네트워크 보안

정보 보안

IT에서 다루는 정보 보안은 “다양한 위협으로부터 보안을 보호하는 것”을 뜻한다.

3대 보안 정의는 다음과 같다.

• 기밀성(Confidentiality)
  • 인가되지 않은 사용자가 정보를 보지 못하게 하는 작업이다.
  • 대표적인 기밀성은 암호화 작업이다.
• 무결성(Integriality)
  • 정확하고 완전한 정보 유지에 필요한 모든 작업을 말한다. 누군가가 정보를 고의로 훼손하거나 중간에 특정 이유로 변경이 가해졌을 때, 그것을 파악해 잘못된 정보가 전달되거나 유지되지 못하게 하는 것이 무결성이다.
  • IT의 대표적인 무결성 기술은 MD5, SHA와 같은 Hash 함수를 이용해 변경 여부를 파악하는 것이다.
• 가용성(Availability)
  • 정보가 필요할 때, 접근을 허락하는 일련의 작업이다. 우리가 유지하는 정보에 대해 사고날 염려 없이 온전한 상태를 유지하는 것도 정보보안의 일부분이다.

네트워크 보안 개념

네트워크 분류

• Trust network: 외부로부터 보호받아야 할 네트워크
• Untrust network: 신뢰할 수 없는 외부 네트워크
• DMZ(DeMilitarized Zone) network: 외부 사용자에게 개방해야 하는 서비스 네트워크
  • 일반적으로 인터넷에 공개되는 서비스를 이 네트워크에 배치한다.

네트워크 보안 구분

이 구분에 따라 요구되는 성능과 기능이 다르기 때문에 보안 장비를 구분할 때도 사용된다.

• Internet Secure Gateway: Trust(또는 DMZ) 네트워크에서 Untrust 네트워크로의 통신을 통제
  • 인터넷으로 나갈 때는 인터넷에 수많은 서비스가 있으므로 그에 대한 정보와 요청 패킷을 적절히 인식하고 필터링하는 기능이 필요하다.
  • SWG(Secure Web Gateway), Web Filter, Application Control, Sandbox와 같은 다양한 서비스나 네트워크 장비가 포함된다.
• Data Center Secure Gateway: Untrust 네트워크에서 trust(또는 DMZ)로의 통신을 통제
  • 상대적으로 고성능이 필요하고 외부의 직접적인 공격을 막아야 하므로 인터넷 관련 정보보다 공격 관련 정보가 더 중요하다.
  • IPS, DCSG(DataCenter Secure Gateway), WAF(Web Application Fire Wall), Anti-DDoS 등의 장비가 이 분류에 속한다.

네트워크 보안 정책 수립에 따른 분류

네트워크 보안 장비는 화이트리스트, 블랙리스트 중 하나만 목표로 할 때도 있다. 하지만 대부분의 장비는 수립 정책에 따라 화이트리스트 기법과 블랙리스트 기법 모두 사용할 수 있다.

• 화이트리스트: 방어에 문제가 없는 통신만 허용하는 방식
  • IP와 통신 정보에 대해 명확히 아는 경우에 많이 사용된다.
  • 정보를 확실히 알고 세부적으로 통제해야하므로 많은 관리가 필요하다.
• 블랙리스트: 공격이라고 판단되거나 문제가 있었던 IP, 패킷 리스트를 차단하는 방식
  • IPS, 안티바이러스, WAF들이 보통 블랙리스트 기반의 방어 기법을 제공한다.

탐지 에러 타입

• IPS나 안티 바이러스와 같은 네트워크 장비에서는 공격 DB에 따라 공격과 악성 코드를 구분해 방어한다.
• 하지만 DB를 아무리 정교하게 만들어고 공격으로 탐지하지 못하거나 공격이 아닌데도 공격으로 감지해 패킷을 드롭시킬 때가 있다. 블랙리스트 기반 데이터베이스를 이용한 방어는 이런 문제점이 있으므로 장비 도입시 정교한 튜닝이 필요하다.
• 공격을 탐지할 때 예상한 결과가 나오는 것을 정상 탐지라고 하고, 예상과 다른 결과가 나오는 것을 오탐지, 미탐지라고 한다. 예상했던 상황과 탐지 결과에 따라 4가지 경우가 나타날 수 있다.

보안 솔루션의 종류

해커들의 공격이 발전함에 따라 보안 진영에서도 다양한 개발이 진행되고 있다. 새 장비가 출시되면 기존 보안 장비에 새로운 보안 솔루션을 함께 쓰는 형태가 되므로 보안은 타 IT 분야보다 복잡한 형태를 띈다. 위치, 역할에 따라 다양한 장비가 있다.

DDoS 방어

• DoS 공격은 ‘Denial of Service’ 공격의 약자로, 다양한 방법으로 공격 목표에 서비스 부하를 가해 정상적인 서비스를 방해하는 기법이다. 요청이 한 출발지에서 온다면 IP 기반으로 방어할 수 있지만, 다수의 봇을 이용해 분산 공격을 수행하면 해당 방어를 회피하면서 더 강력하게 공격할 수 있다.

• DDoS 장비는 회선 사용량 이상의 트래픽을 발생시켜 회선 사용을 방해하는 Volumetric Attack을 막기 위해, 회선을 공급해주는 ISP나 그 경계에서 공격을 완화한다.

• DDos 공격 방식
  • 볼류메트릭 공격: 대용량의 트래픽을 사용해 공격 대상의 대역폭을 포화시키는 공격
    • 좀비 PC나 증폭기술을 사용해 생성된다.
    • 이 공격은 회선 사업자 차원에서 미리 방어되어야 하므로 DDos 방어를 위한 서비스 가입이나 회선 사업자의 도움이 별도로 필요하다. 혹은 Clodu DDos 솔루션을 통해 서비스 네트워크로 트래픽이 직접 도달하지 못하도록 조치해야 한다.
  • 프로토콜 공격: 3, 4계층 프로토콜 스택의 취약점을 악용해 대상을 액세스할 수 있게 만드는 공격
    • 공격 대상 장비의 CPU, 메모리 자원을 고갈시켜 정상적인 서비스가 불가능하게 한다.
  • 애플리케이션 공격: 7계층 프로토콜 스택의 약점을 악용하는 공격.
    • 가장 정교한 공격이라 식별, 완화에 까다롭다.
    • 애플리케이션 프로토콜 자체의 취약점이나 서비스를 제공하는 플랫폼의 취약점을 악용하는 경우가 많다.

VPN

• 터널링 프로토콜로 감싸 가상 네트워크를 만들어 통신. 패킷 암호화 및 인증을 통해, 해커나 기관의 감청을 방지할 수 있다.

• VPN 형태

  1. Host to Host 통신 보호
     • 두 호스트간에 직접 VPN 터널을 연결한다.
  2. Network to Network 통신 보호
     • 본사-지사와 같이 특정 네트워크를 가진 두 종단을 연결
     • IPSEC 프로토콜 스택이 많이 사용된다
  3. Host가 Network로 접근할 때 보호
     • 모바일 사용자가 인터넷망을 통해 사내망으로 연결
     • IPSEC과 SSL 프로토콜이 범용적으로 사용된다

방화벽

• 방화벽은 4계층에서 동작하는 패킷 필터링 장비이다. 3, 4계층 정보를 기반으로 정책을 세워 해당 정책과 매치되는 패킷이 방화벽을 통과하면 그 패킷을 Allow 혹은 Deny할 수 있다.

• 3,4 계층 헤더 중 필터링 시 참고하는 5가지 주요필드(Source IP, Destination IP, Protocol No, Source Port, Destination Port)를 5-Tuple이라 부른다.

• 방화벽은 TCP 컨트롤 플래그에 따라 동작 방식이 변하거나 시퀀스가 ACK 번호가 갑자기 변경되는 것을 인지해 세션 탈취 공격을 일부 방어할 수 있다.

• 방화벽은 상태 기반 엔진(SPI)을 가지고 있어야 한다. 통신의 양방향성을 고려해서, 세션에 존재하는 패킷은 그냥 내보낸다. 세션 로깅을 통해 통신 문제를 디버깅할 수도 있다.

• ASIC이나 FPGA와 같은 전용 칩으로 가속하면 대용량 처리가 가능하다.

IDS(Intrusion Detection Systen), IPS(Intrusion Prevention System)

• IDS와 IPS는 방화벽에서 방어할 수 없는 다양한 애플리케이션 공격을 방어하는 장비이다.

  • IDS, 침입 탐지 시스템: 공격자가 시스템을 해킹할 때 탐지하는 역할을 함
    • 공격에 개입하거나 방어하지 않는다
    • 패킷을 복제하여 탐지한다.
  • IPS, 침입 방지 시스템: 공격이 발견되면 직접 차단한다.
    • 트래픽이 지나가는 인라인상에 배치된다.
    • Host 기반 IPS: 엔드포인트 보안
    • Network 기반 IPS: 네트워크 보안

• 과거에는 IDS와 IPS를 구분했지만 최근에는 애플리케이션 공격을 방어하는 장비를 IPS로 통칭한다.

• 방화벽은 3, 4계층만 담당하기 때문에 한계가 있는 반면, IPS는 3~7 계층을 탐지, 방어한다.

• IDS와 IPS는 사전에 공격 데이터베이스(Signature)를 제조사나 위협 인텔리전스(Threat Intelligence) 서비스 업체로부터 받는다. 이후 IPS 장비에 인입된 패킷이 보유한 공격 데이터베이스에 해당하는 공격일 떄, 차단하거나 모니터링한 후 관리자에게 알람을 보내 공격 시도를 알린다.

• IPS는 오탐이 많이 발생하므로 환경에 맞는 튜닝 작업이 필요하고, 관리인력이 계속해서 최적화해주어야 한다. IPS의 기능을 향상시켜 문제점을 해결한 NGIPS(Next Generation IPS) 개념의 장비가 출시되고 있기도 하다.

• 최근에는 데이터 센터 영역의 보안을 위해 방화벽과 IPS 장비를 통합한 DCSG 장비 시장이 커지고 있다.

• 동작방식

  • 패턴 매칭 방식(Signature 방식): 기존 공격이나 취약점을 통해 공격 방식에 대한 데이터베이스를 습득하고 그 내용으로 공격을 파악한다.
    • 최신 공격 방식을 공격 데이터베이스에 빠르게 반영하는 것이 중요하다.
  • Anoramly 공격 방어: 화이트리스트 기반의 방어기법
    • 프로파일 Anormaly: 관리자가 정해놓은 기준이나 IPS가 모니터링해 정한 기준과 다른 행위가 일어나면 공격으로 판단한다.
    • 프로토콜 Anormaly: 프로토콜이 Known port가 아닌 port로 요청할 때 파악하여 제어한다.

WAF

• WAF는 HTTP, HTTPS처럼 웹 서버에서 동작하는 웹 프로토콜의 공격을 방어하는 전용 보안 장비이다. IDS/IPS보다 범용성이 떨어지지만 웹 프로토콜에 대해선 더 세밀히 방해한다.

• WAF는 다양한 형태의 장비나 소프트웨어로 제공된다.

  • 전용 네트워크 장비
  • 웹 서버의 플러그인
  • ADC 플러그인
  • 프록시 장비 플러그인

• WAF는 IPS 회피 공격을 막을 수 있다. WAF는 프록시 서버와 같이 패킷을 데이터 형태로 조합해 처리하기 때문에 회피하기 어렵다.

• 민감한 데이터가 유출될 때, 그 정보만 제거해 보내는 등의 처리가 가능하다.

샌드박스

• 보호된 영역 내에서 프로그램을 동작시키는 것으로, 외부 요인에 의해 악영향이 미치는 것을 방지하는 보안 모델. 이 모델에서는 외부로부터 받은 프로그램을 보호된 영역, 즉 ‘상자’안에 가두고 나서 동작시킨다. ‘상자’는 다른 파일이나 프로세스로부터는 격리되어 내부에서 외부를 조작하는 것이 금지되어 있다.

• 즉, 외부에서 바이러스 감염이나 해킹 등의 도구로 사용이 의심되는 파일들을 받게 되면 샌드박스 기능을 가진 솔루션은 이 자료를 독립된 가상 공간으로 이동시키고 거기서 나름의 검사 등을 수행한다. 이 때 그 자료가 악의적인 의도를 가진 자료라 하더라도 가상으로 독립된 공간에서 발견된 것이므로 처리나 대처가 용이하다.

NAC(Network Access Control)

• NAC는 네트워크에 접속하는 장치들을 제어하기 위해 개발되었다. 인가된 사용자만 내부망에 접속할 수 있고 인가받기 전이나 승인에 실패한 사용자는 접속할 수 없도록 제어하는 기술이다.

접근 통제

• 서버나 데이터베이스에 대한 직접적인 접근을 막고 작업 추적 및 감사를 할 수 있는 접근 통제 솔루션이다.
• Agent 기반, Agentless 등 여러 구현 방법이 있지만 대부분 Bastion Host 기반으로 구현된다. 서버 접근을 위한 모든 통신이 Bastion Host를 항상 거치도록 하는 것이다.

---

참고

• IT 엔지니어를 위한 네트워크 입문
• 정보통신용어사전 - 샌드박스