UPDATED. 2024-03-29 09:10 (금)
능동형 보안 'IPS'로 통한다
능동형 보안 'IPS'로 통한다
  • 한국정보통신
  • 승인 2004.07.15 10:42
  • 호수 11322
  • 댓글 0
이 기사를 공유합니다

외부 침입감지·차단 '일석이조'
정보유출 자동탐지…사전에 조치
미지의 공격도 적절한 대응 가능

올해 보안장비 시장의 화두는 단연 '능동형'이다. 지난해 터진 1.25 인터넷 대란을 떠올리더라도 인터넷 보안을 책임지는 데 '능동형'이 유일한 대안이라는 것에 고개를 끄덕일 수 밖에 없다. 1.25 인터넷 대란 당시 수동형 보안장비는 속수 무책이었고 전국의 인터넷망은 순식간에 마비상태에 빠졌다. 이 때문에 공격을 감지하는 동시에 공격을 차단해야 한다는 인식이 각인됐다.
능동형 보안장비의 대표주자는 IPS(Intrusion Prevention System, 침입방지시스템)라고 할 수 있다. IPS는 공격을 탐지하는 것 뿐 아니라 공격이 일어나는 것을 근본적으로 방어한다. 또한 침입을 발견하면 즉시 해결에 나선다. 특히 데이터베이스 안에 알려지지 않은 공격을 방어하는 능력도 주목할만 하다.
이는 그간 보안장비 시장을 주도해 오던 IDS(침입탐지시스템)가 문제를 발견하고 보고에 그쳤던 것에 비하면 놀라운 기능이라고 할 수 있다. 시장에서 들려오는 IDS의 종말론도 IPS 탄생에서 비롯됐다.

개념 및 특징
IDS가 외부 침입을 감지하고 방화벽이 이를 막는 역할을 한다면 IPS는 침입을 감지하고 차단하는 두 가지 기능을 모두 갖추고 있다.
IPS는 네트워크에서 공격 서명을 찾아내 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션으로 정의된다. 수동적인 방어 개념의 방화벽, IDS와 달리 침입 경고 이전에 공격을 중단시키는데 초점을 두고 있다. 또한 해당 서버의 비정상적인 행동에 따른 정보 유출을 자동으로 탐지해 차단 조치를 취함으로써 인가자의 비정상 행위를 통제한다.
이는 단순한 네트워크단에서 탐지가 제공하지 못하는 각종 서버를 위해 알려지지 않은 공격까지도 OS(운영체계) 레벨에서 실시간 방어와 탐지기능을 제공한다.
IPS는 △손실 발생전에 대응 △독립된 에이전트 △SNMP 트랩데이터 이용 가능 △콘솔당 1000개 에이전트 이용 △관리보고 기능 △시스템 리소스 접근 방지 △로그정보 Export 등을 특징으로 하고 있다.

IPS 필요성
기존 보안시스템인 방화벽은 단순 차단 기능, 알려진 공격패턴 감시 등을 통해 공격감지시 관리자에게 전달하는 역할을 한다. 그러나 님다나 코드레드 같은 새로운 공격을 막기에는 역부족이다.
IDS 또한 알려지지 않은 공격에 대한 탐지가 곤란하고 내부 공격자를 막기에도 어려움이 있다. 침입탐지의 오판에 따른 시간, 인적, 재정 낭비도 문제점으로 지적된다.
이에 반해 IPS는 알려지지 않은 공격에 대해서 적절하게 대응을 하며 명백한 공격은 사전방어를 취한다. IPS는 DoS(서비스거부)/DDoS(분산서비스 거부) 등과 같은 공격을 차단시킴으로써 보안 인프라와 네트워크의 영향을 제거하며 공격에 대한 조사로 인해 소요되는 관리자 운영 부담을 없앤다. 특히 기존 보안시스템을 피해서 서버로 공격하는 님다, 코드레드 등을 실시간으로 막아낼 수 있다.
IPS 장점으로는 △서버의 동작 가능 시간 보장 △시스템 노출 방지 △방화벽 이면 보호기능 제공 △보안 기술에 필요한 시간 제거 △자동 업데이트 메커니즘 △꾸준한 모니터링 필요없음 등이 있다.

시장현황 및 전망
시장조사 기관인 가트너에 따르면 IPS가 올해 IDS 시장의 50%, 2005년까지는 75%를 차지할 것으로 전망하고 있다. 국내 시장의 경우 지난해 소개 단계를 이미 지났으며 올해는 본격적인 성장기에 진입할 것으로 예상된다.
한국정보보호산업협회(KISIA)는 올해 국내 IPS 시장이 715억원 규모로 성장할 것으로 보고 있으며 업계는 1000억원 시장에 달할 것으로 예상하고 있다. 지난해 말 한 보안장비업체가 국내 기업의 IT 담당자를 대상으로 설문조사한 결과에서도 IPS가 L7 스위치, 방화벽, IDS를 제치고 가장 도입하고 싶어하는 보안장비로 꼽혔다.
국내 IPS 시장은 토종기업과 외국 기업간 치열한 시장 선점 다툼으로 불이 뿜고 있다. 지난해 하반기 이후 국내외 보안장비 업체들이 경쟁적으로 IPS 장비를 내놓고 IPS 시장에 집중하는 모습이다.
국내 업체로는 CHK한강, 정보보호기술, 윈스테크넷, 조은시큐리티, 센터비전, LG엔시스 등 전문 업체들이 IPS 시장에 뛰어들고 있다. 또한 시큐아이닷컴, 인프니스, 시큐어소프트 등 보안장비 업체들이 기존 장비에 IPS 기능 탑재를 이미 실현했거나 서두르고 있다.
국내 업체들은 외산에 비해 우세한 가격경쟁력과 기존 보안제품 공급을 통해 확보한 고객 기반, 소비자 상황에 꼭 맞출 수 있는 커스터마이징 등을 강점으로 내세운다.
이에 반해 외국기업은 안정성과 고성능을 차별성으로 부각시키고 있다. 한국네트워크어쏘시에이츠, 탑레이어네트웍스, 넷스크린, 한국ISS, 엔터라시스네트웍스 등이 국내 IPS 시장에 진출, 시장선점을 시도하고 있다.

인증이 시장선점 열쇠
아직 IPS에 대한 평가인증은 없다. 그러나 공공기관 및 금융권 시장이 빠르게 형성하면서 CC인증 제도를 도입해야한다는 주장이 설득력을 얻고 있다. 국내 CC인증 기관인 한국정보보호원(KISA)도 올해중으로 IPS를 CC인증 품목에 포함시킬 것이라고 밝히고 있다.
IPS가 CC인증 품목에 도입될 경우 IDS, VPN 등과 마찬가지로 소스코드 공개를 꺼리는 외국 업체들이 인증을 받지 않아 최대 수요처인 공공 및 금융권 시장에서 국내 업체가 유리한 고지를 점할 수 있을 것으로 전망된다. 이 때문에 IPS 시장에 참여하고 있는 국내 기업들은 CC인증이 시장선점 열쇠로 보고 CC인증 획득에 만전을 기하고 있다.
센터비전이 방화벽과 IDS의 통합 장비로 CC인증을 추진하고 있으며 윈스테크넷도 IDS의 추가 기능으로 IPS에 대한 CC인증을 위해 한국정보보호진흥원로부터 평가 자문을 받고 있다.
시장활성화 걸림돌로는 인지도 부족을 여전히 제기하고 있다. 불경기인 상황에서 신기술을 도입하는 데 기업들이 쉽게 지갑을 열고 있지 않아서이다. 또한 대용량 유해 트래픽을 한꺼번에 처리하는 기능도 빨리 해결해야할 과제로 지적하고 있다.

김영길 기자 young@koit.co.kr

2004-02-23 09:29:22
주요 IPS 제품




한국네트워크어쏘시에이츠, '맥아피 인트루쉴드(McAfee IntruShield)'
이 제품은 시그너처(signature), 이상현상(anomaly), 서비스 거부(DoS) 등 세가지 공격에 대한 탐지능력을 결합해 통합적으로 공격을 차단한다. '지능적 탐지(Intrusion Intelligence)' 기능을 도입했으며 침입식별, 침입경로 및 방향, 영향력, 포렌직 등에 대한 세밀한 분석을 통해 빠르고 효과적으로 대응한다.
또한 실시간 네트워크 침입탐지 및 방지 아키텍처을 기반으로 하며 통합적인 보안능력을 멀티기가비트 속도로 제공한다. 특히 네트워크 이용상황과 트래픽 패턴을 스스로 연구하고 터득할 수 있는 셀프러닝 능력을 갖추고 있다.
실시간 자동 공격 업데이트 기능을 채용해 재부팅을 하지 않고도 자동으로 시그너처를 업데이트하고 항상 최신의 공격 정보를 확보해 신종 공격으로부터 네트워크를 효과적으로 보호한다.
아울러 인트루쉴드 센서 하나를 여러 개의 가상 센서로 분리할 수 있는 가상 침입탐지시스템(VIDS) 기능을 제공, 센서별로 네트워크 환경에 따라 다양한 보안 정책을 실행할 수 있다. 이밖에도 SPAN(Switched Port Analyzer, 교환포트 분석기)/허브 모드, 탭 모드(Tap Mode), 인라인 모드(In-line Mode) 등 유연한 실행 모드를 탑재하고 있다.

윈스테크넷, '스나이퍼IPS(SNIPER IPS)'
스나이퍼IPS는 시스템 및 네트워크 자원에 대한 다양한 형태의 침입을 정확하게 탐지하고 분석해 비정상으로 판단된 패킷을 차단시킨다. 또한 의심스러운 세션들을 종료시킴으로써 공격에 능동적으로 대응한다.
패킷 필터링(Packet Filtering) 방식을 채택해 웜 등에 의해 발생하는 비정상 트래픽을 실시간으로 탐지와 동시에 차단할 수 있다. 아울러 인라인 네트워크 디바이스(In-Line Network Device) 형태로 작동해 다양한 공격행위에 대해서도 즉각 대처한다.
특히 자체 개발한 네트워크 드라이버 '스나이퍼-X 드라이버'를 사용해 네트워크 패킷 처리 성능을 향상시킨다. 차별화된 주기능은 알려지지 않은 공격에 대해 인공지능 학습 알고리즘으로 환경에 맞는 자동 룰셋을 설정토록 하는 네트워크 통계분석 기능이다.
또 최악의 상황에서도 IPS의 작동 여부와 상관없이 정상적인 네트워크 트래픽을 유지할 수 있도록 FOD(auto Fail-Over Device) 기능을 탑재했다.
주로 비정상트래픽으로 인해 네트워크가 불안전하거나 정상적인 업무에 악영향을 주는 사이트 및 대형 ISP의 백본망에 적용돼 네트워크 상의 다양한 위협에 대한 보안사고를 사전에 예방한다.

포티넷, '포티게이트 3000'
이 장비는 디자인에서부터 하드웨어 기반의 ASIC 전용 프로세서를 탑재했으며 바이러스 백신, 침입탐지시스템(IDS), IPS, VPN, 콘텐츠 필터링, 트래픽 조정, 이메일 필터링 등 네트워크 보안과 관련된 기능을 하나의 엔진에서 통합 관리해 준다. 또 게이트웨이에서 전체 네트워크를 지킴으로써 네트워크단에 부하를 주지 않는다.
바이러스나 웜을 실시간으로 차단해주며 콘텐츠 기반 위험요소를 네트워크 성능저하 없이 제거해 준다. 기가비트급 성능을 제공하며 가격대비 뛰어난 성능을 나타낸다. 중단없는 운영을 위해 고가용성(HA) 포트와 이중화된 전원장치를 포함하고 있다.
특히 '포티 리스판스' 네트워크와 연결돼 지속적으로 최신 자료가 업데이트되며 바이러스와 웜, 트로이목마, 기타 위협요소로부터 시간 및 공간을 초월해 네트워크를 보호할 수 있다.
SMTP·POP3·IMAP 등 모든 방식으로 전송되는 이메일과 HTTP 트래픽에 대한 스캔으로 유입되는 바이러스나 웜을 사전에 차단함으로써 네트워크의 효율성을 증가시킨다.
포티넷은 통신, 은행 및 캐피털, 생명사, 증권사 등의 1·2차 금융권, 대학교, 병원, 대형 제조업체, 공공기관 등 100여 곳이 넘는 폭넓은 산업군별 시장에 포티게이트를 공급했다.

라드웨어, '디펜스 프로(DefensePro)'
디펜스프로는 3Gbps 속도로 해킹, 바이러스, 웜과 같은 유해 트래픽을 즉시 차단해 기업의 중요한 자원을 보호할 수 있도록 설계됐다. 특히 원치 않는 패킷의 전송을 막을 수 있는 SPI(Stateful Packet Inspection)와 정상적인 패킷과 비정상적인 패킷을 구분하는 딥 패킷 인스펙션(Deep Packet Inspection) 기능을 추가해 보안 기능을 강화했다.
또한 유해 트래픽 필터링을 최고 10배까지 가속화 해 웜 바이러스, 트로이 바이러스를 빠른 속도로 차단하며 서비스거부(DoS), 분산서비스거부(DDoS) 및 동기화(SYN) 공격 등에 대해서도 트래픽 패턴을 분석해 네트워크 침입과 공격을 사전에 차단한다.
일단 공격이 탐지되면 즉시 네트워크에 연결돼 있는 애플리케이션 또는 사용자의 대역폭 분배를 제한하는 '고립화(isolation)'를 통해 탐지와 동시에 실시간으로 방어 기능을 수행한다. 서비스 거부(Dos) 공격이 탐지됐을 경우, 최대한의 대역폭 컨트롤을 통해 공격에 따른 충격을 제한하고 중요 기능들이 영향 받지 않도록 한다. 아울러 원활한 네트워크 운용을 위해 요구되는 서비스 수준과 대역폭은 그대로 유지시켜 기업의 업무 진행에 무리가 없도록 한다.
알려지지 않은 공격은 프로토콜 변칙 검사를 이용해 탐지하는데 프로토콜 변칙을 보이는 패킷의 경우 대부분이 악의적인 트래픽 활동을 암시하기 때문에 이상 패킷의 탐지가 가능하다.
보안 업데이트 서비스 내역은 △위기 관리를 위한 일일 24시간 보안 운영 센터(SOC) 스케닝 △ 시그네처 파일의 주기적 업데이트 △긴급 필터를 통한 신속 대응 필터 릴리스 △특정 위험용 맞춤 필터 등이다.

탑레이어네트웍스, 'AM IPS 5500'
기존의 TopFire 기술을 향상시키고 새로이 추가된 딥패킷인스펙션(deep packet Inspection) 기술을 지원함으로써 광범위한 방어, 중단 없는 안정성, 탁월한 성능을 만족시킨다.
각종 네트워크 공격과 침입을 정확하게 탐지하고 차단할 수 있는 인라인 방식을 채택했으며 능동적인 방어 메커니즘을 통한 실시간 방어 체제를 구현한다. 또한 내외부로부터 해킹 DoS/DDoS 공격, 웜, 대량의 비정상적인 트래픽에 의한 보안사고를 예방한다.
아울러 어플리케이션 그룹별, 클라이언트 그룹별, 서버 그룹별 Connection Limiting 및 Rate Limit 기능을 제공함으로써 P2P 및 Flooding 공격에 대한 유연한 대처가 가능하다.
차단된 트래픽에 대한 심화 분석을 위해 포렌식 포트를 제공하며 라인 스피드로 동작해 네트워크 성능 또는 가용성에 악영향을 주지 않는다. 별도의 네트워크로 구성된 관리 포트를 제공함으로써 IPS 자체에 대한 해커로부터의 공격을 막아낼 수 있고 하드웨어 기반으로 네트워크 지연을 최소화할 수 있다. 네트워크 이중화시 별도의 L4 장비 없이 이중화 구성 지원이 가능하다.
IPTSS로 이메일을 통한 보안 자문 서비스와 새로운 공격 형태에 대한 탑레이어의 지식 기반에 대한 액세스가 가능해 항상 업데이트된 차단 정책을 가져갈 수 있다. 별도의 관리 프로그램 없이 자바 기반의 HTTP나 SSL로 관리가 가능하다. 3단계의 Bypass 포트 제공을 통해 소프트웨어 크래시 발생시 서비스 연속성을 보장한다.

CHK한강, '이지스(EZiS)'
이지스는 네트워크단에서 공격을 탐지해 해당공격이 특정호스트에 도달하기 전 적절하게 대응한다.
외부 및 내부의 네트워크 보안 위협을 확인, 분석, 실시간 반응한다. 네트워크상에서 발생할 수 있는 해킹 및 각종 보안 위험에 대해 관리자에게 공격 정보 및 대처 방안을 알려줄 뿐 아니라 실질적인 방어를 통해 위험 요소를 제거해 시스템에 대한 신뢰와 안정성을 보장한다.
특히 기존 방화벽으로 감지할 수 없는 네트워크에 대한 비정상적인 사용, 오용, 남용을 실시간으로 탐지 및 차단한다.
이지스는 세션 단위의 대응 방식이 아닌 패킷의 흐름을 기반으로 해 유해하다고 판단된 트래픽에 대해 즉시 폐기할 수 있게 하는 브리지 모드를 제공한다. 비정상적인 흐름 또는 패턴이 감지되는 경우 자동으로 방어조치를 취함으로써 네트워크를 안전하게 보호한다.
또한 사용자 권한검증 기법으로 허가된 트래픽이라도 공격의도를 가진 패킷이면 즉지 폐기한다.
아울러 초고속 패킷 처리 알고리즘과 패킷 병렬처리 알고리즘 사용으로 네트워크 성능에 영향을 주지 않는다. 이밖에 △로우레벨 패킷 인스펙션 △모듈러 소프트웨어 디자인 △위험요소에 관한 학습 및 업데이트 △새로운 애플리케이션 추가 및 업데이트 관리 △자바로 개발돼 모든 OS에 설치 가능 등을 특징으로 하고 있다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 함정기
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2024-03-29
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2024 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
한국인터넷신문협회 인터넷신문위원회 abc협회 인증 ND소프트