정보 보안의 정의
IT에서의 정보 보안은 "우리가 생산하거나 유지해야 할 정보에 위험이 발생하거나 사고가 날 염려 없이 편안하고 온전한 상태를 유지하는 일련의 활동"을 말한다.
다음과 같은 3대 보안 정의를 보안의 필수 요소라 볼 수 있다.
- 기밀성(Confidentiality) : 인가되지 않은 사용자가 정보를 보지 못하게 하는 모든 작업. 대표적으로 암호화 작업이 존재
- 무결성(Integrity) : 정확하고 완전한 정보 유지에 필요한 모든 작업, 즉 변경이 가해지지 못하게 하는 작업. 대표적으로 MD5, SHA와 같은 해시 함수를 이용해 변경 여부 파악
- 가용성(Availability) : 정보가 필요할 때, 접근을 허락하는 일련의 작업.
이외에도 진정성, 책임성, 부인 방지, 신뢰성 유지가 존재한다.
네트워크의 정보 보안
네트워크 입장에서의 정보 보안은 수집된 정보를 침해하는 행동을 기술적으로 방어하거나 정보의 송수신 과정에 생기는 사고를 막기 위한 작업이다.
네트워크 보안을 이해하려면 네트워크를 통한 다양한 공격 방식과 그 공격을 네트워크에서 방어하는 장비와 그 구동 방식을 이해해야 한다. 최근 네트워크 보안은 BOTTOM-UP 형식으로 발전하고 있다.
BOTTOM-UP :
네트워크는 정보의 이동이 자유롭게 이루어진다. 하지만 이런 자유로움 때문에 적절한 통제가 없다면 정보가 유출될 수 있다.
그래서 네트워크에 연결된 정보 시스템을 공격 대상으로 삼는 것보단 네트워크 자체를 공격 대상으로 삼는 경우도 많다.
이는 네트워크를 장악하면 많은 시스템에 더 쉽게 접근할 수 있어 침해 범위를 넓히고 외부 침입자가 원하는 정보가 유출될 가능성이 커진다.
이처럼 네트워크 보안은 매우 중요하고 외부 공격에 맞서는 중요한 1차 방어선이다.
네트워크 보안의 주요 개념
네트워크 보안의 목표는 외부 네트워크로부터 내부 네트워크를 보호하는 것이다.
이때 외부로부터 보호받아야 할 네트워크를 트러스트(Trust) 네트워크, 신뢰할 수 없는 외부 네트워크를 언트러스트(Untrust) 네트워크로 구분한다.
한 단계 나아가 우리가 운영하는 내부 네트워크이지만 신뢰할 수 없는 외부 사용자에게 개방해야하는 서비스 네트워크인 경우, DMZ(DeMilitarized Zone) 네트워크라 부르며 일반적으로 인터넷에 공개되는 서비스를 이 네트워크에 배치한다.
네트워크 보안 분야는 트래픽의 방향과 용도에 따라 두 가지로 나눌 수 있다.
- 인터넷 시큐어 게이트웨이(Internet Secure Gateway) : 트러스트 또는 DMZ 네트워크에서 언트러스트 네트워크로의 통신 통제, 장비로는 SWG(Secure Web Gateway), 웹 필터, 애플리케이션 컨트롤, 샌드박스
- 데이터 센터 시큐어 게이트웨이(Data Center Secure Gateway) : 언트러스트 네트워크에서 트러스트 또는 DMZ로의 통신 통제, 장비로는 IPS, DCSG(DataCenter Secure Gateway), WAF(Web Application Firewall), Anti-DDos(Distribute Denial of Service)
인터넷 시큐어 게이트웨이는 인터넷으로 나갈 때 수많은 서비스가 있기때문에 정보와 패킷을 적절히 인식하고 필터링하는 기능을 말한다.
반면, 데이터 센터 게이트웨이는 고성능이고 외부의 직접적인 공격을 막아야 하므로 인터넷 관련 정보보단 공격 관련 정보가 더 중요하다.
네트워크 보안 정책 수립에 따른 분류
네트워크 보안 정책 수립에 따른 네트워크 보안에는 화이트리스트(White List), 블랙 리스트(Black List)가 존재한다.
먼저 화이트리스트는 방어에 문제가 없다고 명확히 판단되는 통신만 허용하는 방식이다.
인터넷 전체에 대해 만들 수 없으므로 IP와 통신 정보를 아는 경우에 많이 사용된다. 회사 내부에서 사용하는 방화벽이 명확한 정책에 의해 필요한 서비스만 허용하는 화이트리스트 방식을 주로 사용한다.
블랙리스트는 공격이라고 명확히 판단되거나 문제가 있었던 IP 리스트나 패킷 리스트를 기반으로 데이터베이스를 만들고 그 정보를 이용해 방어하는 형태이다.
최근 보안 위협이 증가하면서 화이트리스트 기반 정책이 많이 사용되고 있다. 하지만 이를 위해서는 상세한 통신 정보, 세부적인 통제가 필요하다.
그래서 보안 관리 인력이 부족하다면 블랙리스트 기반 방어 정책을 수립하고 공격 데이터베이스를 최신으로 유지하는 것이 안정적인 보안 운영을 할 수 있다.
정탐, 오탐, 미탐(탐지 에러 타입)
블랙리스트 기반 데이터베이스를 이용한 방어는 데이터베이스를 아무리 정교하게 만들더라도 공격을 탐지 못하거나 공격이 아닌데 공격으로 탐지하여 패킷을 드롭시킬 때가 있어 장비 도입 시 정교한 튜닝이 필요하다.
공격을 탐지할 때 원래 예상한 내용과 다른 결과인 경우 오탐지, 미탐지(오탐, 미탐)로 구분하고 정상적으로 탐지한 경우 정상 탐지(정탐)으로 표현한다.
| 공격 상황 | 정상 상황 | |
| 공격 인지 | True Positive (정상 탐지) |
False Positive (오 탐지) |
| 정상 인지 | True Negetive (미 탐지) |
False Negetive (정상 탐지) |
- 공격이라고(Yes) 추론했는데 실제로 공격(Yes)인 경우 : True Positive (정탐)
- 공격이 아니라고(No) 추론했는데 실제로 공격이 아닌(No) 경우 : False Positive (정탐)
- 공격이라고(Yes) 추론했는데 실제로 공격이 아닌(No) 경우 : False Positive (오탐)
- 공격이 아니라고(No) 추론했는데 실제로 공격(Yes)인 경우 : True Negetive (미탐)
3번의 경우 공격으로 오인한 탐지이므로 이런 경우가 발생하면 예외로 처리해 오탐을 줄이는 튜닝 작업이 필요하다.
4번의 경우 공격 패턴에 대한 업데이트가 되지 않았거나 과도한 예외처리로 공격 패킷 탐지가 정상적으로 되지 않았을 때 발생한다. 또한 공격 데이터베이스가 업데이트되기 전에 발생하는 '제로 데이 공격(Zero-Day Attack)'이 발생했을 때도 정탐 오류가 발생할 수 있다.
최근엔 화이트리스트 기반과 블랙리스트 기반을 적절히 섞어 사용할 것을 권고하고 있다.
보안 솔루션의 종류
보안 솔루션에는 DDos 방어 장비, 방화벽, IPS, 웹 방화벽, 샌드박스, NAC, IP 제어, 접근 통제, VPN이 존재한다.
데이터 센터에서 보안 장비를 디자인할 때 DDos - 방화벽 - IPS - WAF 형태와 같이 여러 단계로 공격을 막도록 인라인 상에 장비를 배치한다. 모든 공격을 한 장비로 막을 수 없기 때문에 여러 장비의 기능을 통해 단계적으로 방어한다.
DDoS 방어 장비
DoS(Denial of Service) 공격은 다양한 방법으로 공격 목표에 서비스 부하를 가해 정상적인 서비스를 방해하는 공격 기법이다. 적이 공격 출발지에서 공격하는 것이 일반적이므로 비교적 탐지가 쉽고 짧은 시간 안에 탐지한다면 IP 주소 기반으로 충분히 방어할 수 있다.
이런 탐지를 회피하고 더 짧은 시간 안에 공격 성과를 내기 위해 다수의 봇을 이용해 분산 공격을 하는 DDoS 공격 기법이 등장했다.
이를 방어하기 위한 DDoS 장비는 데이터 센터 네트워크 내부와 외부의 경계에서 공격을 방어하는데 이를 볼류메트릭 공격(Volumetric Attack)을 우선 막기 위해서이다. 이 공격은 회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜 회선 사용을 방해하는 공격이므로 회선을 공급해주는 ISP나 네트워크 ISP와 연결되는 데이터 센터 네트워크의 가장 바깥쪽에 위치시켜 이 공격을 완화해야 한다.
볼류메트릭 공격(Volumetric Attack) : DDoS 공격의 한 종류
방화벽
방화벽은 4 계층(전송)에서 동작하는 패킷 필터링 장비이다. 3, 4계층 정보를 기반으로 정책을 세울 수 있고 해당 정책과 매치되는 패킷이 방화벽을 통과하면 그 패킷을 허용하거나 거부할 수 있다.
일반적으로 DDoS 방어 장비 바로 뒤에 놓으며 3, 4 계층에서 동작하므로 다른 보안 장비보다 비교적 간단하고 성능도 우수하다.
IDS, IPS
IDS(Intrusion Detection System: 침입 탐지 시스템)와 IPS(Intrusion Prevention System: 침입 방지 시스템)는 방화벽에서 방어할 수 없는 다양한 애플리케이션 공격을 방어하는 장비이다.
IDS와 IPS는 사전에 공격 데이터베이스(Signature)를 제조사나 위협 인텔리전스(Threat Intelligence) 서비스 업체로부터 받는다. 이후에 IDS, IPS에 인입된 패킷이 보유한 공격 데이터베이스에 해당하는 공격일 때, 차단하거나 모니터링한 후 관리자에게 알람을 보내 공격 시도를 알린다.
최근에는 블랙리스트뿐만 아니라 프로파일링 방어기법, 애플리케이션 컨트롤 추가되면서 화이트리스트 방어 기법도 적용 가능하다.
WAF
WAF(Web Application Firewall)는 웹 서버를 보호하는 전용 보안 장비로 HTTP, HTTPS처럼 웹 서버에서 동작하는 웹 프로토콜의 공격을 방어한다. IDS, IPS보다 범용성이 떨어지지만 웹 프로토콜에 대해서는 세밀하게 방어할 수 있다.
IPS에서 방어할 수 없는 IPS 회피 공격(Evasion Attack)을 방어할 수 있다. WAF는 프록시 서버와 같이 패킷을 데이터 형태로 조합해 처리한다. 이로 인해 회피 공격을 쉽게 만들기 어렵고 데이터의 일부를 수정, 추가하는 기능을 수행할 수 있다.
샌드박스
샌드박스는 APT의 공격을 방어하는 대표적인 장비로 악성 코드를 샌드박스 시스템 안에서 직접 실행시킨다. 가상 운영체제 안에서 각종 파일을 직접 실행시키고 그 행동을 모니터링해 그 파일들의 악성 코드 여부를 판별하는 방법을 쓴다.
여기서 APT(Advanced Persistent Threat : 지능형 지속 공격) 공격이란 타깃에 대해 파악한 정보를 바탕으로 취약점을 찾아내 ‘침투’하고, 내부 시스템에 대한 정보를 ‘검색’ 한 후, 서버의 제어권을 획득하여 무력화된 시스템상의 데이터를 ‘수집’하고 공격자의 근거지로 수집한 데이터를 전송해 ‘유출’하는 공격이다.
출처 : https://www.samsungsemiconstory.com/kr/%EC%95%8C%EC%95%84%EB%91%90%EB%A9%B4-%EC%93%B8%EB%AA%A8%EC%9E%88%EB%8A%94-%EC%A0%95%EB%B3%B4%EB%B3%B4%EC%95%88%EC%A7%80%EC%8B%9D-apt-%EA%B3%B5%EA%B2%A9/
NAC
NAC(Network Access Control) 은 네트워크에 접속할 때 인가된 사용자만 내부망에 접속할 수 있고 인가받기 전이나 승인에 실패한 사용자는 접속할 수 없도록 제어하는 기술이다.
IP 제어
보안사고 추적이 쉽도록 고정 IP 사용 권고 지침이 금융권에 내려오면서 생겨난 솔루션이며 IP 할당, 추적과 할당된 IP 관리, 의도된 IP 할당이 아니면 네트워크 사용 불가 기능이 있다.
접근 통제
운영자가 서버, 데이터베이스, 네트워크 장비에 직접 접근해 관리하면 각 시스템에서 문제가 발생했을 때 추적, 감사하기 어려웠다. 그래서 서버나 데이터베이스에 대한 직접적인 접근을 막고 작업 추적 및 감사를 할 수 있는 접근 통제 솔루션이 개발되었다.
종류에는 에이전트 기반(Agent Based), 에이전트리스(Agentless) 등이 존재하지만 대부분 배스천 호스트(Bastion Host) 기반으로 구현된다.
서버 접근을 위한 모든 통신을 베스천 호스트를 통해서만 가능하다. 다른 통신이 들어올 경우 모두 방어하도록 설정하고 베스천 호스트의 보안, 감사를 높이면 보안을 강화할 수 있다.
VPN
사용자 기반의 VPN 서비스를 제공해주는 장비를 VPN 장비라 한다. 현재 대부분의 방화벽이나 라우터에는 VPN 기능이 존재한다.
'CS > 네트워크' 카테고리의 다른 글
| IPS, IDS 에 대해 (0) | 2022.08.13 |
|---|---|
| 방화벽이란 (0) | 2022.08.13 |
| DHCP(Dynamic Host Configuration Protocol) (0) | 2022.07.12 |
| GSLB(Global Server/Service Load Balancing) 란 (0) | 2022.07.07 |
| DNS(Domain Name System)란 (0) | 2022.07.06 |
