단순한 이분법이었다. 방화벽 내부의 모든 것은 안전했고, 방화벽 외부는 위험했다. 애석하게도 컴퓨터 네트워크 보안은 그렇게 단순하지 않았다. 또 사람들이 수백, 수천 곳의 작은 사무소, 즉 집에서 근무하면서 좀더 어려워졌다. 다행스럽게도 오늘날의 인력에게 효과적으로 작용할 수 있는 또 다른 접근법, 즉 침입 감지 시스템(Intrusion Detection System, IDS)이 있다.
방화벽은 일반적으로 일정 인터넷 트래픽 유형을 컴퓨터로부터 차단하지만, 이와 달리 침입감지시스템(IDS)은 트래픽을 차단하지 않고, 유입 및 유출 트래픽을 감시한다. 방화벽이 집과 거리 사이의 문이라면 IDS는 문을 지켜보는 보안 카메라이다.
단순한 공격을 차단하기 위한 방화벽이 여전히 필요하기는 하다. 그러나 IDS과 이의 사촌격인 침입예방시스템(Intrusion Prevention Systems, IPS)은 어느 때보다 더 중요해졌다. IDS와 IPS에 관해 살펴본다.
IDS 개요
첫째, IDS는 소프트웨어이거나 하드웨어 기기이고, 네트워크 트래픽을 감시한다. 이는 의심스러운 활동과 알려진 위협을 끊임없이 찾는다. 위험 요소를 발견하면 IDS는 문제가 있음을 관리자에게 경고한다. 또한 보안 정보 및 사건 관리(security information and event management, SIEM) 시스템에 잠재적 공격을 기록할 수 있다. IPS는 이러한 잠재적 공격을 자동으로 차단한다.
IDS 크게 두 종류가 있다. 하나는 네트워크 기반 침입 감지 시스템(network-based detection system, NIDS)이고 네트워크 상에서 작용하고, 구체적으로, 유입 및 유출 네트워크 트래픽을 감시한다. 간단히 말해 이들은 와이어샤크(Wireshark) 같은 네트워크 탐지기(network sniffers) 위에 구축된다. 통상적으로 NID는 비무장지대(DMZ)에 설치된다. DMZ는 물리적 내지 논리적 하위 네트워크이고, 이메일, 웹서버 등 외부 접촉 네트워크 서비스를 인터넷 등 신뢰할 수 없는 네트워크에 연결한다.
다른 하나인 호스트 기반 IDS(HIDS)는 로컬 영역 네트워크 내에 설치된다. 이들은 PC와 서버 내에서 작용할 수 있지만, 독립형 기기일 수도 있다.
두 가지 모두 IDS이지만 이들은 서로 같지 않다. NIDS는 트래픽 내의 알려진 공격의 특성이나 정상 네트워크 활동으로부터 의심스러운 일탈을 찾는다. 일단 파악되면 이 정보는 이를 처리할 수 있는 일정 사람 또는 시스템으로 전송된다.
반면, HIDS는 현재의 시스템 파일의 스냅샷을 찍는다. 스냅샷을 찍은 후 이를 과거의 스냅샷과 대조한다. HIDS는 예상치 않은 무단 변경을 찾는 게임이다. 예를 들어 덮어쓰기, 삭제, 파일 추가, 시스템 설정 변경 등이다.
이상적으로, 두 가지를 모두 사용하는 것이 좋다. HIDS는 잠재적 내부자 위협을 보호한다. 부모의 업무 컴퓨터에 아이가 포트나이트 게임을 설치하는 상황이 사소한 사례다. 한편 NIDS는 네트워크 영역 내에서 벌어지는 일을 계속해서 감시할 수 있다. 예를 들어 아이가 포트나이트 게임을 한다면 트래픽이 크게 증가할 것이다. 이는 공격과 비정상 역시 검출한다.
공격 특성 데이터베이스를 바탕으로 방화벽, 라우터, 서버, 스위치, 데스크톱을 모니터링함으로써 문제가 너무 커지기 전에 침해에 대해 경보를 받을 수 있다. 위 특성 데이터베이스를 이용함으로써 IDS는 알려진 변종 트래픽을 식별할 수 있다. 위에서 말했듯이 아이가 포트나이트를 하더라도 허위 경보가 늘어날 위험이 낮아진다. 이 경우라면 CISO는 경보를 받을 필요가 별로 없을 것이다.
즉 IDS는 여러 공격 유형을 분석해 공격 패턴 역시 식별할 수 있게 해주며, 네트워크 관리자는 이에 의해 방어를 적절히 강화할 수 있다.
마지막으로, IDS는 미국의 HIPPA, EU의 GDPR 등 규제적 컴플라이언스 규정과 회사 보안 표준을 준수하는 데 도움이 된다.
IPS는, 예상한 것처럼, 위의 모든 것을 이행한 후 위협에 자동으로 대응한다. 그러나 IPS에게 지나친 권한을 부여하는 것은 주의해야 한다.
IDS가 허위 긍정을 보고하더라도 대개 크게 문제가 되지 않는다. 그러나 IPS가 무언가를 악성 행위라고 식별한다면 이는 정당한 네트워크 트래픽을 차단할 수 있고, 연관된 서버를 중지할 수 있고, 서브넷을 폐쇄할 수 있다. IPS가 진짜 문제를 차단한다면 좋은 일이지만, 진짜 업무를 방해한다면 재난이 아닐 수 없다.
그러면서도 IPS는 랜섬웨어 다운로드를 시작하는 피싱 공격을 놓쳐서는 안 된다. 이는 세심한 균형의 문제이다.
실제로, IDS와 IPS의 중대한 문제 가운데 하나는 똑똑한 보안 관리자가 필요하다는 것이다. 문제가 전혀 없는 IDS 같은 것은 없다.
유능한 보안 관리자는 찾기가 쉽지 않다. 그러나 AI와 ML이 도움이 될 수 있다. ML과 IDS가 조화롭게 작용하도록 만드는 학술적 연구가 진행되고 있다. 특히 딥러닝 모델은 오늘날의 피상적인 ML 모델보다 우월하다.
이는 단순히 학술 이론에 그치지 않는다. 카네기멜론대학교의 사이랩(CyLab)은 우수한 속도의 오픈소스 IDS를 이제 막 공개했다. 이는 피거서스(Pigasus)라는 우스꽝스러운 이름을 가지고 있고, 필드 프로그래머블 게이트 어레이(Field Programmable Gate Arrays, FPGA)를 통해 초당 100 기가비트의 네트워크 검사 속도를 달성했다.
최고의 시나리오라면 잘 관리된 IDS와 IPS를 동시에 이용하는 것이다. 최근의 발전 덕분에 전문 인력 부족이 과거처럼 장애가 되는 일은 많지 않다.
코로나바이러스 시대의 네트워크 보안
현재 이용할 수 있는 우수한 IDS, IPS는 수없이 많다. 그러나, 이를 구매하기 전에 알아야 할 것들이 있다. 먼저, 이들은 형태가 매우 다양하다. 심지어 같은 제품 계열이라도 형태가 다르다. 예를 들어 시스코의 넥스트 제너레이션 인트루전 프리벤션 시스템(Next Generation Intrusion Prevention System) 같은 제품은 하드웨어 기기나 VM웨어 인스턴스 두 가지 형태로 출시된다.
이들을 무작정 구매하기도 어렵다. 독립형이거나 서비스인 것도 있고, 더 큰 제품 계열의 일부일 수도 있다. 대다수 기업 소프트웨어 프로그램과 마찬가지로 가격도 복잡하다. 다양한 기능, 성능, 가격대가 있다. 또한 판매자가 아닌 VAR이나 MSP로부터 구매해야 할 수도 있다.
마지막으로, 중요한 말이지만, 구형 시스템의 경우 업무 지역이 수십, 수천 곳의 재택 사무실일 경우 원활하게 작동하지 않을 가능성이 높다. 아울러 이들 모든 근무지에 기기를 배치할 수는 없을 것이다. 2020년 이후에 필요한 것은 네트워크 내지 클라우드 기반 보안 서비스이다.
보안회사는 이를 알고 있다. 글로벌 인더스트리 애널리스트는 클라우드 IDS 시장은 6억 9,400만 달러에서 2027년 26억 달러로 급증할 것으로 전망한다. 이는 무려 20.8%의 CAGR이다. 이를 견인하는 주요 동력 가운데 하나는 재택 근무로의 전환이다.
다른 애널리스트 그룹, 예를 들어 어드밴스 마켓 애널리틱스 등은 클라우드 IDS 시장의 성장세에 주목하고 있다. 이 분석 기업에 따르면 이를 견인하는 것은 코로나바이러스 경제가 전부가 아니다. 자택 및 데이터센터의 IT 인프라를 데이터 침해 및 네트워크 공격으로부터 보호할 필요는 계속 커지고 있다. 아울러 클라우드로 이동하는 온갖 일반적인 이유들도 일정한 역할을 한다. 예컨대 유연성, 비용 절감, 보안 개선 등이다.
UTM(통합위험관리) 선택지
이들을 구매하기 전에 반드시 점검이 필요하다. 기능이 매우 광범위하기 때문이다. 새로운 IT 보안 니즈에 적합해야 할 것이다.
우선, 여러 오픈소스 프로그램이 있다. 이들 다수는 매우 우수하게 작동한다. 그러나 이들이 무엇인지 정확히 알고 있어야 한다. 이들 프로그램을 알고 있는 직원이 아무도 없다면 이는 적절한 프로그램이 아니다.
스노트(Snort)는 가장 오래된 오픈소스 NIDS 프로젝트이다. 이름은 원래 용도였던 패킷 검사기로부터 유래했다. 그러나 오늘날 이는 네트워크 기반 IDS이다. 이는 맞춤형 규칙을 이용해 네트워크 패킷 내의 불량 패킷을 찾는다. 특성 및 비정상 기반의 감지 기법을 둘 다 이용한다.
이를 이용하는 데는 돈을 지불할 필요가 없고, 내장 규칙 세트 또한 계속해서 갱신된다. 단 더 안전하고 싶다면 유료 규칙 구독을 해야 한다. 이들은 커뮤니티 규칙 세트보다 30일 먼저 갱신된다. 개인은 연간 29.99 달러, 기업은 센서당 연간 399달러이다. 이보다 싼 가격은 찾을 수 없다. 오픈소스 소프트웨어에 대해 구시대적 편견을 가진 사람이 IT 부서 내에 있다면 이들에게 시스코가 주 관리자이고 NGIPS가 이를 이용한다고 전할 만하다.
네트워크 측면을 보호하고, PC를 보호하려면 다른 오픈소스 프로젝트인 OSSEC를 이용할 수 있다. 이는 리눅스, 맥OS, 윈도우 상의 개체들을 추적한다. 파일 변경, 윈도우 레지스트리 파일 등의 활동을 실시간으로 추적한다. OSSEC는 보통 IDS로 사용되지만 IPS로서 시스템을 보호할 수도 있다.
비용은 무료이다. 그러나 다시 말하지만, 이를 제대로 활용하려면 이를 정확히 알고 있어야 한다. 애토미코프(Atomicorp)가 상용 버전을 제공하고, 이는 전용 관리 콘솔, 작동 규칙, 보고를 포함한다. 전문가가 아니라면 애토미코프의 상용 제품을 추천한다.
사유 시스템이지만 유망한 또 하나의 신종 네트워크 IDS는 클라우드플레어 침입 감지 시스템(Cloudflare Intrusion Detection System, IDS)이다. 클라우드플레어는 최고의 CDN으로 잘 알려져 있고 외부 접촉 인터넷 트래픽뿐만 아니라 내부 네트워크 트래픽 역시 모니터한다. 이는 정상적인 트래픽 거동을 관찰하고 패킷을 심층적으로 분석한다. 아직 베타 상태이지만 주시할 가치가 있다.
파이어아이(FireEye)의 네트워크 시큐리티 앤 포렌직스는 IPS 보호를 포함한다. 이는 기기로서 판매되지만, 요즈음은 클라우드 기반 가상 기기로서 실행할 수 있다. 큰 장점은 공격 특성에 의존하는 것이 아니라 멀티-벡터 버추얼 엑시큐션(Multi-Vector Virtual Execution, MVX) VM을 이용한다는 것이다.
MVX는 VM에서 수상한 콘텐츠가 실행될 때 작용한다. 따라서, 예를 들어, 악의적인 사람이 이메일 첨부물 안의 악성코드를 전송하려고 한다면 MVX는 보안된 VM에서 이를 먼저 열어본다. 그 후 첨부물의 전송을 차단한다.
트렌드마이크로 티핑포인트(Trend Micro TippingPoint)는 IPS 프로그램이고, 가상 기기 안에서 실행할 수 있다. 이는 트렌드마이크로 및 제로 데이 이니셔티브로부터 위협 특성을 취합한다. 또한 티핑포인트는 ML을 이용해 제로 데이 공격을 식별한다. 네트워크 보호뿐 아니라, 이는 퍼블릭 또는 프라이빗 클라우드에서도 사용될 수 있다. 아울러, 당연한 말이지만, 트렌드 마이크로의 다른 보안 제품에 통합될 수 있다.
마지막으로, 새로운 모델을 전적으로 수용한 2가지 IPS 프로그램을 소개한다.
지스케일러 클라우드 IPS는 클라우드 전용 프로그램이다. 이 SaaS 프로그램은 서버들에 걸쳐 이용자를 보호하기 위해 설계됐다. 회사에 따르면 원격 작업자 및 클라우드 의존으로 인해 전통적인 IPS는 이용자를 표적으로 하는 진짜 위협에서 맹점을 드러낸다. 이는 흥미로운 발상이고, 그럴만한 이유가 있다. 재택 근무 친화적인 보안 솔루션을 찾고 있다면 검토할만한 프로그램임이 분명하다.
또 다른 기술인 벡트라 코그니토(Vectra Cognito)는 AI와 ML을 특징으로 한다. 벡트라에 따르면 부실한 보안 교육, 낡은 보안 기술, 보호 장소 및 대상에 대한 근본적인 몰이해로 인해 기업들이 공격에 노출되고 있다. 그리고 회사의 방법론은 오늘날의 보안 위험에 대처하는 데 훨씬 우수하다고 주장한다. 나름 리 있는 주장이다.
다른 패키지들도 수없이 많다. 시장을 지배하는 업체는 없다. 그러나 한 가지 분명한 사실이 있다. 기업은 변화한 보안 환경에 맞는 솔루션을 이용해야 하고 새로운 ‘재택 근무’ 인력에 맞게 손대야 한다는 것이다. 그렇지 않을 경우 팬데믹이 끝나기 전에 예방 가능했던 해킹 공격으로 피해를 입을 수 있다.
* Steven J. Vaughan-Nichols는 CP/M-80이 첨단 PC 운영체제였고 300bps 모뎀이 고속 인터넷 연결 수단이었던 시절부터 기술 분야에 대한 글을 써왔다. dl-ciokorea@foundryco.com
