IPS란
지난해 발표된 가트너 그룹 보고서에 따르면 1세대 네트워크 IDS 제품은 탐지 성능에 문제가 있어서 신뢰할 수 있는 네트워크에 제한된 소수의 센서만을 설치 가능한 것으로 나타났다. 뿐만 아니라 IDS는 잘못된 탐지 경보를 남발하는 문제가 있어 진짜 공격을 놓칠 위험을 감수하면서도 상당한 자원을 오경보 추적에 소모하게 됨으로써 이미 제한된 보안 인원과 인프라에 심각한 영향을 줄 수밖에 없었다.
고도의 탐지 방법과 공격을 방지할 수 있는 기능이 없는 1세대 IDS는 충분한 성능 지원 없이 단지 보안에 대한 환상만을 제공한다는 점에서 그저 디지털 마지노선에 지나지 않는다. 이에 따라 등장한 것이 바로 침입방지 시스템 ‘IPS’이다.
IPS는 IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책이라는 점이 가장 큰 장점이다. IPS는 OS나 애플리케이션의 취약점을 능동적으로 사전에 보완하고 웜이나 버퍼오버플로우, 특히 비정상적인(Ano-maly) 트래픽이나 알려지지 않은 공격까지 차단할 수 있기 때문에 한층 높은 보안을 제공해준다.
또 IPS의 가장 큰 특징은 기업 외부에서 내부 네트워크로의 침입을 방지하는 것이다. IPS의 도입을 원하는 대부분의 기업들 목표 역시 외부 침입방지이며 효과 역시 유해 트래픽의 원천적인 차단이다.
그렇다면 외부 트래픽을 차단하는 방화벽과 역시 외부 침입을 방지하는 IPS는 어떤 차이가 있는 것일까? 기존 보안시스템인 방화벽은 단순 차단 기능, 알려진 공격패턴 감시 등을 통해 공격을 감지하지만, 님다나 코드레드같은 새로운 공격을 막기에는 역부족이다. IDS 또한 알려지지 않은 공격에 대한 탐지가 곤란하고 내부 공격자를 막기에도 어려움이 있다. 침입탐지의 오판에 따른 시간, 인적, 재정 낭비도 문제점으로 지적된다. 이에 반해 IPS는 알려지지 않은 공격에 대해서 적절하게 대응을 하며 명백한 공격은 사전 방어를 취한다. 또 웜과 바이러스 등의 침입을 네트워크단에서 차단시킴으로 보안 인프라와 네트워크 영향을 제거하며 공격에 대한 사후 조사로 인해 소요되는 관리자 운영 부담을 없애주는 장점이 있다.
이처럼 IPS는 웜 바이러스와 해킹으로부터 유발되는 네트워크 서비스 장애로부터 벗어날 수 있고 부가적으로 유해한 트래픽을 사전 차단함으로써 인터넷 및 네트워크 자원의 효율적 사용을 통한 비용절감을 도모할 수 있다.
하지만 이런 장점에도 불구하고 현재 어떤 기능들을 갖추고 있어야 IPS라고 부를 수 있는가에 대한 기준은 상당히 모호하다.
일선 영업담당자들은 “IPS 제품선정을 위해 BMT를 실시한다는 공고가 뜨면 IPS 전용장비는 물론이고 IDS에 드롭(Drop) 기능을 추가한 제품, L7스위치, 바이러스월 등 각종 장비가 모여든다”며 “최소한 바이러스월과 IPS는 구분된다거나 L7스위치와 IPS의 경계를 지어주는 등 기준이 필요할 것”이라고 언급하고 있다. 즉 IPS의 웜, 바이러스 차단, 네트워크 트래픽 조절 등의 기능으로 인해 바이러스월도 L7스위치도, IDS도 모두 약간의 기능을 추가하면 IPS라고 부를 수 있는 제품으로 둔갑한다는 것이다.
자사 상황 고려 필수
이처럼 현재 출시된 IPS들은 그 출신성분, IPS라는 이름을 달고 내놓은 제품 이전 제품은 어떤 것을 보유하고 있었느냐에 따라 방화벽 기반의 IPS, IDS 기반의 IPS, 스위칭 기반의 IPS, 바이러스월 기반의 IPS 등으로 나눌 수 있다. 또 전용 ASIC 기반, 네트워크 프로세서를 탑재했느냐에 따라 ASIC 기반 IPS, PC 서버 등 서버에 올렸느냐에 따라 서버 기반 IPS, 스위치 기반 IPS 등 하드웨어 타입에 따라 나누기도 한다. 여기서 또 기능상의 분류로 들어가 세션 기반, 패킷 기반, 그리고 스위칭 기반이냐 등으로 분류될 수도 있다.
IDS 기반의 IPS로는 엔터라시스의 ‘드래곤 IPS’, 윈스테크넷의 ‘스나이퍼 IPS’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’ 등이 속한다. 또 방화벽 기반의 IPS로는 체크포인트의 ‘인터셉트’, 시큐아이닷컴의 ‘NXG 시리즈’ 등이며, 스위칭 기반의 IPS로는 라드웨어 ‘디펜스프로’, 탑레이어 ‘AM IPS 5500’ 등, 바이러스월 기반으로는 포티넷의 ‘포티게이트 시리즈’ 등이 속한다. 한편 전용 ASIC 기반 네트워크 프로세서가 탑재된 제품으로는 티핑포인트의 ‘유니티원’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’ 등이며, 서버 기반으로는 S/W 형태로 출시돼 별도의 서버에 탑재해야하는 윈스테크넷의 ‘스나이퍼 IPS’, 정보보호기술의 ‘테스 IPS’, 넷스크린의 ‘IDP 시리즈’ 등이다.
혹자는 IPS를 세션 기반이냐 패킷 기반이냐 나누고 세션 기반이 패킷 기반보다 시그니처 분석 등으로 세심한 공격탐지가 가능하다는 식의 주장을 하기도 하지만 이런 분류는 별로 의미가 없다는 것이 전문가들의 주장이다. IPS는 네트워크상에 위치하는 제품인 만큼 세션과 패킷을 동시에 처리해야 하며 대부분의 제품들이 세션과 패킷을 혼용해서 출시돼 있어 세션이나 패킷이냐의 분류는 잘 쓰지 않는다.
한편 IPS의 설치구성상의 차이점과 기능에 따라 인라인 IPS, L7스위치, 호스트기반 IPS, 하이브리드(Hybrid) 스위치 등으로 구분하기도 하는데 인라인 IPS는 보호되어야할 시스템과 그 외의 네트워크 사이에서 L2 브리지처럼 작동하며 모든 트래픽은 브리지 장비와 달리 발견해내도록 취약점 검사를 수행한다. 현재 통용되고 있는 한국ISS, 넷스크린, 티핑포인트, 윈스테크넷 등 국내외 업체들의 IPS 제품들이 대부분 여기에 속한다. 또 L7스위치는 지난 1.25대란을 겪으며 일부 기업과 통신사 등에 공급, 효과적으로 웜 바이러스를 차단할 수 있다는 입소문을 타고 침입차단의 강자로 부상했다.
유독 국내에서는 L7스위치가 IPS 제품으로 통용되고 있는데 침입차단 및 방어 기능에 로드밸런싱 등으로 트래픽을 효과적으로 조절한다는 측면에서 IDS 기반의 IPS보다 선호하는 고객도 많다. 대표적으로 라드웨어, 탑레이어 등 L7스위치 기반의 IPS가 여기에 속한다. 또 보호를 필요로 하는 각 서버에 탑재돼 보안기능을 발휘하며 시큐어 OS와 비슷한 기능을 수행하는 호스트기반 IPS는 NA의 ‘인터셉트’, 조은시큐리티의 ‘싸이폴로’, 임퍼바의 ‘시큐어스피어’ 등이 속한다. 하이브리드 스위치는 호스트 기반의 IPS와 L7스위치의 특성을 함께 가지고 있으며 대개 하드웨어 기반으로 L7스위치처럼 서버의 앞단에 위치한다.
하지만 하이브리드 스위치는 일반적으로 네트워크 IPS 타입의 룰셋보다 호스트 기반의 IPS와 비슷한 정책을 사용하며 여기에 속하는 제품은 앱실드(Appshild), 카바두(Kavado) 등에서 취급한다.
이처럼 많은 분류들이 상존하고 있으나 이런 분류들은 각각의 장단점이 존재하며 이 분류가 절대적 우위를 가리는 판단기준이 되지는 않는다. 공격에 따라 적절히 대응하는 보안시스템이라는 유연성 측면에서 고려한다면 IDS 기반과 방화벽 기반, 바이러스월 기반 등의 IPS가 우세할 것이며, 네트워크 퍼포먼스, 성능 측면을 고려한다면 전용 네트워크 프로세서를 탑재한 제품이나 ASIC 기반과 스위칭 기반의 IPS를 선택하는 것이 좋을 것이다. 퍼포먼스보다 기능측면을 고려하는 소호 등의 소규모사이트라면 방화벽+IDS 등 별도의 부가기능이 추가된 통합적인 형태의 IPS를 구입하는 것도 좋은 대안이다.
업계의 한 전문가는 “고객들은 자사 네트워크에 맞게 성능의 가이드라인을 세우고 이에 맞는 제품을 선택해야한다”며 “우리 네트워크에서의 문제는 무엇인지, 웜·바이러스 등에 의한 문제가 가장 심각한지, 네트워크 가용성이 중요해 퍼포먼스를 우선해야 하는지 등을 따져보고 이미 기투자된 장비와의 연동성 등도 고려해 선택하는 것이 좋다”고 조언했다.
하지만 관련 전문가들은 IPS의 기준이 모호하고 다양한 분류에 대한 이견이 분분한 것에 대해 아직 IPS 시장이 본격 형성되지 않았고 선두 업체가 정해지지도 않았기 때문이라고 분석한다. 상반기를 지나 하반기쯤이면 IPS의 대형 레퍼런스가 탄생할 것이고 이를 선점하는 선두업체의 IPS 제품이 IPS의 모델로 시장에서 자연스럽게 자리잡혀 갈 것이라는 전망이다. 따라서 IPS 시장의 진입 초기인 현재의 복잡한 IPS 제품에 대한 분류는 올 하반기를 지나 내년경이면 정리되어 갈 것으로 예측된다.
한편 관련 전문가들은 사용자들이 IPS를 선정하는 기준으로 최근 가장 중요시하는 것은 웜 차단 기능과 퍼포먼스라고 전한다. 웜이 워낙 기승을 부려 웜에 대한 효과적인 차단기능이 필요해 IPS를 고려하는 경우가 많기 때문이다. 그리고 IPS가 네트워크단에 설치되기 때문에 가용성을 우선해 기가비트급 이상의 성능이 지원되는 ASIC이나 네트워크 프로세서 기반의 IPS 등을 선호한다는 것.
IPS는 패킷을 바이패스로 미러링해 침입을 탐지하는 IDS와 달리 네트워크의 패킷이 지나가는 길에 설치한다는 특성으로 인해 퍼포먼스가 고객의 최대 관심사가 되고 있다.
따라서 현재 출시되는 대부분의 IPS들이 기가급을 지원하고 있다. 최소 1Gbps 이상의 속도를 지원하며 올해부터 본격 구현되고 있는 10기가비트 네트워크를 겨냥해 10기가 이상의 속도를 낼 수 있는 IPS를 출시했거나 준비중도 업체들이 많다. 하지만 웜 차단이 IPS 기능의 전부가 아니고 웜이외에도 다양하게 발생할 수 있는 유해 트래픽과 관련된 IPS의 기능들을 눈여겨 봐야하며 피크타임시의 네트워크 대역폭이 최대 500Mbps 정도의 소규모 고객이 기가급 IPS만을 고집하는 것은 과투자가 될 수 있다. 따라서 자사의 네트워크를 잘 살펴보고 이에 맞는 제품을 고르는 지혜가 우선돼야 한다고 관련 전문가들은 지적하고 있다.
그러나 IPS의 필요성을 느끼는 가장 큰 부분이 바로 웜 차단이며, 전체 네트워크 환경을 고려해 기가급의 IPS를 선호하는 추세는 당분간 이어질 것으로 보인다. 실제로 관련 전문가들은 “현재 웬만한 대학이나 금융, 기업 등에서 기가급 이하의 네트워크를 찾아보기 힘들다”며 “어렵게 기가급 이상의 네트워크를 구축해놓고 저속의 IPS를 네트워크상에 설치해 전체 네트워크의 성능을 떨어뜨리고 싶어하는 고객은 없다. 방화벽도 이런 이유에서 기가로 올라가는 추세”라고 언급한다.
차세대 IPS에 필요한 10가지 조건
1. 고도의 정확성
- 모든 네트워크 트래픽에 대한 완벽하며 철저한 프로토콜 분석
- 레이어 3에서 레이어 7까지 전방위적인 상태유지(Stateful) 프로토콜 분석
- 알려진 익스플로잇(exploit)을 정확히 탐지할 수 있는 컨텍스트 기반 다중 트리거, 다중패턴 시그너처(signature) 매치
2. 단순한 탐지가 아닌 방지
- 인라인 운영: 공격을 실시간 탐지, 차단하려면 인라인 IPS가 센서를 데이터 트래픽 경로에 위치시켜 모든 패킷을 처리해야한다.
- 신뢰성 및 가용성 유지: 인라인 IPS의 경우 가동시간이 매우 중요해 안정적 IPS 센서가 필요하다.
- 고성능 제공: IPS에는 반드시 인라인 탐지 및 방지를 할 수 있는 처리능력, 예를 들면 패킷 지연시간은 1/1000초 이하로 최소화 되야 한다
- 세밀한 정책적용: IPS는 세밀한 정책설정으로 악의적 트래픽을 차단할지 결정해야한다
3. 광범위한 공격방지 적용
현재 또는 앞으로 나타날 모든 공격을 단 하나만으로 막아주는 마법같은 방지는 없다. IPS는 반드시 시그니처 탐지, 이상탐지 및 DoS 탐지 등을 이용, 광범위한 방어범위를 제공해야한다.
4. 관련된 모든 트래픽 분석
IPS에는 반드시 광범위한 데이터 캡처 모드를 사용할 수 있는 능력이 있어 탐지 및 방지용으로 모든 관련 트래픽에 액세스할 수 있어야한다.
5. 고도의 세밀한 탐지 및 대응
IPS는 특정 호스트에 대한 특정공격을 탐지할 수 있으며 이에 대한 대응책이 시행되도록 해야한다. 세밀성은 보안정책의 실행과 통제에 반드시 필요한 조건이다.
6. 유연한 정책관리
오늘날의 엔터프라이즈 네트워크에서 단일 정책은 쓸모가 없다. 세밀한 정책관리를 통해 트래픽을 논리적 그룹으로 나누고 특정공격에 대한 알맞은 대응을 수행해야 한다.
7. 확장 가능한 위험관리
IPS는 부하가 많은 상황에도 대응할 수 있는 확장성을 갖춤으로 모니터링할 트래픽, 경고 처리율의 증가를 지원할 수 있어야한다.
8. 고도의 사후조사 및 보고
데이터 퓨전에 기반한 강력한 포렌직(사후 조사) 관리는 사고 분석 및 관리를 지원하는데 필요한 인프라를 제공하며 모든 IPS의 필수 요소이다.
9. 최대 센서 가동시간
IPS의 가동시간은 안정적인 실시간 탐지 및 방지를 보장하기 위해 신뢰도 높은 센서 등으로 방화벽, 교환기, 라우터 등 보안 및 네트워크 장치와 비슷해야 한다.
10. ‘와이어 스피드’ 센서 성능
IPS는 복잡한 네트워크 패킷과 플로우를 검사하는 시스템으로 최고 처리 용량의 방화벽보다 몇 배 이상의 처리 능력을 갖추고 있어야 한다.
지난해 발표된 가트너 그룹 보고서에 따르면 1세대 네트워크 IDS 제품은 탐지 성능에 문제가 있어서 신뢰할 수 있는 네트워크에 제한된 소수의 센서만을 설치 가능한 것으로 나타났다. 뿐만 아니라 IDS는 잘못된 탐지 경보를 남발하는 문제가 있어 진짜 공격을 놓칠 위험을 감수하면서도 상당한 자원을 오경보 추적에 소모하게 됨으로써 이미 제한된 보안 인원과 인프라에 심각한 영향을 줄 수밖에 없었다.
고도의 탐지 방법과 공격을 방지할 수 있는 기능이 없는 1세대 IDS는 충분한 성능 지원 없이 단지 보안에 대한 환상만을 제공한다는 점에서 그저 디지털 마지노선에 지나지 않는다. 이에 따라 등장한 것이 바로 침입방지 시스템 ‘IPS’이다.
IPS는 IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책이라는 점이 가장 큰 장점이다. IPS는 OS나 애플리케이션의 취약점을 능동적으로 사전에 보완하고 웜이나 버퍼오버플로우, 특히 비정상적인(Ano-maly) 트래픽이나 알려지지 않은 공격까지 차단할 수 있기 때문에 한층 높은 보안을 제공해준다.
또 IPS의 가장 큰 특징은 기업 외부에서 내부 네트워크로의 침입을 방지하는 것이다. IPS의 도입을 원하는 대부분의 기업들 목표 역시 외부 침입방지이며 효과 역시 유해 트래픽의 원천적인 차단이다.
그렇다면 외부 트래픽을 차단하는 방화벽과 역시 외부 침입을 방지하는 IPS는 어떤 차이가 있는 것일까? 기존 보안시스템인 방화벽은 단순 차단 기능, 알려진 공격패턴 감시 등을 통해 공격을 감지하지만, 님다나 코드레드같은 새로운 공격을 막기에는 역부족이다. IDS 또한 알려지지 않은 공격에 대한 탐지가 곤란하고 내부 공격자를 막기에도 어려움이 있다. 침입탐지의 오판에 따른 시간, 인적, 재정 낭비도 문제점으로 지적된다. 이에 반해 IPS는 알려지지 않은 공격에 대해서 적절하게 대응을 하며 명백한 공격은 사전 방어를 취한다. 또 웜과 바이러스 등의 침입을 네트워크단에서 차단시킴으로 보안 인프라와 네트워크 영향을 제거하며 공격에 대한 사후 조사로 인해 소요되는 관리자 운영 부담을 없애주는 장점이 있다.
이처럼 IPS는 웜 바이러스와 해킹으로부터 유발되는 네트워크 서비스 장애로부터 벗어날 수 있고 부가적으로 유해한 트래픽을 사전 차단함으로써 인터넷 및 네트워크 자원의 효율적 사용을 통한 비용절감을 도모할 수 있다.
하지만 이런 장점에도 불구하고 현재 어떤 기능들을 갖추고 있어야 IPS라고 부를 수 있는가에 대한 기준은 상당히 모호하다.
일선 영업담당자들은 “IPS 제품선정을 위해 BMT를 실시한다는 공고가 뜨면 IPS 전용장비는 물론이고 IDS에 드롭(Drop) 기능을 추가한 제품, L7스위치, 바이러스월 등 각종 장비가 모여든다”며 “최소한 바이러스월과 IPS는 구분된다거나 L7스위치와 IPS의 경계를 지어주는 등 기준이 필요할 것”이라고 언급하고 있다. 즉 IPS의 웜, 바이러스 차단, 네트워크 트래픽 조절 등의 기능으로 인해 바이러스월도 L7스위치도, IDS도 모두 약간의 기능을 추가하면 IPS라고 부를 수 있는 제품으로 둔갑한다는 것이다.
자사 상황 고려 필수
이처럼 현재 출시된 IPS들은 그 출신성분, IPS라는 이름을 달고 내놓은 제품 이전 제품은 어떤 것을 보유하고 있었느냐에 따라 방화벽 기반의 IPS, IDS 기반의 IPS, 스위칭 기반의 IPS, 바이러스월 기반의 IPS 등으로 나눌 수 있다. 또 전용 ASIC 기반, 네트워크 프로세서를 탑재했느냐에 따라 ASIC 기반 IPS, PC 서버 등 서버에 올렸느냐에 따라 서버 기반 IPS, 스위치 기반 IPS 등 하드웨어 타입에 따라 나누기도 한다. 여기서 또 기능상의 분류로 들어가 세션 기반, 패킷 기반, 그리고 스위칭 기반이냐 등으로 분류될 수도 있다.
IDS 기반의 IPS로는 엔터라시스의 ‘드래곤 IPS’, 윈스테크넷의 ‘스나이퍼 IPS’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’ 등이 속한다. 또 방화벽 기반의 IPS로는 체크포인트의 ‘인터셉트’, 시큐아이닷컴의 ‘NXG 시리즈’ 등이며, 스위칭 기반의 IPS로는 라드웨어 ‘디펜스프로’, 탑레이어 ‘AM IPS 5500’ 등, 바이러스월 기반으로는 포티넷의 ‘포티게이트 시리즈’ 등이 속한다. 한편 전용 ASIC 기반 네트워크 프로세서가 탑재된 제품으로는 티핑포인트의 ‘유니티원’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’ 등이며, 서버 기반으로는 S/W 형태로 출시돼 별도의 서버에 탑재해야하는 윈스테크넷의 ‘스나이퍼 IPS’, 정보보호기술의 ‘테스 IPS’, 넷스크린의 ‘IDP 시리즈’ 등이다.
혹자는 IPS를 세션 기반이냐 패킷 기반이냐 나누고 세션 기반이 패킷 기반보다 시그니처 분석 등으로 세심한 공격탐지가 가능하다는 식의 주장을 하기도 하지만 이런 분류는 별로 의미가 없다는 것이 전문가들의 주장이다. IPS는 네트워크상에 위치하는 제품인 만큼 세션과 패킷을 동시에 처리해야 하며 대부분의 제품들이 세션과 패킷을 혼용해서 출시돼 있어 세션이나 패킷이냐의 분류는 잘 쓰지 않는다.
한편 IPS의 설치구성상의 차이점과 기능에 따라 인라인 IPS, L7스위치, 호스트기반 IPS, 하이브리드(Hybrid) 스위치 등으로 구분하기도 하는데 인라인 IPS는 보호되어야할 시스템과 그 외의 네트워크 사이에서 L2 브리지처럼 작동하며 모든 트래픽은 브리지 장비와 달리 발견해내도록 취약점 검사를 수행한다. 현재 통용되고 있는 한국ISS, 넷스크린, 티핑포인트, 윈스테크넷 등 국내외 업체들의 IPS 제품들이 대부분 여기에 속한다. 또 L7스위치는 지난 1.25대란을 겪으며 일부 기업과 통신사 등에 공급, 효과적으로 웜 바이러스를 차단할 수 있다는 입소문을 타고 침입차단의 강자로 부상했다.
유독 국내에서는 L7스위치가 IPS 제품으로 통용되고 있는데 침입차단 및 방어 기능에 로드밸런싱 등으로 트래픽을 효과적으로 조절한다는 측면에서 IDS 기반의 IPS보다 선호하는 고객도 많다. 대표적으로 라드웨어, 탑레이어 등 L7스위치 기반의 IPS가 여기에 속한다. 또 보호를 필요로 하는 각 서버에 탑재돼 보안기능을 발휘하며 시큐어 OS와 비슷한 기능을 수행하는 호스트기반 IPS는 NA의 ‘인터셉트’, 조은시큐리티의 ‘싸이폴로’, 임퍼바의 ‘시큐어스피어’ 등이 속한다. 하이브리드 스위치는 호스트 기반의 IPS와 L7스위치의 특성을 함께 가지고 있으며 대개 하드웨어 기반으로 L7스위치처럼 서버의 앞단에 위치한다.
하지만 하이브리드 스위치는 일반적으로 네트워크 IPS 타입의 룰셋보다 호스트 기반의 IPS와 비슷한 정책을 사용하며 여기에 속하는 제품은 앱실드(Appshild), 카바두(Kavado) 등에서 취급한다.
이처럼 많은 분류들이 상존하고 있으나 이런 분류들은 각각의 장단점이 존재하며 이 분류가 절대적 우위를 가리는 판단기준이 되지는 않는다. 공격에 따라 적절히 대응하는 보안시스템이라는 유연성 측면에서 고려한다면 IDS 기반과 방화벽 기반, 바이러스월 기반 등의 IPS가 우세할 것이며, 네트워크 퍼포먼스, 성능 측면을 고려한다면 전용 네트워크 프로세서를 탑재한 제품이나 ASIC 기반과 스위칭 기반의 IPS를 선택하는 것이 좋을 것이다. 퍼포먼스보다 기능측면을 고려하는 소호 등의 소규모사이트라면 방화벽+IDS 등 별도의 부가기능이 추가된 통합적인 형태의 IPS를 구입하는 것도 좋은 대안이다.
업계의 한 전문가는 “고객들은 자사 네트워크에 맞게 성능의 가이드라인을 세우고 이에 맞는 제품을 선택해야한다”며 “우리 네트워크에서의 문제는 무엇인지, 웜·바이러스 등에 의한 문제가 가장 심각한지, 네트워크 가용성이 중요해 퍼포먼스를 우선해야 하는지 등을 따져보고 이미 기투자된 장비와의 연동성 등도 고려해 선택하는 것이 좋다”고 조언했다.
하지만 관련 전문가들은 IPS의 기준이 모호하고 다양한 분류에 대한 이견이 분분한 것에 대해 아직 IPS 시장이 본격 형성되지 않았고 선두 업체가 정해지지도 않았기 때문이라고 분석한다. 상반기를 지나 하반기쯤이면 IPS의 대형 레퍼런스가 탄생할 것이고 이를 선점하는 선두업체의 IPS 제품이 IPS의 모델로 시장에서 자연스럽게 자리잡혀 갈 것이라는 전망이다. 따라서 IPS 시장의 진입 초기인 현재의 복잡한 IPS 제품에 대한 분류는 올 하반기를 지나 내년경이면 정리되어 갈 것으로 예측된다.
한편 관련 전문가들은 사용자들이 IPS를 선정하는 기준으로 최근 가장 중요시하는 것은 웜 차단 기능과 퍼포먼스라고 전한다. 웜이 워낙 기승을 부려 웜에 대한 효과적인 차단기능이 필요해 IPS를 고려하는 경우가 많기 때문이다. 그리고 IPS가 네트워크단에 설치되기 때문에 가용성을 우선해 기가비트급 이상의 성능이 지원되는 ASIC이나 네트워크 프로세서 기반의 IPS 등을 선호한다는 것.
IPS는 패킷을 바이패스로 미러링해 침입을 탐지하는 IDS와 달리 네트워크의 패킷이 지나가는 길에 설치한다는 특성으로 인해 퍼포먼스가 고객의 최대 관심사가 되고 있다.
따라서 현재 출시되는 대부분의 IPS들이 기가급을 지원하고 있다. 최소 1Gbps 이상의 속도를 지원하며 올해부터 본격 구현되고 있는 10기가비트 네트워크를 겨냥해 10기가 이상의 속도를 낼 수 있는 IPS를 출시했거나 준비중도 업체들이 많다. 하지만 웜 차단이 IPS 기능의 전부가 아니고 웜이외에도 다양하게 발생할 수 있는 유해 트래픽과 관련된 IPS의 기능들을 눈여겨 봐야하며 피크타임시의 네트워크 대역폭이 최대 500Mbps 정도의 소규모 고객이 기가급 IPS만을 고집하는 것은 과투자가 될 수 있다. 따라서 자사의 네트워크를 잘 살펴보고 이에 맞는 제품을 고르는 지혜가 우선돼야 한다고 관련 전문가들은 지적하고 있다.
그러나 IPS의 필요성을 느끼는 가장 큰 부분이 바로 웜 차단이며, 전체 네트워크 환경을 고려해 기가급의 IPS를 선호하는 추세는 당분간 이어질 것으로 보인다. 실제로 관련 전문가들은 “현재 웬만한 대학이나 금융, 기업 등에서 기가급 이하의 네트워크를 찾아보기 힘들다”며 “어렵게 기가급 이상의 네트워크를 구축해놓고 저속의 IPS를 네트워크상에 설치해 전체 네트워크의 성능을 떨어뜨리고 싶어하는 고객은 없다. 방화벽도 이런 이유에서 기가로 올라가는 추세”라고 언급한다.
차세대 IPS에 필요한 10가지 조건
1. 고도의 정확성
- 모든 네트워크 트래픽에 대한 완벽하며 철저한 프로토콜 분석
- 레이어 3에서 레이어 7까지 전방위적인 상태유지(Stateful) 프로토콜 분석
- 알려진 익스플로잇(exploit)을 정확히 탐지할 수 있는 컨텍스트 기반 다중 트리거, 다중패턴 시그너처(signature) 매치
2. 단순한 탐지가 아닌 방지
- 인라인 운영: 공격을 실시간 탐지, 차단하려면 인라인 IPS가 센서를 데이터 트래픽 경로에 위치시켜 모든 패킷을 처리해야한다.
- 신뢰성 및 가용성 유지: 인라인 IPS의 경우 가동시간이 매우 중요해 안정적 IPS 센서가 필요하다.
- 고성능 제공: IPS에는 반드시 인라인 탐지 및 방지를 할 수 있는 처리능력, 예를 들면 패킷 지연시간은 1/1000초 이하로 최소화 되야 한다
- 세밀한 정책적용: IPS는 세밀한 정책설정으로 악의적 트래픽을 차단할지 결정해야한다
3. 광범위한 공격방지 적용
현재 또는 앞으로 나타날 모든 공격을 단 하나만으로 막아주는 마법같은 방지는 없다. IPS는 반드시 시그니처 탐지, 이상탐지 및 DoS 탐지 등을 이용, 광범위한 방어범위를 제공해야한다.
4. 관련된 모든 트래픽 분석
IPS에는 반드시 광범위한 데이터 캡처 모드를 사용할 수 있는 능력이 있어 탐지 및 방지용으로 모든 관련 트래픽에 액세스할 수 있어야한다.
5. 고도의 세밀한 탐지 및 대응
IPS는 특정 호스트에 대한 특정공격을 탐지할 수 있으며 이에 대한 대응책이 시행되도록 해야한다. 세밀성은 보안정책의 실행과 통제에 반드시 필요한 조건이다.
6. 유연한 정책관리
오늘날의 엔터프라이즈 네트워크에서 단일 정책은 쓸모가 없다. 세밀한 정책관리를 통해 트래픽을 논리적 그룹으로 나누고 특정공격에 대한 알맞은 대응을 수행해야 한다.
7. 확장 가능한 위험관리
IPS는 부하가 많은 상황에도 대응할 수 있는 확장성을 갖춤으로 모니터링할 트래픽, 경고 처리율의 증가를 지원할 수 있어야한다.
8. 고도의 사후조사 및 보고
데이터 퓨전에 기반한 강력한 포렌직(사후 조사) 관리는 사고 분석 및 관리를 지원하는데 필요한 인프라를 제공하며 모든 IPS의 필수 요소이다.
9. 최대 센서 가동시간
IPS의 가동시간은 안정적인 실시간 탐지 및 방지를 보장하기 위해 신뢰도 높은 센서 등으로 방화벽, 교환기, 라우터 등 보안 및 네트워크 장치와 비슷해야 한다.
10. ‘와이어 스피드’ 센서 성능
IPS는 복잡한 네트워크 패킷과 플로우를 검사하는 시스템으로 최고 처리 용량의 방화벽보다 몇 배 이상의 처리 능력을 갖추고 있어야 한다.
'scrap' 카테고리의 다른 글
| IDS (0) | 2010.03.27 |
|---|---|
| IPS (0) | 2010.03.27 |
| [안철수연구소 칼럼] 바이러스 및 악성코드와 백신의 미래 (0) | 2010.03.19 |
| [안랩] 파일 기반의 탐지기법 (0) | 2010.03.19 |
| [안랩] 에뮬레이터와 샌드 박스 (0) | 2010.03.19 |