보안 솔루션 종류와 이해

1. Firewall (방화벽)

- 어원: 건물에 화재가 발생했을 때 더 이상 주변으로 피해가 가지 않기 위해 연결 경로를 차단하는 벽

- 네트워크를 외부망과 내부망으로 분리시키고 그 사이에 배치시켜 정보의 악의적인 흐름, 침투 등을 방지하는 시스템

- 보안 관리자가 미리 정해 놓은 보안 정책에 따라 차단하거나 허용하는 기능을 수행하는 소프트웨어 또는 하드웨어 기반 시스템

- 허가된 접근, 서비스, 사용자만을 통과시키는 정책을 수립하여 외부망으로부터 내부망 보호

- 주요 기능

  접근 통제 (Access Control) : 송신자의 IP 및 포트 번호를 바탕으로 패킷 필터링 수행

  주소변환 (Network Address Translation) : NAT 기능을 이용하여 외부망과 내부망 구분

  인증 (Authentication) : 트래픽에 대한 사용자 신분 증명

  감사기록/추적기능 (Logging/Auditing) : 접속 정보 기록, 네트워크 사용에 따른 통계 정보

  프록시 (Proxy) : 어플리케이션 계층 필터링, 실제 IP 주소를 감춤

 

2. WAF (Web Application Firewall, 웹방화벽)

- 웹 침입 차단 및 중요 정보 노출 방지 등의 보안기능을 제공하는 방화벽

- 일반적으로 네트워크 기반 웹 방화벽(Network Based WAF)와 호스트 기반 웹 방화벽(Host Based WAF) 형태로 구성

- 주요 기능

  웹 공격 방지 : 논리적 공격, Client side 공격, 명령어 실행, 정보유출 등의 공격에 대한 보안 및 차단

  Positive Security Model 지원 : 강제 접근 및 알려지지 않은 공격 차단

  SSL 지원 : SSL 트래픽에 대한 복호화 지원

  어플리케이션 구조 변화에 대한 대응 : 서비스의 지속성을 보장

Network Based	Host Based
웹 서버의 종류와 무관하게 보호 가능	웹 서버 / OS의 종류에 따라 제한
Reverse Proxy	ISAPI Filter
In-line (bridge)	Apache Module
Monitoring (On-armed)

- Detect Method

Misuse (Knowledge Base)	Anomaly
미리 정의된 Signature Pattern을 이용하여 탐지	일반적인 행위를 기록, 비정상적인 행위 발생 시 탐지
주기적인 Update 필요	정상 / 비정상 확인 어려움

- 구현 방식

Positive Security Model	Negative Security Model
안전한 것을 정의 & 허락	위험한 것을 정의 & 금지
Whitelist 방식과 유사	Blacklist 방식과 유사
정의되지 않은 모든 것을 허용하지 않음	정의되지 않은 모든 것을 허용

 

3. IDS (Intrusion Detection System, 침입 탐지 시스템)

- 1980년 NSA의 제임스 엔더슨(James Anderson)에 의해 처음 개념이 확립

- 장치 또는 소프트웨어 형태로 악의적인 네트워크나 악성행위 상태를 모니터링하여 알림 역할 수행

- 분류

NIDS (Network IDS)	네트워크 트래픽을 분석하고 탐지하는 역할 수행
HIDS (Host-Based IDS)	중요 운영체제 파일을 모니터링하는 역할 수행
Application-Based IDS	어플리케이션 한정 범위 내에서 모든 현황들을 모니터링하는 역할 수행

- 탐지 방법 분류

이상 징후 기반 IDS (Anomaly-Based IDS)	시그니처 기반 IDS (Signature-Based IDS)
행위기반 탐지 방식이라고 불리며 특정범위 내 행동을 추적하여 악의적인 행위를 찾는 방식	지정된 시그니처를 갖는 파일이나 패킷을 탐지하는 방식
시그니처 기반 방법으로 탐지하지 못하는 악성 파일이나 패킷을 찾아낼 수 있음	지정된 시그니처만 찾는 방식으로 오탐률이 낮음
사람의 행동을 악성 행위로 간주하는 등의 오탐이 발생할 수 있음	지정된 데이터에 의해서만 가능하기 때문에 탐지할 수 있는 범위가 제한적

 

4. IPS (Intrusion Prevention System, 침입 차단 시스템)

- IDS의 확장 형태로 악의적인 활동을 모니터하는 기능도 포함하며 차단 기능도 수행

- 주요 기능은 주요 악의적인 활동을 차단

- 탐지 방법

시그니처 기반 탐지 (Signature-Based Detection)	- 시그니처 기반 IDS의 탐지 방법을 통해 미리 구성된 패턴과 비교 차단
통계적 이상 징후 기반 탐지 (Statistical Anomaly-Based Detection)	- 이상 징후 기반 IDS 수준의 네트워크 트래픽을 모니터링하고 비교 차단 - 잘못된 설정으로 인한 오탐 경고가 발생할 수 있음
상태 프로토콜 분석 탐지 (Stateful Protocol Analysis Detection)	- 프로토콜 분석을 상태 기반 특성에 추가하여 탐지 - HTTP, FTP 등 TCP 또는 UDP의 페이로드를 포함하는 프로토콜을 검사 - 공격자가 공격하는 행위를 어플리케이션 계층에서 확인 가능하며 세션으로 연계되어 있는 패킷에 대해서도 탐지가 가능

- 대상 분류

NIPS (Network-Based IPS)	전체 네트워크 상 의심스러운 트래픽을 식별
* WIPS (Wireless IPS)	무선 네트워크 프로토콜 대상을 식별
NBA (Network Behavior Analysis)	네트워크 트래픽을 분석하여 DDoS 공격 등의 비정상 트래픽 흐름의 위협을 식별
HIPS (Host-Based IPS)	호스트에서 발생하는 이벤트를 분석하여 각 호스트에서 발생하는 의심스러운 위협을 식별

- IDS/IPS 한계

 (1) 적용 조건에 의해 오탐과 미탐의 빈번함이 크게 다를 수 있으며, IPS 적용 룰에 따라 서비스 영향도에 지장 가능성이 존재

 (2) 시그니처 기반 탐지 방법의 경우 새로운 위협 발견과 해당 시그니처가 적용될 때까지의 지연 발생

 (3) 암호화된 공격 패킷의 경우 단일 솔루션으로는 차단 또는 탐지가 어려움

 (4) NIDS/NIPS 성격의 시스템이 TCP/IP 기반 공격 위협의 대상이 되어 위협 요인이 존재

4-1. WIPS (Wireless Intrusion Prevention System)

- 인가되지 않은 무선단말기의 접속을 차단하고 보안에 취약한 AP(Access Point, 무선공유기)를 탐지하는 솔루션

- WIPS의 영역

불법 디바이스 탐지/차단	불법 AP, AD Hoc 네트워크, 인가/비인가 사용자 등
DoS 탐지/회피	-
Impersonation 탐지/차단	MITM 공격 유형이며, 해커가 인가된 AP 혹은 사용자인 것처럼 위장하는 형태의 공격
패턴 매치 탐지	-

- 기능

대략적인 위치 추적	WIPS 기기를 기점으로 신호의 세기를 분석하여 위치를 파악
다수 채널 동시 분석	다수 채널에 대한 트래픽을 동시에 분석
무선 포렌식	타겟한 채널에서 발생되는 프레임을 수집
통합 관리	다수 센서를 통합 관리하고 대쉬보드를 제공하여 통합 분석

 

5. NAC (Network Access Control, 네트워크 접근 통제)

- 802.1X 표준을 따름

- 특정 프로토콜을 사용하여 처음 접근 시 장치가 네트워크 노드에 접근할 수 있도록 정책을 구현 or 정의하는 컴퓨터 네트워크 솔루션

- 네트워크의 엔드포인트(서버, PC, IoT기기 등) 장비의 네트워크 통신 허용을 위한 용도로 많이 활용

- 목표

  (1) 제로데이 공격 완화

  (2) 인증, 인가, 계정모니터링을 통한 사용자의 장치, 응용프로그램 또는 보안 상태의 역할 기반 제어

  (3) 안티 바이러스, 패치 또는 호스트 침입 방지 소프트웨어가 없는 엔드포인트 단말이 다른 네트워크를 통해 오염 위험에 빠뜨리지

        못하게 함

  (4) 사용자 역할, 컴퓨터의 종류에 따라 정책을 조정하고 네트워크 영역에 접근할 수 있도록 함

  (5) 최소한의 사용자만 네트워크에 접근할 수 있도록 지정함

- 주요 기능

접근 제어/인증	- 내부직원 역할 기반 접근 제어 - 네트워크의 모든 IP 기반 접근 제어
PC 및 네트워크 장치 통제(무결성 검증)	- 백신/패치/자산 관리(비인가 시스템 자동 검출)
해킹/웜/유해 트래픽 탐지 및 차단	- 유해 트래픽 탐지 및 차단 - 위협 행위 차단

- 분류

  (1) Pre-admission / Post-admission

Pre-admission	엔드포인트가 내부망에 접근하기 전 방침을 따르게 하는 방법 (내부망에 접근하기 전 검역)
Post-admission	엔드포인트가 내부망에 접근 후의 방침을 따르게 하는 방법 (내부망에 접근 후 사용자 역할 기반 통제)

  (2) Agent 방식 / Agentless 방식

Agent 방식	Agentless 방식
- 엔드포인트에서 정보를 얻기 위해 Agent를 통한 제어와 관리 수행 - PMS (Patch Management System) 등의 패치 관리 - 시스템 정보 수집 - 세션 제어: 세션 정보 수집 및 차단 관리 - 포트 제어: 오픈 포트 확인, 서비스 정보 확인 - 장치 제어: USB, NIC, Bluetooth, Wifi, Tethering, PC 전원 등 - 프로세스 제어 - 소프트웨어 탐지 및 백신 연동 - 메시지 전송: 사용자 메시지 전송 - 위 변조 탐지: IP, MAC 스푸핑 탐지/차단 - 무선 AP 탐지 ※ 설치형 방식으로 관리자 권한 이상의 에이전트가 동작	- 설치되는 소프트웨어 없이 네트워크의 접근 통제 역할 수행 - 접근 제어   IP, MAC, Port, Protocol, Platform 접근 제어   시간 별 접근 제어   사용자별 접근 제어(인증) - 네트워크 정보   IP 관리   스위치 포트 정보   PC 동작 유무 판단 및 열린 포트 정보 확인 ※ 제한된 정보에서도 다양한 방식의 접근 제어가 가능하나 기능적인 부분에서는 Agent 방식보다 다소 떨어짐

  (3) inline 방식

   - 접근 계층(Access Layer)를 위한 내부 방화벽과 같이 동작되고 정책을 강제화

   - 새로운 네트워크에서 구축하기 용이하고 유선상 각각 패킷을 직접적으로 통제하여 기능 강화

  (4) Out-of-band 방식

   - 에이전트가 설치되어 있는 엔드포인트에서 중앙 서버 및 콘솔로 전달 이후 제어하는 방식

   - 기존 인프라 활용이 가능

 

6. Anti-DDoS (안티 디도스)

- DDoS(분산 서비스 거부) 공격을 방어하기 위한 전용 네트워크 보안 장비

- 보통 외부에서 내부로 들어오는 최상단에 위치하여 DDoS 공격 방어 역할 수행

- 분류

Transparent mode	백본(Backbone) 네트워크 하단에 위치하여 악의적 공격 행위를 차단
Bypass mode	백본(Backbone) 라우터 옆에 위치하여 비정상 트래픽 감지 시 자신에게 패킷을 이동시켜 정리 후 정상 패킷을 내부로 보내는 방식

 

7. DLP (Data Loss Prevention)

- 기업의 중요 자산이 밖으로 유출되는 것을 방지하기 위한 솔루션

- 누출 사건을 처리하는데 사용되는 기술적 범주로 분리

Standard Measure	방화벽과 IDS, 안티바이러스 소프트웨어와 같이 일반적으로 내부와 외부의 공격을 차단
Advanced Measure	비정상적인 전자 메일 교환에 대한 비정상적인 접근 탐지를 하기 위한 것으로 머신러닝 등의 사용자 활동 모니터링을 제공
Designed Systems	민감 데이터 접근 가능자가 민감 데이터 전송을 시도하거나 복사하는 행위를 차단 또는 탐지

- 유형

Network	- 보통의 경우 네트워크 출구 지점에 설치 - 정보보안 정책을 위반하는 민감 데이터 트래픽을 분석하고 탐지
Endpoint	- 서버나 단말 내 실행하고 내부 외부의 통신을 탐색 - 단말 내 설치되어 있어 이메일 내용이나 인스턴트 메시지 등 상세 내역들을 탐지 가능
Data identification	- 민감한 데이터를 식별 - 정규표현식, 메타 데이터 태그, 기계 학습, 행동 분석, 위협 모델링 분석, 패턴 탐지 등을 이용하여 내부 데이터를 식별
Data leak detection	- 인가되지 않은 장소에 발견된 누출 여부를 탐지
Data at rest	- 장기간 사용되지 않은 데이터 관리
Data in use	- 사용 중인 데이터를 보호하여 불법적 활동을 모니터링하고 표시
Data in motion	- 네트워크를 통해 단말로 이동하는 데이터

 

8. DRM (Digital Rights Management)

- 하드웨어 및 저작권이 있는 저작물 사용을 제한하기 위한 접근 제어 기술

- 자산에 대해 사용, 수정 등의 정책을 반영하여 통제

- 기술 부문

Verification (확인)	- Production key: 가장 오래되고 복잡한 기법으로 과거 닌텐도 컨텐츠 보호를 위해 사용했던 방식으로 소프트웨어에 키를 넣어 자격증명을 수행 - Limited install activations: 온라인 서버 인증을 요구하여 다른 컴퓨터에서 활성화할 수 있는 설치 수를 제한 - Persistent online authentication: 온라인 서버의 연결을 계속 지속하며 인증 상태를 유지
Encryption	- 소프트웨어를 수정하여 다른 제한 조치를 우회할 수 없도록 수행 - 데이터를 암호화하여 유출 시 읽기, 수정이 불가하도록 수행
Copy Restriction	- 전자책과 문서 등에 적용되어 있으며, 복사, 프린트, 전달, 백업 저장 기능들을 제한
Anti-tampering	- 서명되지 않은 소프트웨어가 컨텐츠에 접근하는 것을 방지 - 프로그램 자체 손상을 방지
Regional Lockout	- 소프트웨어 구독 서비스 취소, 미등록 등으로 특정 지역을 벗어나거나 특정 소프트웨어를 통해 실행하지 못하도록 수행
Tracking	- 워터마크: 제작 또는 배포 중에 오디오, 비디오 등에 스테가노그래피 방식으로 내장하거나 문서 출력 시 문서 자체에 이미지가 내장되어 함께 출력 - Metadata: 파일 내에 구매자의 이름, 계정 정보 또는 전자 메일 주소와 같은 정보를 미디어에 포함되어 저장

 

9. EDR (Endpoint Detection and Response)

- 가트너에 의해 2013년 ETDR(Endpoint Threat Detection & Response)라는 개념으로 처음 소개되었고 이후 EDR로 명칭 변경

- 가트너에 따르면 엔드포인트의 행위와 이벤트를 기록하고 수집된 데이터를 기반으로 다양한 기술을 활용하여 공격을 탐지하고

   대응하는 솔루션을 의미

- 4가지 필수 기능 : 탐지, 대응, 조사, 치료

- 엔드포인트에서 다양한 정보를 수집해서 엔드포인트의 가시성을 확보한 뒤, 수집된 정보들을 기반으로 행위 분석, 머신러닝, IOC

   탐지 등의 기술로 알려진 혹은 위협 탐지 필요

- 악성코드 탐지와 위협을 격리하여 제거하도록 기능 제공 필요

 

10. EPP (Endpoint Protection Platform)

- 파일 기반 악성소프트웨어 공격을 방지하고 악의적인 활동을 탐지

- 동적 보안 사고 및 경고에 대응하는데 필요한 조사 및 치료 기능을 제공하기 위해 엔드포인트 장치에 배포된 솔루션

- 주로 알려진 위협 등에 대해 빠른 처리를 위한 기능들을 수행

- 주요 기능 : 패치 관리, 취약 시스템 점검 및 조치, 디바이스 케어, 개인정보 유출 방지, 위협 탐지 및 대응, 안티 멀웨어

 

※ EDR과 EPP 비교

[그림 1] EDR과 EPP 비교

- EPP의 경우 즉각적인 대응과 단일 대상에 대한 분석 결과를 바탕으로 위협을 탐지하고 대응

- EDR의 경우 복합적인 대상의 정보 수집을 바탕으로 자동화 분석 대응 키워드가 여럿 존재 (Machine Learning,

  Automation 기능 등 포함)

- EDR의 경우 복합적 기능을 포괄하고 알려진 위협 외에 알려지지 않은 위협도 탐지하는데 목적을 둠

- EDR이 EPR보다 상대적으로 많은 비용이 필요

 

11. NPB (Network Packet Broker)

- 2012년 가트너에서 처음 만들어낸 개념

- 라우터 또는 스위치 링크 사이에서 네트워크 트래픽을 지시하는 네트워크 장비

- 패킷의 통합/분산 역할 수행과 필터링, 로드 밸런싱 등의 네트워크 트래픽 제어 통합 역할 기능 수행

- 상세 기능 (참고 사이트 : http://www.anuesystems.co.kr/netoptics%20products-npb.html  )

Aggregation	여러 링크 / 세그먼트에서 나온 트래픽을 통합하는 기능
Filtering	모니터링 툴에 가해지는 과부하를 방지하기 위해 트래픽을 조건에 맞게 걸러내는 기능
Load-balancing	툴의 효율성을 높여주는 트래픽 균등 분배 기능
Regeneration	여러 툴로 동일한 트래픽을 보내주는 기능

 

12. UTM (Unified Threat Management)

- 네트워크, 엔드포인트 등 환경에서의 위협을 통합 관리 및 차단을 위한 솔루션

- 샌드 박스를 통한 악성코드 자동화 분석, 트래픽 분석, 엔드포인트 트래픽 분석 등의 여러 위협 요인들을 분석 및 차단하는 역할 수행

- 장비 업체, 기종 별로 기능이 다양하여 정확한 개념을 정의하기가 어려움

 

13. TMS (Threat Management System)

- 네트워크 장비로부터 실시간 데이터를 수집/분석하여 회선별 이용 모니터링 및 정보를 제공

- 수집된 데이터를 이용하여 과다트래픽, 유해트래픽 등의 이상징후를 감지하여 통보

- 도입 시 대시보드를 통한 가시성과 여러 네트워크 장비 간의 호환성을 고려해야 함

 

14. NMS (Network Management System)

- 네트워크 장비 상태와 회선 상태 등 필요한 정보를 가지고 와서 각 시스템을 모니터링

- SNMP Protocol을 이용함 (string name이 항상 default 값과 달라야 함)

- 최근에는 전통적인 NMS가 아닌 여러 이기종 보안로그(네트워크 로그 포함)를 그래픽 형식으로 보여주는 솔루션 유행

 

15. ESM (Enterprise Security Management, 통합 보안 관리 솔루션)

- 관제센터 내 통합 보안 관제를 위한 목적으로 많이 활용

- 정확한 명세가 되어 있지 않아 학계와 산업계 등에서의 관점이 다양하게 해석

- IPS, IDS, NAC, 방화벽 등 다양한 보안 시스템을 하나의 통합 뷰로 관리하고 보안 정책을 일괄적으로 관리하여 서로

 간의 상호연관 분석을 도와주는 솔루션

- 전문 보안 관리자의 경험적 지식 및 판단을 자동화하여 사내 보안 능력 향상을 목표로 함

- 관리 프로세스

 보안시스템 등 감지기(Detector)에 의한 이벤트 정보 수집 → 이벤트 정보 파싱 & 상관 분석 → 침입행위 통보 or 차단 등의 대응 조치

 

16. SIEM (Security Information & Event Management)

- 방대한 양의 데이터를 상관분석과 포렌식 기능을 제공하여 지능형 위협에 대한 모니터링 역할 수행

- ESM의 보안 영역에서 기업 전반으로 확대하고 기업 컴플라이언스 대응 기능을 확장한 형태

- 목표 : 기업 내 정보 시스템의 내·외부 위협을 모니터링하여 공격과 정보 유출 방지

- 주요 기능 : 로그 관리(이벤트 수집, 무결성 관리), 로그 분석(상관 분석, 포렌식 지원), 보안(외부 공격 탐지, 내부 위협 탐지)

- 관련 오픈소스 : Elastic Search ELK

[그림 2] 상관분석 개념도 예

 

17. SOAR (Security Orchestration, Automation and Response)

- 보안의 패러다임을 바꾸는 기술

- 목표 : 기업 인프라의 모니터링 및 로그를 통합한 가시성 확보와 자동화

- 관제업무가 폭증하여 이벤트가 많아지는 어려움을 방지하고자 자동화 분석에 초점을 맞춤

- SIEM의 한계로 관리자가 대응하기 위한 업무를 줄임 (SIEM과 가장 큰 차이인 자동화가 핵심)

- 위협 인텔리전스를 주력으로 수행

- 각 부서 간의 전자 결재 등의 협의가 자동화되어 빠른 대응 가능

- 여러 보안 장비가 서로 상호작용하는 솔루션인 만큼 각 솔루션에서 API가 필요 (단순한 syslog 등의 로그 전송이 아닌 명령을 서로

 주고 받는 기능을 위한 API 필요)

- 관련 오픈소스 : Phantom

[그림 3] SOAR Types