대응을 함과 동시에 명백한 공격에 대해서는 사전 방어 조치를 취함으로써 다음과 같은 장점을 가진다. 우선 방화벽에서 취약한 요소를 보완할 수 있는 2단계의 방어(방화벽,침입방지시스템)을 제공한다. 그리고 도스와 디도스(Dos, DDos)등과 같은 공격을 차단시킴으로써 보안 인프라와 네트워크의 영향을 제거하고 공격에 대한 조사로 인해 소용되는 관리자 운영 부담을 없앤다. 마지막으로 차단은 TCP 리셋 기능처럼 TCP에 한정되지 않고 모든 트래픽(IP, TCP, UDP 등)을 대상으로 한다. 정확하게 탐지하고 공격을 정밀하게 차단하는 인라인 장치, 라인 속도로 동작하여 네트워크 성능 또는 가용성에 악영향을 주지 않음, 보안관리 환경 안에 통합, 미래의 공격에 대한 방어를 쉽게 수용, 빠른 투자회수가 가능하도록 효과적인 비용이어야 비로서 침입방지시스템의 자격을 갖추게 된다.[2]

보안성 품질평가기준

보안성이란 권한이 없는 사람 또는 시스템은 정보를 읽거나 변경하지 못하게 하고, 권한이 있는 사람 또는 시스템은 정보에 대한 접근이 거부되지 않도록 정보를 보호하는 소프트웨어의 능력을 의미한다. 품질평가기준으로는 총 7가지가 있다. 보안성은 보안감사, 접근 통제 가능성 등의 평가항목을 가진다.[2]

  • 보안감사성 : 보안과 관련된 행동에 대한 책임을 추적하기 위해 지식정보보안 제품에서 발생하는 관련 사건들의 감사 레코드를 생성, 기록, 검토하고 감사된 사건에 대한 잠재적 보안 위반을 탐지하고 대응행동을 수행하는 능력을 의미한다. 보안감사성은 보안 경보, 감사 데이터 생성, 잠재적 위반 분석, 감사 검토, 감사증적 저장소 보호, 대응 행동, 손실 방지의 평가항목을 가진다. 보안 경보는 보안위반 탐지시 대응행동의 목록을 취하는가를 평가하고 감사 데이터 생성은 규정된 감사데이터를 생성하는지를 평가, 잠재적 위반 분석은 사건을 검사시, 규칙집합을 적용하고 규칙에 기반하여 잠재적 위반을 지적할 수 있는지를 평가한다. 그리고 감사 검토는 인가된 관리자가 감사 레코드로부터 모든 감사데이터를 읽을 수 있는지를 평가하고 저장소 보호는 인가되지 않은 삭제로부터 감사 레코드를 보호하는지 평가, 대응행동은 감사 데이터가 한도를 초과할 경우, 관리자에게 통보하고 대응행동을 취하는지에 대해 평가를한다. 마지막으로 손실 방지는 감사 증적이 포화인 겨우, 감사 저장 실패시 취해야 할 행동을 수행하는지에 대해 평가를 한다.[2]
  • 식별 및 인증 : 해당 정보보호 제품의 관리자를 포함한 사용자의 신원을 식별 및 인증하고 인증 실패시 대응 행동을 제공하는 능력을 의미한다. 식별 및 인증은 인증실패 처리, 사용자 보안속성 유지, 사용자 인증, 재사용 방지, 사용자 식별 등의 평가항목을 가진다. 인증실패 처리는 인증실패를 탐지하고 대응행동을 수행하는지를 평가하고, 사용자 보안속성 유지는 각 사용자에 대해 규정된 보안속성 목록을 유지하는지 평가, 사용자인증은 사용자에게 행동을 허용하기 전에 사용자를 성공적으로 인증하는지를 평가한다. 그리고 재사용 방지는 인증 데이터의 재사용을 방지하는지를 평가하고, 사용자 식별은 사용자에게 행동을 허용하기 전에 각 사용자를 성공적으로 식별하는지를 평가한다.[2]
  • 보안관리성 : 해당 지식정보보안 제품의 보안기능, 보안속성, 보안 관련 데이터, 보안 역할 등과 관련된 사항을 관리하는 능력을 의미한다. 보안관리성은 보안기능 관리, 보안속성 관리, 데이터 관리, 데이터 한계치의 관리, 관리기능 수행, 관리자 역할 유지 등의 평가항목을 가진다. 보안기능 관리는 인가된 관리자만 보안기능을 관리할 수 있도록 제한하는지를 평가하고, 보안 속성 관리는 보안속성의 디폴트값을 제공하도록 강제하는지를 평가, 데이터 관리는 식별 및 인증 데이터의 관리를 인가된 관리자로 제한하는지를 평가한다. 그리고 한계치 관리는 검사 저장소 용량, 실패한 인증시도 횟수, 자체 시험이 발생하는 시간 간격에 대한 한계치의 관리는 인가된 관리자로 제한 하는지를 평가한다. 마지막으로 관리기능 수행은 규정된 관리 기능을 수행하는지를 평가한다.[2]
  • 보안기능 보호 : 보호란 주기적 또는 관리자의 요구에 따라 무결성을 검증하는 능력을 의미한다. 보호는 데이터 변경 탐지, 자체 시험의 평가항목을 가진다. 데이터 변경 탐지는 전송중인 모든 보안 관련 데이터의 변경 및 위조를 탐지하는 능력을 제공하는지를 평가하고, 자체 시험은 데이터 및 실행코드의 무결성을 검증하기 위해 자체 시험을 실행할 수 있는가를 평가한다.[2]
  • 접근통제성 : 시스템이 정보흐름을 중재하기 위해 관련 보안 정책에 기반하여 패킷필터링 등을 통하여 외부망으로부터 내부망을 보호하는 능력을 의미한다. 접근 통제성은 세션 잠금의 평가항목을 가진다. 세션 잠금은 사용자 비활동 기간 후 상호작용하는 세션을 잠가 활동을 무력화 시키는지 평가한다.[2]
  • 침입방지성 : 시스템이 보안을 위협하는 침입 행위가 발생할 경우 이를 방지하는 능력을 의미한다. 침입방지는 정보수집, 침입분석, 침입대응, 침입방지 결과 보호, 대응행동, 손실방지 등의 평가항목을 가진다. 정보수집은 보호대상시스템으로부터 침입방지를 위해 필요한 정보를 수집하는지를 평가하고 침입분석은 수집 데이터에 기반하여 정해진 분석 기능을 수행하는지 평가한다. 침입대응은 보안위반 가능성 및 사실을 탐지하였을 경우 수행해야할 활동을 수행하는지 평가, 침입방지 결과보호는 인가되지 않은 삭제로부터 지정된 침입방지 결과를 보호하는지를 평가한다. 마지막으로 대응행동은 침입방지 결과에 대한 손실이 예측될 때 필요한 대응행동을 수행하는지 평가하고 손실방지는 침입방지 결과 기록을 위한 저장소가 포화되거나 기타문제 발생시 취해야 할 행동을 수행하는지를 평가한다.[2]

종류

네트워크 기반

국내제품

네트워크기반 침입방지시스템 출시를 계획중인 업체는 안철수연구소, 티맥스소프트, 케이디디에스(KDDS), 윈스테트넷 등의 국산 보안 솔루션 업체들이 있다. 안철수연구소는 애초에는 네트워크기반 침입탐지시스템을 목표로 하였으나 시장여건에 따라 침입방지시스템으로 선회한 경우이다. 티맥스소프트는 최근 엔터프라이즈 인프라 솔루션 시장 흐름이 기존에 형성된 WAS 분야의 토대를 바탕으로 기업 애플리케이션통합(EAI), 기업포털(EP), 웹 서비스 개발툴(IDE), 보안 등의 제품을 묶은 통합 e-비즈니스 플랫폼 형태로 발전함에 따라 네트워크 기반 침입방지시스템을 새롭게 개발하고 있다. 국내 침입탐지시스템 시장의 대표주자인 인젠은 네트워크 기반 침입탐지시스템의 기술 수준이 이미 오탐지율, 미탐지율을 최소화하는 데 성공했으며, 침입탐지시스템 자체에서 공격에 대한 차단 기능을 탐재한 만큼 네트워크 기반 침입방지시스템과 비교해 결코 손색이 없다고 주장한다. 따라서 앞으로도 지속적으로 오탐지와 미탐지를 낮추기 위해 노력할 뿐, 침입방지시스템 제품군 별도로 출시할 계획은 없다고 밝혔다.[3]

국외제품

국내 네트워크기반 침입방지시스템 시장의 외산 제품으로는 이카디아, 넷스크린테크놀로지스, 탑레이어네트웍스, 엔터라시스네트웍스 등의 다국적 기업의 제품들이 있으며 넷스크린코리아, 탑레이어코리아, 엔터라시스코리아 등에서 마케팅을 하고 있다. 이카디아는 이지스(Ezis)를 출시하고 있으며 기가비트 트래픽을 지원하는 네트워크 기반 침입방지시스템을 목표로 하고 있고 향후는 ASIC(Application Specific Integrated Circuit)기반 제품을 개발하고 있는 것으로 알려져 있다. 이 제품은 국내대학과 농림수산부 정보센터에 공급되었다고 한다. 탑레이어코리아의 네트워크기반 침입방지시스템은 어택 미티게이터 침입방지시스템 이며 LG 투자증권, 서울은행, 매일경제, 배화여자대학교 등에 공급되었다고 한다. 이 제품은 타 제품에 비해 성능에서 앞서고 있다고 평가되고 있으며 이는 ASIC기반의 아키텍처로 설계되어 빠른 처리 속도로 침입방지 기능을 구현하였기 때문이라고 한다. 넷스크린코리아는 넷스크린 IDP-100과 넷스크린 IDP-500을 내놓고 있다. 이 제품의 특징은 멀티 레벨 공격 조사 기능, 외부 공격에 신속히 대응 가능한 관리 기능, 고가용성과 클러스터링 기능, 용이한 구축을 위한 마법사 유저 인터페이스 기능을 제공한다는 특징이 있다. 현재는 침입탐지와 방지 기능을 소프트웨어적으로 구현하였고 향후 ASIC기반의 제품을 발표할 예정이라고 한다. 엔터라시스코리아의 침입방지시스템은 드래곤침입방지시스템이 있다. 이 제품은 네트워크 기반 침입탐지시스템 제픔인 드래곤침입탐지시스템 기반으로 개발되었다고 한다.[3]

호스트 기반

국내제품

호스트기반 침입방지시스템은 서버 보안 솔루션이라는 용어로 시장에서 사용되고 있지만 향후 호스트기반 침입방지시스템이 더 보편화 될 것이다. 국내에서는 시큐브, 티에스온넷, 시큐브레인, 아카디아, 인젠, 조은시큐리티 등의 회사가 이들 제품을 개발 및 판매하고 있으며 시큐브가 선도적인 역할을 수행하고 있다. 시큐브에서는 시큐브 TOS라는 제품을 판매하고 있으며 버퍼오버플로(Buffer OverFlow: BOF) 등의 최신 해킹 공격 방지나 보안 위험요소 관리와 같은 침입탐지 및 대응 기능을 제공한다. 또한, APDR(Automatic Prevention Detection Response) 아키텍처에 기반한 제품을 개발중에 있으며 이 제품은 침입에 대한 탐지, 방지 및 대응을 자동화함으로써 침입 방지 기능을 극대화하는 것을 목적으로 하고 있다. 티에스온넷은 일반적으로 서버 보안 솔루션으로 알려진 레드아울 시큐OS 제품이 있으며 운영체제기반의 침입방지시스템을 지향하고 있다. 이 제품은 운영체제 수준의 보안 제공 및 시스템 성능 저하를 방지할 뿐 아니라 루트 권한 탈취 및 불법 프로그램 등을 이용한 해킹 행위를 원천적으로 봉쇄하는 것을 목표로 한다. 기술적으로는 시스템 파일 및 실행 파일의 불법 변조 및 실행을 방지하고, 포트 제어나 IP제어 기능까지 제공한다. 시큐브레인은 하이자드(Hizard)라는 제품을 출시하고 있다. 이 제품은 접근제어 기능과 함께 다양한 방어 기술을 접목하여 아웃고잉 네트워크 제어 기능과 해킹 방지 기능 제공을 목표로 하고 있다. 이 제품이 내세우는 장점은 일반적인 호스트기반 침입방지시스템이 설치가 까다로운 반면 이 제품은 혼자서도 쉽게 설치가 가능하며 보안정책도 전문 엔지니어의 도움없이도 사용자가 쉽게 할 수 있다는 점을 장점으로 내세우고 있다. 이카디아와 티에스온넷은 외산제품을 국내에 총판 또는 마케팅을 위주로 하고 있으며 이카디아는 엔터셉터시큐리티의 엔터셉터 웹 서버 에디션을 티에스온넷과 레드인은 아거스시스템즈의 핏뿔을 공동 마케팅으로 판매하고 있다. 인젠과 조은시큐리티는 출시를 임박하고 있으며 침입방지시스템을 목표로 개발되었다기 보다는 침입탐지시스템의 기능을 확장하는 형태의 접근방법을 선택한 제품들을 개발하고 있으며 궁극적으로는 향후 통합 보안 솔루션을 목표로 하고 있다고 보는 것이 정확할 것 같다.[3]

국외제품

현재 시중에 출시돼 있는 제품으로는 CA(Computer Associate)사의 이 트러스트 액세스 컨트롤(eTrust Access Control)과 아거스시스템즈의 핏뿔 등이 있고 그 이외에는 인트루버트네트웍스의 인트루쉴드와 오키나의 스톰와치, 엔터셉터시큐리티테크놀로지스의 엔터셉터 웹 서버 에디션 등이 있다. 이중 전자는 호스트기반 침입방지시스템이라고 말하고 있지는 않지만 그 기능을 제공하고 있어 호스트기반 침입방지시스템이라고 분류해도 무관하다. 후자는 쉴딩(Shielding) 기술이나 시그니처, 행동기반 분석 알고리듬을 탐재한 호스트기반 침입방지시스템이며 이들이 초기시장을 주도하고 있는 제품들이다.[3]

기타 정보보호시스템
  • 방화벽(Firewall) :
  • 브이피엔(VPN) :
  • 침입탐지시스템(IDS) :

전망

침입방지시스템은 기존 시스템의 오탐지가 발생하는 것을 피할 수 있도록 정확하게 침입을 구별하고 패킷을 감시하므로 빠른 성능으로 실시간 반응이 가능하도록 개발된 솔루션으로, 최소한의 구성과 커스터마이징으로 관리자의 업무를 줄여줄 수 있다는 장점을 가진다. 최근 가트너 발표자료에 의하면 2004년에는 네트워크 기반 침입방지 시스템이 이미 설치된 침입탐지시스템의 50%를 대체하고, 새롭게 도입하고자 하는 고객의 75%가 네트워크 기반 침입방지시스템을 선택할 전망이라고 한다. 이를 통해서 알 수 있는 것은 현재 추세대로라면 침입방지시스템이 침입탐지시스템을 대체할 것이며 침입방지시스템 기술이 안정화되는 시점이 언제냐에 따라서 더 빠르게 진행될 수도 있다는 것이다. 이미 2001년부터 미국은 AIPS(Advanced IPS) 개발에 착수하였으며 이는 다중 노드와 다중 도메인의 침입을 방지하는 기술이며, 이 기술의 근간은 분산처리, 협동 처리와 이동형 에이전트를 통한 침입방지와 침입에 대한 원천 추적, 침입에 대한 공조 방어를 목표로 하고 있다. 또한, 기존의 정보시스템의 방어뿐만 아니라 통신 시스템의 도청, 전력, 통신 인프라에 대한 공격, 절도와 같은 물리적인 침입에 대한 탐지와 대처까지 포함하고 있다. 가트너의 R. 스티넌과 M. 이즐리 애널리스트는 “침입탐지시스템 로그를 살펴보는 것은 마치 보석 가게의 CCTV 녹화 테이프를 돌려보는 것이나 다름없다”고 말했다. 즉, CCTV는 네트워크 기반 침입탐지시스템과 마찬가지로 탐지는 해내지만, 탐지를 해냈을 때에는 이미 도둑이 자리에 없기 때문에 보석 가게를 터는 도둑을 잡을 수는 없다는 말이다. 따라서 웹에서 쉽게 다운로드할 수 있는 보통 툴의 사용으로도 공격이 가능하며 점점 더 지능화되고 다양해지는 현재 및 미래의 해커들의 침입기술에 대항하기 위해서는 침입방지시스템이 대안으로 부각될 것이다. 또한, 더 나아가서는 비즈니스 환경에서 더 이상 선택이 아닌 필수 보안 제품이 될 수도 있을 것이다. 서버 보안 솔루션으로 더 잘 알려진 호스트기반 침입방지시스템은 한국정보호보산업협회(KISIA)에서 발표한 자료에 따르면 지난해 국내 서버 보안 시장은 전녀대비 34% 성장한 120억 원 규모인 것으로 집계되었다. 또한 이 협회는 국내 서버 보안 시장이 연평균 성장률 67.25%의 고속 성장을 거듭할 것으로 내다보고 있어, 국내및 국외 서버 보안 솔루션 업체들이 호스트기반 침입방지시스템 개발에 대한 투자와 마케팅에 집중하고 있고 이미 미국시장에서는 서버 보안 솔루션을 호스트기반 침입방지시스템과 혼용해서 사용하고 있는 실정이다.[3]

각주

  1. 1.0 1.1 채호석, 〈정보보호시스템(firewall, IDS, IPS, VPN, 기타보안장비〉, 《티스토리》, 2013-04-10
  2. 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 침입방지시스템의 보안성 품질 평가기준 및 측정체계의 개발 백서 - http://jkais99.org/journal/v11n4/42/424l/424l.pdf
  3. 3.0 3.1 3.2 3.3 3.4 정보흥, 김정녀, 손승원, 〈침입방지시스템 기술 현황 및 전망〉, 《아이티파인드》

참고자료

같이 보기


  검수요청.png검수요청.png 이 침입방지시스템 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.  

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인
보안 CVECWE관리자권한관리적 보안권한권한관리금융 분산원장기술 보안규범기밀기밀성기술적 보안누설누출누출금지정보니모닉데이터베이스 암호화디지털 워터마킹레인보우 테이블루트킷무결성물리적 보안백신 프로그램버그 바운티보안봇넷블랙리스팅블랙박스블록체인 보안비밀비회원 권한사고사용자권한사회공학생체인증시큐어코딩신뢰실행환경암호암호키예방유출이중인증(2FA)인증일회용 비밀번호(OTP)잠금장치(시건장치)접근접근권한접근제어접근차단정보보호관리체계침입방지시스템침입탐지시스템컴퓨터 바이러스킬 스위치통합위협관리(UTM)패치페이로드핀(PIN)해킹사고화이트박스회원권한효율성
취약점 공격 51% 공격OWASP그라인딩 공격네트워크 공격누킹디도스디엔에스 스푸핑(DNS스푸핑)랜섬웨어레베톤레이스 공격롱레인지 공격리플레이 공격리플레이 프로텍션멀웨어(악성코드)모의해킹무차별 대입 공격미라이 봇넷백도어버그버퍼 오버플로벡터76 공격부채널 공격블랙해커블록보류 공격블록체인 해킹사이트 간 스크립팅(XSS)사이트 간 요청 위조(CSRF)사전공격셸쇼크스누핑스니퍼스니핑스미싱스파이웨어스푸핑시빌공격아이피 스푸핑(IP스푸핑)암호화폐 거래소 해킹암호화폐 해킹애드웨어에스큐엘 인젝션(SQL인젝션)에이알피 스푸핑(ARP스푸핑)원격파일삽입웹셸이클립스 공격인젝션제로데이 공격중간자 공격지능형 지속 공격(APT)취약점침해사고크래킹크립토락커크립토재킹키로깅트로이목마패스워드 크래킹페니스펜드포맷스트링 공격피니 공격피싱해커해커원해킹혹스화이트해커
개인정보보호 가명개인정보개인정보보호개인정보보호법성명실명유럽연합 일반개인정보보호법(GDPR)익명
양자보안 광자분리공격(PNS)복제 불가능성 원리양자보안측정 후 붕괴
보안 솔루션 V1V3ZAP내PC지키미노턴안티바이러스디아모랩스플러스레드마인레드캐슬맥아피버그질라빅룩빅룩와스빅룩퓨저샤크라소나큐브스패로우스팸스나이퍼시큐브토스시큐어디비아베스트야스카엔스토커엔프로텍트와플즈웹필터제큐어디비제큐어웹지라카스퍼스키파인드벅스피엠디(PMD)
위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반
원본 주소 "http://wiki.asadal.com/index.php?title=침입방지시스템&oldid=345610"