침입차단시스템, 즉 IPS는 기업보안의 필수툴로 자리매김하고 있다. 각종 공격을 탐지하고, 차단해 기업의 네트워크를 보호하는데 있어 IPS의 역할이 중시되기 때문이다. 등장한 지 어느덧 7~8년이 흐른 IPS는 기술 진화에 발맞춰 제로데이 공격과 같은 외부 위협을 방지하기 위한 원래의 침입방지 시스템 목적 이외에도 내부 시스템과 네트워크를 보호하기 위한 능동적인 기술들이 적용되면서 네트워크 보안 플랫폼으로 변모하고 있다. <편집자>                                

<연재순서>
1회 : IPS에 대한 오해와 진실
2회 : 네트워크 보안 플랫폼으로서의 IPS(이번호)
김현수 // 한국맥아피 이사
hyunsoo_kim@mcafee.com

IPS를 구축, 운영할 때 매우 부담스러운 업무 중 하나는 쉴 새 없이 쏟아져 나오는 보안 탐지 경고들이다. ‘이런 경고들의 분석을 어떻게 해야 할 것인가’는 보안 담당자들의 큰 고민거리다. 네트워크 환경이 복잡하고, 많은 시스템을 보유하고 있는 기업에서는 하루에 많게는 3만건 이상의 보안 이벤트들이 발생되고 있는데, 수 만 건의 보안 침입 경보들을 분석해 이들 가운데 중요한 이벤트들이 무엇이고, 어떻게 조치해야 되는지에 대한 작업은 보안 전문가라고 하더라도 쉬운 일은 아니다.
하지만 수 만 건의 보안 경보들을 일일이 분석하기 어렵다고 해서, 무심코 지나쳤다간 차후에 해당 이벤트와 연관된 보안 사고가 발생하고 나면 매우 난감한 상황에 처하게 된다. 제한된 인력으로 보다 효율적으로 대응하기 위해서는 이러한 수 만 건의 이벤트들을 상관분석을 통해 현재 보유한 네트워크에 연결된 자산과 관련된 경보에만 집중할 수 있도록 할 수 있는 것만으로도 보안 담당자들의 시간과 노력은 크게 경감될 수 있다.
오늘날 보안 담당자들의 시간과 노력을 줄여줄 수 있도록 IPS에는 보다 지능적으로 동작될 수 있도록 하는 다양한 기술들이 적용되고 있으며, 제로데이 공격과 같은 외부 위협을 방지하기 위한 원래의 침입방지 시스템 목적 이외에 부가적으로 내부 시스템 및 네트워크를 보호하기 위해 보다 능동적인 기술들이 구현되고 있다.

네트워크 보안 플랫폼으로서 IPS의 기능
IPS가 보다 지능적으로 작동되기 위한 중요한 특징은 ‘위험 인지’와 ‘시스템 인지’ 기능이다. IPS 가 내부 시스템들에 대한 보안 취약성을 통한 위협 전파 가능성과 해당 시스템의 보안 패치 유무까지 알고 있다면 단순하게 보안 침입 경보만을 알려주는 것이 아니라, 상관 분석을 통해 취약한 시스템에 이러한 공격이 실제로 관련이 있음을 통보, 보안 담당자로 하여금, 즉시 조치할 수 있도록 해줄 것이다.

이러한 기능들이 통합돼 IPS는 ‘네트워크 보안 플랫폼’으로 진화 발전하고 있다. 즉, 네트워크 경계에서부터 내부 백본망에 IPS가 설치 운영돼 위험관리 프로세스상의 ‘보호(protection)’뿐 아니라 보안 정책의 강제 시행에 해당되는 ‘인포스(enforce)’ 역할까지 수행하고 있는 것이다.

네트워크 보안 플랫폼이 가져야 할 첫 번째 특징으로는 ‘호스트 격리’와 ‘NAC와의 연동을 통한 보안 정책 강제 준수’ 등을 꼽을 수 있다. 호스트 격리란 특정 호스트로부터 비정상 트래픽 혹은 공격 등이 탐지될 경우에 일정기간 해당 호스트의 모든 트래픽을 동적으로 차단함으로써 관리되지 않는 시스템으로 인해 전체 네트워크 및 다른 시스템들이 피해를 입지 않게 하는 것이다.

호스트 격리 기능은 사전에 공격 시그너처로 격리할지 여부를 미리 정의할 수 있으며, 수작업에 의한 ACL 방법에 비해 자동화된 보다 지능화된 방법이라고 할 수 있다. 이러한 호스트 격리기능은 행위 기반의 포스트 어드미션 NAC라고도 불리워진다. 호스트 격리 사실은 관리자 및 해당 호스트를 사용하고 있는 사용자에게도 자동적으로 통보돼 보안 정책에 위배된 사항들을 스스로 조치할 수 있도록 유도해줄 수도 있다.

IPS 단독으로 호스트 격리 기능을 사용할 수도 있지만, 이미 NAC가 구축돼 있다면, 행위 기반의 NAC 시스템으로 통합 운영시킬 수 있다. 즉, IPS 가 특정 호스트의 악의적인 트래픽을 탐지해 NAC 서버에 전송하게 되고, NAC 서버는 IPS로 하여금 해당 호스트의 모든 트래픽을 격리, 네트워크으로 강제 이송해 적절한 조치를 수행하도록 할 수 있다.

두 번째로는 ‘트래픽 제어 관리’다. 업무와 상관없거나 P2P, IM과 같은 보안 위험성이 있는 애플리케이션들에 대해 사전에 보안 정책을 수립해 강제로 시행시킬 수 있도록 도움을 줄 수 있다. 이러한 트래픽 제어 관리는 애플리케이션별, 프로토콜 유형별 뿐만 아니라, 포트별로 설정할 수 있어야 보다 효과적으로 운영될 수 있다.세 번째로는 ‘위험 인지’ 및 ‘시스템 인지’ 기능이다. IPS로 하여금 내부 시스템 호스트들의 상세 정보, 바이러스 백신 소프트웨어의 이벤트들과의 연동을 통해 보호/해결에 이르는 시간을 단축시킬 수 있을 뿐만 아니라 내부 취약성 관리 시스템 혹은 위험관리 시스템과의 연동을 통해 주문형 ‘스캔 나우(scan now)’ 기능과 위협 관련성 분석을 제공함으로써 실시간 위험 인지를 제공할 수 있다.

센서 하나로 네트워크 경계에서 내부까지 커버
마지막으로 네트워크 백본 트래픽을 처리할 수 있는 고성능이 보장돼야 하며, 보안을 위해 성능을 희생해야 되는 ‘트레이드 오프’가 없어야 한다. 즉, IPS는 이제 10G 성능을 발휘할 수 있는 플랫폼이 요구되고 있는 것이다.

센서 하나로 네트워크 경계에서 내부까지 커버할 수 있도록 멀티 포트가 제공될 수 있다면 장애 포인트를 줄이는데 도움을 줄 수 있다. 맥아피의 예를 들면, 10G 포트 12개, 10/100/1000 포트 16개를 포함해 총 28개의 포트를 제공하는 10G급의 ‘맥아피 인트루쉴드 M8000’을 출시하면서 오늘날 지능형 IPS에 대한 요구에 대응하고 있다.

협업 보안 인프라스트럭쳐의 이점
네트워크 보안 플랫폼이 갖추어야 할 기능들인 ▲시스템 인지 IPS ▲위험 인지 IPS ▲동적인 NAC 기능들이 결합돼 가져올 수 있는 이점을 한마디로 요약하면 바로 ‘지식 기반의 실시간 보호’라고 할 수 있다.

이와 같은 협업 보안 인프라스트럭처를 구축한 후, 얼마만큼의 효과를 가져 올 수 있는지를 계량적인 분석을 통해 살펴보자. 38개국에 진출, 약 4천여명이 근무하고 있는 맥아피의 예를 들면, 맥아피는 기존 직원들의 PC뿐만 아니라 전세계 31개국에 존재하는 700대의 서버들을 관리하기 위해 2005 년도에만 27여명의 전담 엔지니어가 필요했다. 하지만, 인트루쉴드와 파운드스톤(Foundstone)을 전세계적으로 설치한 후인 2006년도에는 27명의 엔지니어가 5.6 명으로 줄어드는 효과를 얻을 수 있었다.

두 번째 이점으로는 보안 담당자들의 대응 프로세스의 개선을 들 수 있다. 먼저 여러 지사들을 관리해야 하는 보안 담당자의 일상을 살펴보자.

네트워크 보안을 담당하고 있는 김 과장은 부산지역으로부터 심각한 보안 경보를 접하게 된다. 부산지역의 로컬 관리자인 이 차장한테 전화를 걸어 현재 내부의 IP 주소로부터 비정상적인 트래픽이 발생하고 있으니, 분석을 해달라고 요청을 하게 된다. 부산 지역을 맡고 있는 이 차장은 해당 IP 주소는 내부 머신임을 확인하고 결과를 통보한다.

보안 경보는 6시간 넘게 지속되다가 갑자기 멈추게 된다. 네트워크 보안 담당자인 김 과장은 다른 업무에 떠밀려 이 사건을 심각하게 생각하지 않고 있었지만, CSO 임원으로부터 전화를 받게 된다. 지금 부산지역의 한 사무실에 있는 머신이 파트너사의 네트워크를 공격했으니, 이에 대한 책임을 묻겠다고 따진다는 것이었다.

김 과장이 보안 경보가 발생한 이후에 어떠한 이벤트들이 문제였고, 어떻게 조치를 취해야 했어야 되는지에 대해 보다 더 빠르게 알 수 있었다면, 이러한 일로 질책을 당하지 않았을 것이다.
 
이 경우 보다 자동화된 프로세스가 구축되어 운영되고 있었다면 구체적으로 어떤 이점을 줄 수 있었는가를 살펴보자.

지식기반 실시간 보안 가능
네트워크 보안 담당자인 김 과장은, 부산지역 사무실에서 보안 특이 사항이 발생하고 있음을 확인한다. 이때 내부 네트워크 단에 설치된 IPS가 비정상 트래픽 발생시 설정된 ‘호스트 격리’ 기능을 이용해 해당 호스트 전체 트래픽을 격리시킨 후에 관리자와 사용자에게 자동적으로 통보됐음을 확인한다.

김 과장은 일일이 해당 호스트를 찾으러 다닐 필요가 없이, IPS 관리 인터페이스에서 바로 오른쪽 마우스 버튼을 클릭해 해당 호스트의 정보를 확인하고, 즉시 주문형 취약성 점검을 수행한다. IPS 관리 인터페이스를 통해 확인된 점검 결과, 해당 호스트는 보안 패치가 설치가 되지 않아 웜에 걸려 비정상 트래픽을 발생했던 것으로 내부에 설치된 IPS가 교정을 담당하는 조치 서버와 연동돼 해당 문제점들을 조치함으로써 이벤트는 종료되게 된다.

이는 상상의 일이 아니다. 가상이 아니라 이미 실제로 구현된 솔루션의 예인 것이다. 이와 같이 네트워크 보안 플랫폼으로서의 IPS는 다른 보안 솔루션과의 연계를 통해 어떠한 이벤트들이 문제인지 ‘보안 확신에 이르는 시간’을 단축시키게 해줄 뿐 아니라, 조치를 즉시 취해야 할 필요가 있는 ‘보호에 이르는 시간’을 단축시켜 빠른 시간 내에 보안 사고에 대응할 수 있도록 도움을 준다.

이처럼 IPS는 침입 방지 본연의 기능인 ‘제로데이 공격과 같은 외부 위협 방지’ 외에 앞에서 살펴본 것과 같이 다른 보안 솔루션과의 통합을 통해 ‘협업 보안 인프라스트럭처’에 기반한 ‘지식 기반의 실시간 보안’이 가능하도록 진화하고 있다. 또한 IPS 센서는 보안을 위해 네트워크 성능을 희생할 필요가 없도록 10G급의 성능을 처리할 수 있도록 제품들이 출시되고 있다. 즉, IPS는 단순한 포인트 보안 솔루션을 넘어 네트워크 보안 플랫폼으로 진화, 발전하고 있는 것이다.