IPS는 네트워크 보안의 기본 인프라지만, 너무 많은 보안 이벤트가 발생해 관리 어려움을 증가시켰다. 지능형 공격이 등장하면서 IPS에서 발생하는 보안위협을 정교하게 관리해야 한다는 요구가 높아지고 있어 새로운 차세대 IPS가 부상하고 있다. 시큐아이의 ‘SECUI MFI’는 고객 환경에 맞춘 보안 정책과 진화하는 공격 탐지 기술을 제공해 차세대 IPS 요구를 충족시킨다. SECUI MFI를 도입한 고객 성공사례를 통해 차세대 IPS의 기술요건을 살펴본다.<편집자>
성능이 IPS의 주요 평가 지표였던 시절 도입된 1세대 IPS를 이용하는 보안 운영자들은 쉴 새 없이 발생하는 오탐 이벤트에서 정탐을 찾는 일에 어려움을 겪어왔다. 이 때문에 실제 공격 이벤트가 발생해도 오탐으로 생각하게 된다. 이벤트는 IPS 구축 초기에나 신경 쓸 뿐, 서비스에 이상이 없으면 IPS의 존재는 관심 밖으로 밀려나게 된다.
보안 위협은 나날이 고도화되고 있으며, 제로데이 공격, APT, 랜섬웨어 등 새로운 공격방법이 등장하면서 운영자의 걱정을 증폭시킨다. 지능화되는 공격을 탐지하기 위해 IPS에 다시 관심을 가져야 한다.
성능에만 초점을 맞춰 실제 공격을 탐지하는데 한계를 보였던 1세대 IPS는 정밀한 탐지와 다양한 보안 콘텐츠를 탑재하면서 차세대 IPS로 고도화되고 있다. 특히 보안에 민감한 금융권 IPS 시장이 차세대로 빠르게 전환되고 있다. 고도화 되는 보안 위협 속에서 과도한 오탐으로 인해 관심 밖으로 밀려난 IPS의 활용 가치를 높이기 위해서는 차세대 IPS로의 전환이 필요하다.
A 금융기관, 차세대 IPS로 지능형 위협 탐지
금융기관 A사는 높은 성능을 앞세워 높은 점유율을 자랑했던 1세대 IPS를 도입·운영하고 있었다. 그러나 날로 증가하는 트래픽과 보안 위협은 기존 IPS로 처리하기에 역부족이었다. 그래서 이 기관은 차세대 IPS 전환을 검토했으며, 성능 개선, 정탐율 향상, 원활한 기술지원 등을 중요한 검토사항으로 전제하고 여러 IPS 제품을 살폈다.
A 기관은 시큐아이가 차세대 IPS 개념을 바탕으로 개발한 전용 IPS인 ‘SECUI MFI’가 자사의 요구에 가장 적합하다고 판단했으며, 특정망에 대한 보안 고도화를 위해 도입한 후 기존 운영 방식을 전면 개편하면서 IPS를 점진적으로 교체하게 됐다.
1세대 IPS는 단순 문자열 패턴 매칭 방식의 시그니처를 기반으로 공격을 탐지해 이벤트가 단순하고 명료했지만, 오탐율이 높고 타 솔루션과의 호환성을 갖출 수 없다는 단점을 가지고 있다. 차세대 IPS는 SNORT 방식의 시그니처로 품질 및 이벤트 분석을 고도화했으며, 다른 솔루션이나 기관과 호환성도 갖출 수 있다. 국내에서는 국가사이버안전센터(NCSC), 교육사이버안전센터(ECSC)의 기관에서 PCRE 형태의 시그니처를 제공하고 있으며, SECUI MFI가 이를 지원한다.
A사는 기존의 사용자 정의 시그니처에 대해 오탐율을 최소화하면서 새로 도입한 IPS에 적용하기 위해 SNORT 형태의 시그니처로 재생성했으며, 신뢰성을 높이기 위해 6개월의 모니터링 기간을 거쳐 안정적인 차세대 IPS를 구축할 수 있었다.
일반적으로 IPS 구축 후 최적화 작업을 위해 1주에서 길게는 1달 정도 모니터링 기간을 갖지만 A사는 이관된 시그니처에 대한 검증 및 제조사 시그니처 검증, 그 외 차세대 IPS가 제공하는 글로벌 평판DB, 클라우드 기반 악성 URL 등의 다양한 보안 콘텐츠에 대해 신뢰성을 확보하기 위해서 오랜 기간 검증 작업을 진행했다.
SECUI MFI가 실제적으로 운용 가능한 차세대 IPS라고 평가한 A사는 SECUI MFI 구축 구간을 점진적으로 확대하고 있다.
B 공공기관, 내부 자원 취약점 점검 후 시그니처 최적화
공공기관인 B기관은 기존 1세대 IPS의 한계로 고도화 되는 공격위협에 빠르게 대처하기 어렵다고 판단하고, 차세대 IPS 도입을 검토했다. B기관은 실질적으로 활용 가능한 보안 콘텐츠와 취약점 점검툴을 연동해 시그니처를 최적화 하는 SECUI MFI를 도입했다.
SECUI MFI 구축 시 제공하는 SECUI SCAN은 실제 상용화 돼 판매 되고 있는 툴에서 연동성을 확보해 번들버전으로 제공하고 있다. 이렇게 제공된 취약점 점검툴은 내부 자원에 대해 스캐닝 한 결과를 IPS에서 불러들여 시그니처를 최적화할 수 있도록 도와준다.
통합위협관리 솔루션으로 효율적 운영체계 수립
A사와 B기관은 적은 인원으로 다수의 IPS에 대해 효율적인 운영방안을 검토했으며, 이를 위해 통합관리 및 위협관리가 가능한 통합솔루션(SECUI TMS)을 구축해 운영방안을 수립했다.
오탐을 최소화하고 정탐을 높이기 위해 SECUI TMS의 이벤트 관리를 적극 활용했다. 해당 통합솔루션은 기존 오탐의 난립으로 무시된 이벤트에 대해 티켓 관리를 하도록 해 이벤트 발생 시 관리자 배정 및 조치 결과에 대한 이력을 관리하도록 해 보안성과 효율성을 높였다.
차세대 IPS는 고도화 되고 있는 위협 속에서 침해사고에 대한 대응과 이벤트에 대한 명확한 분석을 지원할 수 있는 체계가 마련돼 있어야 한다. 단순히 제조사 침해대응센터의 존재 유무가 중요한 것이 아니라 실제 서비스를 받을 수 있는지 여부를 확인해야 한다.
SECUI MFI는 시스템 내에서 발생한 이벤트에 대해 제조사로 직접 분석 요청이 가능하도록 설계됐으며, 이에 따른 지원 체계를 마련해 쉽고 빠르게 서비스를 받을 수 있도록 했다. 또한 기능 업그레이드를 통해 SSL 트래픽에 대한 가시성 확보, 로그 고도화, 분석 정보 강화 등 지속적인 기술지원, 유지보수를 지원 받고 있다.
