침입탐지시스템에 대한 이해 3
(침입탐지시스템의 연구기술
동향)
넷시큐어테크놀러지㈜, 연구소
우리는 2회에 걸쳐 침입탐지시스템은
무엇이고 이것을 어떻게 효율적으로 운영할 것인지에 대하여 살펴 보았다. 그러면 마지막으로 미래의 침입탐지시스템을
알아보고자 현재 진행 중인 침입탐지시스템에 대한 연구기술 동향에 대하여 소개하겠다. 다른 분야와 비슷하게
침입탐지시스템에 대한 연구도 현재 침입탐지시스템이 갖고있는 한계에서 출발한다. 즉, 앞서 살펴 본 바와 같은 해결되어야 할 대표적인 기술적인 논점뿐만 아니라 최근의 해킹 및 사이버 공격에 대한
네트워크 보안 기술의 근본적인 한계점으로 생각할 수 있는 것은 다음과 같은 것이다.
1) 정상 사용자의 행위를 침입으로 판단하는 오탐지를 일으킬 수 있다(False
Positive의 발생).
2) 침입자는 자유롭게 네트워크를 이용할 수 있으며 동일 시스템에 대한 추가적인 공격과 다른 도메인에 존재하는
다른 시스템에 대한 추가적인 공격이 가능하다.
3) 보안 환경 변화에 적응성이 떨어진다. 즉, 새로운 공격 패턴에 대해서 해당 DB를 갱신하고 있으나 탐지는 알려진 기술이나 기법에 한정된 것이다(False
Negative의 발생).
4) 침입자 대응에 있어 협력 기능이 부족하다. 동일한 공격에 대해서 전체 네트워크의 다른 부분에서 인식하게 되는 정보와 전체 네트워크 차원에서 해당 데이터를
상호 결합하는 기능이 부족하고, 침입자에 대한 대응에 있어서도 각 도메인 간의 협력이 없는 상태이다.
이러한 문제점들을 해결하기 위해 침입탐지시스템이 설치될 네트워크 특성에 맞게 정책설정을 최적화함으로써 오탐지를 줄이고
침입탐지 패턴의 라이브 업데이트를 통한 최신 공격유형에 적극적으로 대응을 하는 등 실질적인 방안들이 다양하게 제안되고 있으나 이중에 ‘침입자 대응’부분에 대해 살펴보기로 하자.
1. 침입대응 개요
제 1회 침입탐지시스템의 기술분류와 특징에서 침입탐지시스템의 대응에 대한 부분을 기능상의 특징인 통지, 세션차단, 라우터 및 침입차단시스템 연동이라는 항목으로 살펴 보았다. 이를 좀 더 기술적인 측면에서 정의하고 IBM Zurich Research
Lab.의 분류에 의한 침입탐지시스템 분류법으로 구분하자.
1.1 침입대응
침입 대응 기술은 사용자나 시스템관리자에 의하여 실행되거나 자동화된 대응 시스템을 통하여 실행된다. 보통 해커의 공격은 자동화된 도구를 사용하는 경우가 많으므로 이러한 공격에 대하여 효과적으로 대응이 가능한
자동화된 실시간 대응 방법과 복구 시스템이 필요하다. 실시간 침입 대응 기술은 침입자에 대한 반격, 환경의 수정, 침입정보 수집 등으로 나누어진다. 침입자에 대한 반격은 침입으로 판단된 접속에 대한 접속정보를 역추적하여 침입의 근원점에 대한 공격을 행하거나
네트워크 접속을 차단하는 것이 대표적인 방법이다. 이러한 방법들은 효과적으로 침입을 행한 침입자를 차단할
수 있지만 침입의 근원으로 판단하였던 호스트가 침입자가 경유한 호스트일수도 있고, 역공격을 당한 침입자에게
더욱 심각한 피해를 초래하는 침입을 유도하는 부작용을 가져올 수 있다.
환경을 수정하는 대응 방법은 침입에 사용된 취약점을 식별하고 해당 취약점을 보완하거나 제공되는 서비스의
제한 또는 재개 등 시스템의 환경을 보완하는 방법이다. 이 방법은 대응 방법들 중에서 가장 최적의 대응을
행할 수 있는 방법이기도 하다.
정리하여 말하자면 아래와 같다.
가. 침입대응은 사용자나 시스템관리자에
의하여 실행되거나 자동화된 대응 도구를 이용하여 수행한다.
나. 해커의 자동화된 도구를
사용하는 공격에 대하여 효과적으로 대응이 가능한 자동화된 실시간 대응 방법 및 복구 시스템이 필요하다.
1.2 침입탐지시스템에서의 대응 기술
1) 수동적 대응
- 경보(통지)
- 로깅
2) 능동적 대응
가. 네트워크 기반
- 차단/종료
- 침입차단시스템/라우터/스위치
연동(정책 재구성)
나. 호스트 기반
- 사용자 강제 종료 및 접근 차단
- 응용프로그램 또는 시스템의 종료 및 재시동
- 취약성 수정
현재 상용화된 침입탐지시스템의 대응 방법은 기본적으로 수동적 대응 기능을 갖고 있고 전체 네트워크 차원이나 각 도메인
간의 협력 수준은 아니지만 침입탐지에 대한 대응 방법으로 제한적이지만 ‘능동적 대응’으로 해당 세션을 강제종료 시키거나 같은 네트워크 상에 있는 침입차단시스템 및 라우터 등과 연동하여 의심스러운
호스트나 서비스 요청을 원천적으로 막아낸다. 그러나 이러한 대응기술을 포함한 문제해결을 위한 연구는
실질적인 활동이지 원천적이라고 할 수는 없다.
그러면 위와 같은 기술적 한계를 극복하기 위해서는 보다 능동적이며 공격적인 대응을 하며 새로운 공격에 대해 탐지
및 대응을 쉽게 받아들이는 적합성을 가지는 구조의 형태의 연구가 필요하다고 할 수 있다. 이러한 동향에
가장 대표적인 것이 능동형 보안 시스템일 것이다.
그림 1. IDIP의 네트워크 구조
현재, 침입자의 실제 위치를 추적하여 침입자 근처에서 해당 트래픽을 차단함으로써
침입자를 네트워크로부터 연결성을 단절하고자 하는 연구가 진행되고 있다. DARPA(Defense Advanced
Research Projects)의 프로젝트는 프로토콜을 개발하거나 능동 네트워크 기술을 적용하는 방안에 대한 연구와 학계를 중심으로
기존의 네트워크 기술이나
그림 2. AN-IDR의 네트워크 구조
그리고 DARPA의
SLSS(Survivability of Large Scale Systems) 프로그램의 하나로 연구된 IDIP(Intruder Detection and Isolation Protocol)과 IDIP 프로젝트의 프로토콜이 구현되어 시스템에 실장 될 경우에 가지는 정적인 측면으로 인한 단점을 보완하기
위한 DARPA FTN(Fault Tolerant Network) 프로그램으로 수행되고 있는 AN-IDR(Active Network-Intrusion Detection and Response) 과제 등이
있다.
그렇지만 이러한 연구는 자세한 연구 방향 및 연구 결과에 대한 발표는 아직 활발하지 않으며 이러한 기술은 연구 초기
단계에 있어 상용화된 제품으로 나오는 데에 해결해야 할 문제가 많다. 이와 대조적으로 실용적인 개념이
소개되었는데 대표적인 두 가지를 소개하고자 한다. 이는 침입방지시스템과 Flow 기반의 침입탐지시스템이다.
새로운 개념을 소개하기 전에 먼저 일반적으로 침입 시도 순서를 살펴보자.
2. 침입(해킹) 시도
순서
단계 1. 네트워크 상에 어떤 종류의 컴퓨터가 있는지, 이것들의 운영체제와 네트워크 어플이케이션 중 서버는 무엇이며 이것들의
IP 주소와 열린 포트번호를 결정하기 위해 네트워크를 탐색한다. 이런 일련의 과정을 네트워크 매핑이라 한다.
단계 2. 단계 1에
의해 모여진 데이터에 기반을 두고 취약성 있는 컴퓨터로 접근하려고 악용될 루틴을 적용한다.
단계 3. 침입자의 목적,
즉 재정과 관련된 서버로부터 민감한 자료를 내려 받는 등의 행위가 이루어진다.
여기서 상용화되어 있는 대부분의 침입탐지시스템은 침입탐지 패턴(시그니처)을 기반으로 오남용 탐지를 주로 하고 있다. 이것은 위의 침입 시도 순서에서 두 번째 단계에 해당하는 행위를 탐지하는 것이다. 따라서 네트워크 또는 호스트의 사용이 증가할수록 시그니처 기반의 침입탐지시스템은 부하가 가중되는 것이다. 이를 극복하는 방안으로, 특히 네트워크의 고속화에 따른 고속처리를
구현하기 위한 고속처리H/W 책택 및 대상 시스템의 운영체제와의 최적화를 통한 방법뿐 아니라 운영체제에
실장 되어 시스템의 H/W와 일체화하는 단계가 연구개발 되고 있다.
그러면 이러한 연구방향과 더불어 진행되고 있는 침입방지시스템(Intrusion
Prevention System, 제품군이 아닌 보안 솔루션의 개념을 지칭한다)의 개념이
소개하겠다.
1. 침입방지시스템은 공격에 대한 탐지만이 아니라 공격 시그니처를
찾아내며, 서버에서 수상한 활동이 이뤄지는지를 감시한다.
2. 침입방지시스템은 서버가 비정상적인 행동을 실행하고자 하는
경우 자동으로 조치를 취함으로써 그것을 중단시킨다.
침입방지시스템의 이러한 개념은
False Positive와 False Negative를 제거하며 침입이 탐지되었을 때
능동적 대응을 제공하겠다는 개념이다. 그러니까 ‘정상’을 정의하고 그 이외의 것은 직접 차단하는 개념이다. 네트워크에서
무엇을 ‘정상행위’로 정의하며 수동소자뿐만 아니라 능동소자로
역할을 하는 것에 대한 실효성에 대한 논란을 있겠으나 침입탐지시스템 연구의 다른 접근 방법이라 생각이 든다.
그리고 또 다른 하나의 접근법인
Flow 기반의 침입탐지시스템(Flow-based IDS)에 대해 알아보자. Flow 기반의 침입탐지시스템의 중요 개념은 Flow, 관계지수, 서비스목록으로 이야기할 수 있을 것이다. 기존의 침입탐지시스템이
침입 시도 2 단계에 관심을 두었다면 이 개념은 단계 1, 3에서
침입탐지를 수행하는 방법을 채택했다. 각각의 독립적인 패킷이 아니라 합법적인 연결 또는 의심스러운 연결에
대한 Flow를 대상으로 유효한 연결인지 탐지 또는 스캔 시도인지를 관계지수를 통하여 판단하고 합법적
보이는 네트워크 연결이 보고되지 않거나 알려진 공격인지 서비스목록을 통하여 확인하게 되는 방식이다. 이런
방법도 관계지수를 설정하고 서비스목록을 구축하는 방법에서 논란이 있을 수 있으나 침입탐지시스템의 현재 안고있는 문제점을 해결하려는 새로운 시도로
관심이 둘 수 있다.
또 한편으로 현재 네트워크의 구조를 기반으로 보안성을 강화하려는 방안으로
각각의 솔루션 및 시스템의 상호 연동을 강화하는 상호 운용성과 각각의 획득 정보에 대한 상호 결합 그리고 시스템 수행기능의 상호 협력을 강화하려는
움직임도 있다. 물론 이것은 좁은 의미에서 침입탐지시스템의 능동적 대응 기술과 맥을 같이 하겠지만 다양한
업체 제품들 간의 상호결합으로 보안성을 강화하려는 것이다. 이것은 상호 운영성을 제공하기 위하여 표준화된
인터페이스를 정의하고 공통 API(Application Program Interface)를 정의하고
이벤트 또는 로그 관리를 이용하여 중앙에서 보안 관리를 적용하는 방법 등으로 크게 두 가지로 나눌 수 있다. 이는
Checkpoint 사의 OPSEC(Open Platform for
Secure Enterprise Connectivity)와 NAI사의 Active Security가 대표적이며 국내에서는 ISTF(Internet
Security Technology Forum)에서 해당 국내표준을 발표하거나 준비 중이다.
지금까지 침입탐지시스템의 연구개발 동향에 대해 전반적으로 살펴보았다. 그러면
끝으로 다음 사항을 언급하면서 마치겠다.
침입탐지시스템은 만능이 아니다. 침입탐지시스템은 침입 또는 침입시도에
대한 탐지와 침입 탐지에 따르는 대응 기능을 목적으로 하고있다. 그럼에도 불구하고, 침입탐지시스템이
침입차단시스템과 독립적인 보안 솔루션으로 인식되는 경우가 있다. 실제 침입탐지시스템은
서비스 거부 공격 공격에 대해서는 무방비 상태다. 물론 이러한 공격에 능동적으로 대응하는 개념이 소개되었지만
침입탐지시스템이라는 것은 침입 탐지 및 대응(경고)에 대한
책임이 1차적이다. 특히,
요즘 유행하고 있는 웜 바이러스에 대해서는 실제 자체적 방어가 불가능하다. 이러한 단점을
보완하기 위한 해법은 앞서 알아보았던 침입탐지시스템 및 라우터와의 연동과 같은 다른 보안솔루션과 같은 네트워크 노드와의 능동적 대응이다. 이러한 분업으로 침입탐지시스템에서 탐지하고 침입차단시스템에서 방어를 하는 형태이다. 분산 서비스 거부 공격에 대한 방어는 침입차단시스템과 침입탐지시스템의 연동을 넘어서서 BACKBONE망을 책임지고 있는 ISP 업체와 네트워크 장비 업체, 침입차단, 탐지시스템 업체 모두가 유기적인 관계를 갖고 대응해야
하는 문제이다. 그리고 이것은 앞서 소개했던 해외의 능동형 보안 시스템 연구뿐만 아니라 ETRI를 중심으로 차세대 능동형 네트워크 정보보호시스템 개발 과제로 구체화되고 있다.
댓글 없음:
댓글 쓰기