방화벽(Firewall)
화재가 일어났을 때 불길을 막는 벽처럼 외부 네트워크에서 내부 네트워크로의 침입을 막는 솔루션이다.
주요 기능
접근 제어: 외부에서 내부로 유입되는 메시지 차단 또는 허용
방화벽 규칙의 구성 3가지: 출발지, 도착지, 정책
IP주소 + 포트의 특정 메시지들만 허용
로그
감사 로그 또는 감사 증적(Audit Trail): 방화벽 규칙 집합이 누구에 의해 추가, 변경, 삭제되었는지를 저장한다.
운영 로그: 언제 어떤 메시지가 차단 또는 허용되었는지를 저장한다.
보안의 기본 원칙
페일 세이프(Fail Safe): 오류가 발생하여 정상적으로 동작하지 않더라도 사용자가 피해를 입지 않아야 함
허용되지 않은 서비스에 대해 '거부'를 기본 원칙으로 함
세이프 페일러(Safe Failure): 실패가 일어나도 안전해야 함
스위치는 오류가 발생해도 네트워크가 마비되지 않도록 허브로 작동
하드웨어 방화벽 vs 소프트웨어 방화벽
하드웨어 방화벽
주로 네트워크 제일 앞단에서 대규모의 트래픽을 빠르게 처리 가능
소프트웨어 방화벽
윈도우 방화벽과 같이 포트나 어플리케이션 기반 설정으로 트래픽을 처리한다.
각 pc마다 방화벽 설정이 가능해서 사내 내부 네트워크의 공격에 대해서도 방어할 수 있다.
침입 탐지 시스템(IDS: Intrusion Detectoiin System)
내부 시스템에서 무결성, 비밀성, 가용성을 해치는 악의적인 공격을 발견하고 보고하는 보안 솔루션이다.
보안 문제를 탐지하기만 하고 직접적인 해결은 하지 않는다.
네트워크 기반 침입 탐지 시스템(NIDS: Network Intrusion Detection System)
방화벽은 단순히 IP주소와 포트번호로만 차단을 하지만 침입 탐지 시스템은 전달되는 메시지 내용을 분석하여 차단을 결정한다.
탐지 가능한 공격
- 스캐닝: 시스템 취약점을 찾기 위해 여러 종류의 패킷을 보내고 응답을 수집
- DoS: 가용성을 해치는 공격
- 침투 공격: 허가받지 않은 방법을 사용하여 자원 또는 권한을 획득 ex) 버퍼 오버플로
동작 원리
1. 데이터 수집
스위치의 모니터링 포트를 이용하여 모든 패킷을 수집함
2. 데이터 정제
필터링: 방대한 자료에서 불필요한 정보를 제거
축약: 반복적인 같은 데이터는 축약시켜 데이터의 양을 줄임
클리핑 레벨(Clipping Level): 데이터를 저장할 수준(Threshold)을 의미한다.
클리핑 레벨이 높으면 중요한 데이터만 저장된다.
3. 분석과 탐지
오용 탐지(Misuse Detection): 미리 정의된 침입에 대한 패턴에 대해 정제된 데이터에서 침입 패턴을 찾음
ex) 80번 포트로 요청되는 패킷의 첫 200바이트 내에 cmd.exe라는 URI 요청이 있으면 침입으로 판단한다.
시그니처 기반 오용 탐지
장점: 상대적으로 낮은 오탐률
단점: 새로운 침입 유형에 대해 탐지 불가능
이상 탐지(Anomaly Detection): 발생할 확률이 낮은 일이 발생했을 때 침입이라 판단한다.
ex) 시간의 흐름에 따라 80번 포트에 접속하는 횟수가 갑자기 비정상적으로 증가한다.
장점: 새로운 침입 유형에 대해 탐지 가능
단점: 정상 행위를 구분하기 어려움
| 오용 탐지 | 이상 탐지 | |
| 탐지 방법 | 패턴 매칭 | 임계치 초과 |
| 시그니처 기반 | 통계 기반 | |
| 지식 기반 | 행위 기반 | |
| 장점 | 오탐률 낮음 | 인공지능 |
| 단점 | 새로운 공격 탐지 불가능 | 새로운 공격 탐지 가능 |
| 시그니처가 있는 공격만 탐지 가능 | 오탐률 높음 | |
| 시그니처 업데이트 필요 | 임계치 설정이 어려움 |
4. 결과 리포트
분석, 탐지 단계에서 발견한 침입 정보를 관리자에게 전달한다.
책임 추적성 기능과 능동적인 대응 기능을 제공한다.
오픈 소스 네트워크 기반 침입 탐지 시스템인 스노트(Snort)가 대표적인 침입 탐지 시스템이다.
Snort - Network Intrusion Detection & Prevention System
With over 5 million downloads and over 600,000 registered users, it is the most widely deployed intrusion prevention system in the world.
snort.org
IDS 설치 위치
- 방화벽 외부
- 방화벽 내부 (DMZ): 외부와 내부 모두 연관되어 있기 때문에 해당 위치에 설치하는 것이 중요하다.
- 내부 네트워크: 백본 네트워크
- 내부 네트워크: 주요 서브넷
호스트 기반 침입 탐지 시스템(HIDS: Host Intrusion Detection System)
호스트의 자원 사용 실태를 분석하여 침입 여부와 침입이 성공했는지 여부를 식별하는 시스템이다.
무결성 점검에 의해서 침입이 발생했는지 식별한다.
장점: 비교적 정확한 탐지가 가능하다.
단점: 호스트의 자원 사용이 필요해서 설치된 서버가 느려질 수 있다.
호스트마다 설치 및 관리해야 할 필요가 있어 관리 비용이 상대적으로 높다.
침입 탐지 시스템의 로그가 해커에 의해 변조될 수 있다.
침입 방지 시스템(IPS: Intrusion Prevention System)
침입 탐지 시스템(IDS)은 탐지, 분석하여 알려주기만 하지만 침입 방지 시스템(IPS)은 침입 행위를 탐지, 분석하여 자동으로 차단하는 시스템이다.
기술적인 차이로는 침입 탐지 시스템(IDS)은 모니터링/미러링 방식이고,
침입 방지 시스템(IPS)은 게이트웨이/인라인 방식이다.
침입 방지 시스템(IPS)은 모든 패킷이 거쳐서 지나가기 때문에 장애가 발생했을 때 네트워크 전체가 마비될 수 있다.
DLP(Data Loss Prevention)
정보 유출 방지 솔루션: 조직 내의 중요 자료가 외부로 빠져나가는 것을 탐지하여 차단한다.
통제 대상에 따른 구분
네트워크 DLP
네트워크를 통해서 정보가 유출되는 것을 감시하고 통제하는 솔루션이다.
통제 대상
메일, 메신저, 웹 하드, 웹 게시판, 프록시 등
종류
모니터(Monitor), 프리벤트(prevent)
네트워크 DLP: 모니터
미러링 방식을 사용하여 내부에서 외부로 나가는 모니터링 포트 연결을 통해 데이터를 수집한다.
네트워크 DLP: 프리벤트
게이트웨이 혹은 프록시 방식을 사용하여 외부로 전송되는 데이터를 분석하고 중요 자산이라고 판단되었을 경우 데이터의 전송을 차단한다.
스토리지 DLP(디스커버리 DLP)
중요한 기밀정보가 어디 보유되어 있는지를 식별하고 조치하는 솔루션이다.
엔드포인트 DLP
PC와 같은 단말기에서 USB와 같은 이동식 저장 매체와 출력물 등으로 기밀 정보가 유출되는 것을 방지하는 솔루션이다.
통제 대상이 되는 단말기에 DLP 에이전트가 설치되어 있어야 통제가 가능하다.
DRM(Digital Rights Management)
디지털 콘텐츠에 대한 보안 솔루션이다.
권한이 없는 다른 사용자가 문서를 읽지 못하게 보호하는 역할을 한다.
유의 사항
효율적인 파일 공유를 위해 미리 정교한 보안 정책이 설정되어 있어야 한다.
정상적인 절차를 따른 것처럼 위장해 DRM 복호화를 실시하여 평문 형태의 파일을 유출할 수 있다.
NAC(Network Access Control)
엔드포인트 단말기가 회사의 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 솔루션이다.
인증과 무결성 점검을 수행하여 요청을 허용, 차단 또는 격리 네트워크로 이동시킨다.
기능
- 젭근 제어/인증
- PC 및 네트워크 장치 통제(무결성 체크)
- 해킹, 웜, 유해 트래픽 차단
'공부 > 보안' 카테고리의 다른 글
| [Next.js] React2Shell 취약점 때문에 버전업하기... (0) | 2026.01.18 |
|---|---|
| [보안] 인증 (Authentication) (0) | 2024.06.03 |
| [보안] 해시, 메시지 인증 코드, 전자서명 (0) | 2024.06.02 |
| [보안] 악성코드 / 소프트웨어 보안 (0) | 2024.05.31 |
| [보안] 인가 (Authorization) (0) | 2024.05.29 |