네트워크 행동 분석(NBA;Network Behavior Analysis) 시스템은 알려지지 않은 공격에 대해 네트워크를 방어할 수 있다고 약속하고 있다. 이러한 주장은 과연 어디까지가 진실일까.

게임에서 방어 전략을 짤 때는 다른 팀의 전략을 정찰하는 게 도움이 된다. 하지만 IT 보안 전문가들에게 안타까운 현실은 다음번 공격자가 스크립트 키디나 범죄 연합, 혹은 악의를 품은 내부인에 이르기까지 누구나 될 수 있고, 공격이 가능한 방향은 이보다 훨씬 더 다양하다는 사실이다. 하지만 많은 기업에서 이러한 불확실성에 대응해 채택한 침입 탐지 및 침입 방지 시스템은 수년간 안티바이러스 제품을 괴롭혀 온 것과 같은 취약점으로 고통받고 있는데, 그것은 바로 시그니처(signature)에 의존하고 있다는 점이다.

대부분 기업 NBA 혜택 가능
안티바이러스 업체들은 경쟁력을 유지하기 위해서는 그 이전에 특별한 활동을 본 게 없더라도 수상쩍은 트래픽을 가려낼 수 있게 해주는 기술을 개발해야 한다는 사실을 일찌감치 깨닫고 있었다. 그리고 그 해답은 위협으로 생각되는 방식으로 행동하는 파일과 프로세스를 탐지해 내는 발견적 및 행동 분석 방안이었다.
네트워크 보안 영역에서는 랜코프(Lancope)나 마주네트웍스(Mazu Networks) 같은 업체와 연구소에서 서명이 아니라 행동 분석 방식을 사용하는 시스템을 개발했다. 그리고 지난 몇 년간 이 부문은 NBAD(Network Behavior Analysis and Detection)와 NADS(Network Anomaly Detection Systems) 같은 몇 가지 불운의 기술들뿐이었던 니치 시장에서 네트워크 행동 분석, 즉 NBA에 정착하기에 이르렀다.
본질적으로 볼 때 이런 업체들은 10년도 더 전에 안티바이러스 업체들이 필수품이라고 깨달았던 잃어버린 조각, 즉 행동 탐지 기술을 IDS 세상에 가져다주고 있다.
대부분의 기업은 NBA의 혜택을 받을 수 있는데, 그 이유는 대부분이 압도적인 대역폭이나 퍼베이시브한(pervasive) 가시성의 부재로 인해 관심이 있는 보안 이벤트를 놓치고 있기 때문이다. 하지만 네트워크와 긴밀히 상호작동하고 보안에 영향을 미치는 여느 제품과 마찬가지로(그리고 특히 대부분의 NBA 시스템만큼이나 값이 나가는 것들과 마찬가지로) 적절한 맞춤 작업이 필수다.
그렇다면 과연 NBA 제품들이 기존의 IDS, 취약성 스캐너, 그리고 SIEM(Security Incident and Event Manager)과 잘 통합되면서 동시에 작업처리 속도에 대한 필요를 해결해 줄 수 있을까? 이를 알아보기 위해 우리는 NBA 롤링 리뷰를 시작한다. 이 롤링리뷰는 테스트가 끝나는데로 다시 소개할 예정이다.

전례없는 가시성
전문 NBA 업체들은 처음에는 네트워크 보안에 초점을 두었는데, 그 이유는 단순히 이것을 잘 할 수 있었기 때문이다. 이들의 시스템은 정상적인 네트워크 행동이 어떠해야 한다는 데 대한 베이스라인을 만들면 비정상적인 행동을 탐지할 수 있다. 예를 들어 일상의 행동에 웹 브라우징, 네트워크 공유로의 액세스, 그리고 이메일 트래픽 등이 포함되는 데스크톱 컴퓨터가 TCP 포트 65500에서 접속을 받기 시작했다거나, 혹은 전세계의 다른 수백 개 호스트와 UDP 포트 17028에서 통신을 시작했다고 해보자.
NBA 시스템이라면 갑작스런 변화에 대해 보안 팀에 e-메일을 보낼 것이며, 심지어 방화벽 ACL을 이행허가나 혹은 스위치 포트를 정지시킴으로써 치명적 손상을 막을 것이다.
NBA는 기업의 독특한 트래픽 패턴에 대한 깊은 이해를 필요로 하기 때문에, 업체들이 탑 토커(top talker) 식별 같은 간단한 기능에서부터 네트워크 최적화와 플래닝을 돕기 위한 고급 보고 기능에 이르기까지 다양한 네트워크 성능 모니터링 기능을 추가하기에 적합하다.
본질적으로 볼 때 이러한 사양이야말로 NBA 업체에서 네트워크팀과 보안팀 모두에게 이전에는 갖지 못했던 가시성을 제공한다고 약속할 수 있는 근거가 되는 것이다. 이러한 가시성에는 새로운 호스트가 네트워크에 등장했을 때 경보 보내기와 병목이 존재하는 곳을 찾아내서 사용자를 직접 그들의 네트워크 트래픽 흐름에 연결해줄 수 있는 능력 등이 포함된다.

데이터 수집하기
NBA가 번영의 영역으로 확장되는 낌새를 눈치챈 넷QoS 같은 네트워크 성능 업체들은 자신들의 제품 라인에 NBA 기능을 발 빠르게 추가하고 있다. 보안에 집중하고 있는 개인이나 업체들은 NBA를 포괄적인 보안 전략의 하나라고 주장하는 반면, 이러한 네트워크 성능 업체들은 이 기술을 지난날의 네트워크 관리 시스템의 자연스러운 확장판으로 보고 있다. 예를 들어 넷QoS 부사장인 스티브 해리먼은 NBA가 애플리케이션 성능용으로 네트워크를 최적화하는 데 있어 핵심이 되는 기술이라고 말했다.
어떤 관점을 선호하든 간에 궁극적으로는 기업의 IT 조직에게 유리하다. 서로 다른 시각을 가진 업체들의 제품으로 NBA 시장에서 경쟁이 가열될수록 새로운 기능은 많아지고 가격은 떨어질 것이기 때문이다.
NBA 제품들이 마법을 부리기 위해서는 흐름 데이터 집합을 통해서든, 아니면 직접적인 패킷 캡처를 통해서든 네트워크 트래픽으로의 액세스가 필요하다. 네트워크 흐름 데이터는 흐름의 시작과 끝의 타임 스탬프, 흐름에 있는 바이트와 패킷 수, 소스 및 목적지 IP 주소, 소스 및 목적지 포트, TCP 플래그(적용 가능한 곳에서), 그리고 IP 정보 등이 포함된 단방향 패킷 시퀀스에 대한 메타데이터로 가장 잘 설명될 수 있다.
네트워크 흐름 데이터에는 몇 가지 포맷이 있는데, 세 가지 주류 이행안들, 즉 넷플로(NetFlow), S플로, 그리고 시스코의 넷플로 버전 9를 기반으로 하는 IPFEX는 모두 주요 NBA 업체들의 지원을 받고 있다.
NBA 제품들은 수집기(collector)로 작동하면서 스위치와 라우터로부터 네트워크 흐름 데이터를 받으며, 이런 데이터들을 의미있는 정보로 프로세싱한다. 직접적 패킷 캡처에서는 NBA 시스템이 SPAN 포트나 네트워크 탭을 이용해 스위치나 라우터로부터 네트워크 트래픽을 직접적으로 확보한 다음, NBA 제품이 단순히 네트워크 흐름 데이터를 캡처했을 경우 받았을 것과 같은 것으로 이것을 엑스포팅한다.
NBA 시스템은 또한 한 단계 더 나아가 네트워크 흐름 데이터만 모니터링해서는 탐지할 수 없는 공격을 플래깅하기 위해 직접적 패킷 캡처를 통한 심층 패킷 점검을 활용할 수 있다. 이런 방식은 또한 다른 정상적인 애플리케이션 포트를 피기백(piggyback)하게 될 애플리케이션을 알 수 있게 해준다.
정상적인 행동의 베이스라인은 NBA의 핵심이지만 이런 시스템은 또한 네트워크 스캔과 비정상적인 애플리케이션 행동, 그리고 웜 등을 잡아내는 패턴 매칭 서명(pattern-matching signature)을 자랑한다. NBA 업체들은 고객들이 ‘온(on)’ 스위치를 누르기만 하면 보안 제품에서 즉시 피드백을 받고 싶어 한다는 사실을 알고 있기 때문에 패턴 매칭은 아웃 오브 더 박스로 사용할 수 있게 돼있다. 물론 최고의 가치는 일단 든든한 베이스라인이 마련돼 있을 때 얻을 수 있지만, 적절히 이것을 개발하는 데는 며칠이 걸릴 수 있다.

꼭 필요한가?
그렇다면 본사와 지사 전체에 이미 IDS/IPS가 배치돼 있고 주변 경계에는 방화벽이(심지어 데이터 센터 주변에도), 그리고 엔터프라이즈 인프라에서 진행되는 것을 알 수 있게 해준다는 SIEM이 있는 회사에서도 NBA가 필요할까? 간단히 답하자면, 그렇다. 이것은 네트워크 가시성 그림을 완성시켜 주며, 다른 보안 시스템이 남긴 공백을 채워주고, 어떤 게 클라이언트고 어떤 게 서버인지 등과 같은 네트워크 호스트들간의 관계에 대한 정보를 제공한다. 그리고 피어 투 피어(P2P) 파일 공유의 허가받지 않은 사용과 같은 정책 위반에 대해 경보를 해주기도 한다.
이러한 네트워크 가시성이 있으면 인스턴트 메시징이나 P2P와 같이 회사 네트워크 안에서 허용되지 않는 것과 허용되는 것을 명기한 기존의 정책을 강화할 수 있다. 또한 사용자의 책임으로 돌아가는 모든 네트워크 활동에 대한 모니터링과 추적을 필요로 하는 비즈니스와 규정상의 필요조건들도 있다. 이것을 수행하기 위해 NBA 제품은 DHCP나 DNS 외에도 LDAP나 마이크로소프트 액티브 디렉토리같은 사용자 디렉토리와 인터페이싱을 한다. 신원정보를 활용함으로써, 즉 예를 들어 한 하청업체 고객이 네트워크의 민감한 부분으로 액세스를 할 경우의 경보를 지정함으로써 정책도 보다 강력하게 만들 수 있다.

데이터넷