기본적인 보안 장비

이러한 보안 장비들은 보안 전문가들이 직접 다루지는 않는다. 별도로 장비를 다루는 엔지니어들이 존재한다. 보안 전문가들은 주로 보안에 대한 정책을 관리하고 운영하게 되는데, 이를 위해서는 기본적인 보안 장비들에 대한 이해가 필요하다.

방화벽(Firewall)

기본적으로 네트워크 상에서 외부 네트워크와 내부 네트워크 사이에 존재하며, IP와 포트를 기반으로 해서 들어오는 트래픽을 차단할지 허용할지를 결정하는 단순한 역할을 한다. 즉, 주요한 역할은 접근에 대한 통제 혹은 차단이 된다.

 

이러한 단순한 특성 때문에 우회 수단도 많이 존재한다. 그렇기에 방화벽 만으로는 보안에 충분치 않다.

 

구성 방법

이러한 방화벽은 크게 소프트웨에 혹은 하드웨어로 구성될 수 있다. 소프트웨어의 경우 운영체제에 기본적으로 설치되어 있는 Windows Defender 같은 게 대표적이다. 혹은 백신 프로그램도 일종의 방화벽으로 볼 수 있다. 반면 하드웨어의 경우 물리적으로 구성되며 네트워크 단에 설치되게 된다.

 

IDS(Intrusion Detection System)

IDS는 방화벽을 통과하여 내부에 들어온 트래픽들 중에서 비정상적인 활동이나 악의적인 공격을 탐지하는 보안 시스템이다. IDS는 회사에 따라 포함하는 경우도 있고 포함하지 않는 경우도 있다. IDS는 차단은 하지 않고 탐지만 하기 때문에 트래픽에 대한 탐지 기록 즉, 많은 양의 로그 기록을 쌓아두고 위험에 대해 관리자에 알리는 역할을 한다. 그래서 금융권이나 트래픽이 많은 곳에서는 IPS에서 거르지 못한 공격들에 대해 IDS가 탐지한 분석 데이터를 가지고 사후분석에 사용한다.

 

IDS의 탐지 기법

탐지 기법​	설명​
서명 기반 탐지 (Signiture-based Detection) / 오용 탐지​	미리 정의된 공격패턴(시그니쳐)과 트래픽을 비교하여 공격인지 탐지한다.​
이상 탐지 (Anamoly-based Detection)​	쌓여진 데이터를 기반하여 정해진 정상 활동을 기준으로 해서 트래픽과 비교하여 공격인지를 탐지한다.​ 즉, 임계치라는 것을 정해두고, 해당 임계치를 넘게 되면 공격 혹은 악의적인 트래픽으로 간주하게 된다. 그렇기 때문에 오탐률이 높다.
상태 기반 프로토콜 (Stateful Protocol Analysis​	정상적인 프로토콜의 동작을 기준으로 해서 트래픽이 해당 프로토콜을 따르고 있는 지 검사한다.​

IDS의 주요한 탐지 기법은 위와 같다. 

 

IPS(Intrusion Prevention System)

IPS는 IDS와 달리 거의 필수적인 시스템이다. 탐지 기능에 더불어 차단 기능까지 제공한다. 

 

그럼 IPS에서도 탐지 기능을 제공하는데 굳이 IDS가 필요한 이유는 무엇일까?

여러 이유가 있겠지만 주요한 이유는 다음과 같다.

 

1. 보완적인 역할 : IDS는 탐지에 특화되어 있어, 깊은 분석과 기록 및 경고를 해주는 역할을 수행하고, IPS는 실시간으로 빠르게 대응하고 차단하는 역할을 한다.

2. 거짓 양성 문제 : 거짓 양성은 문제가 아닌데 문제라고 판단하는 것으로, IPS에서 거짓 양성 문제가 발생하면 차단까지 이러질 수 있기 때문에 서비스에 큰 영향을 끼칠 수 있다. 그래서 보통 IDS가 먼저 분석을 한 후 이 결과를 IPS에서 참고해서 후속 조치를 취하는 방식으로도 많이 사용된다.

 

보안 계층 구조

그래서 일반적으로 보안 구조는 가장 맨 앞에 방화벽이 위치하게 되고, 방화벽에서 차단하지 못 한 트래픽에 대해서 IDS/IPS가 분석 및 차단을 수행하게 된다. 그리고 이러한 중간 중간에 WAF(Web Application Firewall) 같은 특정 역할에 최적화된 기기 혹은 소프트웨어를 추가하여 구성된다.

 

DDoS(Distributed Denial of Service)

서버를 공격하는 기법은 여럿 존재하지만, 대표적인 공격 중 하나가 DDoS다.

DoS는 특정 서버나 서비스를 마비시키는 공격을 의미하고, DDoS는 여러 대의 컴퓨터를 동시에 동원해서 하는 공격을 의미한다. 이는 해커가 여러 대의 PC에 악성코드를 감염시키면서 일어난다. 이러한 감염된 컴퓨터를 '봇'이라 하고, 감염된 컴퓨터들을 묶어 '봇넷'이라 한다. 그리고 해커가 이러한 PC들을 원격으로 조작하여 하나의 서버에 동시 공격을 하는 방식이다.