[기고]침입방지시스템(IPS), 트래픽 전수조사가 생명이다


최정우 시큐아이 IPS사업그룹장

신종 코로나바이러스 감염증(코로나19)이 전 세계로 확산되며 우리 일상의 많은 부분을 바꿨다. 멀게만 느껴졌던 재택근무가 일상이 됐으며, 학생들을 위한 원격수업을 비롯해 생산공장의 무인화·자동화가 확대되기 시작됐다.

더불어 이런 빠른 변화로 인해 보안 위협은 더욱 증가했다. 사회적 변화에 따른 혼란을 틈타 피싱과 악성코드 등은 기승을 부리고 있다. 나날이 증가하는 보안 위협으로부터 사내 시스템을 보호하고 개인정보 유출을 막을 수 있는 보안 솔루션들의 필요성이 더 커지는 배경이다.

다양한 보안 솔루션 중 외부 침입을 탐지·차단하는 보안장비는 침입탐지시스템(IDS)과 침입방지시스템(IPS)으로 나뉜다. 보통 IDS는 '미러링'된 트래픽을 받아 침입을 탐지하도록 설치된다. 보안장비로 인해 장애가 발생하는 등 서비스 연속성을 저해하는 일을 막기 위해서다. 반면 IPS는 실시간으로 트래픽을 분석해 공격을 차단한다. 당연히 탐지·차단 기능을 모두 갖고 있다.

[그림1] 구성에 따른 IDS모드와 IPS모드 [출처=시큐아이]

그런데 만약 IPS가 트래픽 전수조사를 하지 않는다면 어떻게 될까.

코로나19 방역을 떠올려 보자. 우리나라는 코로나19 확산을 막기 위해 확진자의 동선을 확보하고 역학조사를 수행, 접촉자를 확인해 전수조사한다. 한 두 명의 누락된 접촉자가 확진자가 돼 격리조치 없이 일상생활을 하게 된다면 코로나19는 빠르게 확산될 수밖에 없다.

IPS도 동일하다. IPS가 패킷을 선별 조사한다면 탐지하지 못하고 누락되는 공격이 발생하고, 보안 담당자는 해커의 침입도 인지하지 못하게 될 것이다. 침해 사고를 인지한 뒤에도 발생 시기, 피해 정도를 파악하기도 어려울 가능성이 크다. 해커의 침입에 대한 인지가 늦어질수록 더욱 많은 피해를 입게 된다.

IPS의 경우 하나의 패킷이 여러 시그니처에 매칭될 수 있다. 다중 시그니처에 매칭되는 공격을 놓고 하나의 결과만 보여준다면 심각한 침해상황을 인지하지 못하고 지나갈 수 있다는 얘기다. 발열·기침이 코로나19의 대표적인 초기 증상이지만 감기, 독감 등 여러 질병의 증상이기도 한 만큼 다른 증상의 확인과 검사로 정확한 병명을 진단하는 것이 중요한 것과 마찬가지다.

이 같은 문제를 막기 위해서는 멀티패턴 탐지(첫번째부터 마지막 시그니처까지 모든 위협 요소를 탐지하는 것)를 통해 위험도가 높은 시그니처에 매칭되는 트래픽에 대한 처리를 강화해야 한다.

[그림2] 운영 모드에 따른 다중 시그니처 매칭 탐지 이벤트 차이 [출처=시큐아이]

주요 서버의 앞단에 위치하면서 해커들이 내부 네트워크에 접근할 수 없도록 방어하는 역할을 하는 시스템이 바로 IPS다.

하지만 침입을 막지 못하면 해커는 수개월간 은밀하게 주요 서버의 권한을 획득하고 고객 개인정보 등을 탈취한 후 관리자 모르게 외부로 유출시킨다. 해커는 이렇게 유출된 개인정보를 악용해 회사에 협박을 하거나 블랙마켓에 팔아 금전적 이득을 취한다.

그럼에도 여전히 IPS 솔루션을 IDS 모드로 운영하거나 선별 검사를 선호하는 사례가 적지 않다. 보안보다 서비스 연속성을 더 중요한 요소로 생각하고 있는 것이다. 하지만 이는 장비 본연의 목적에 맞지 않다. 우리나라가 코로나19 감염이 조금이라도 의심되는 곳은 전수조사하고 관리해 확산을 방지하는 것처럼 IPS는 모든 트래픽을 전수검사해야 한다.

/최정우 시큐아이 IPS사업그룹장

최정우 시큐아이 IPS사업그룹장 [사진=시큐아이]

◆최정우 그룹장은 2020년부터 시큐아이 IPS 사업을 이끌고 있다. 기업·금융기관을 대상으로 네트워크 보안 솔루션 도입을 위한 전략 등을 제시해왔다.






포토뉴스