IPS(Intrusion Prevention System)란:
IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안시스템
IDS: 특정 패턴을 기반으로 공격자의 침입을 탐지
IPS: 탐지된 공격을 block하여 적극적인 방어활동
가트너그룹의 정의: "IPS는 방지능력과 빠른 반응속도를 위해 인라인에 위치한 제품, 세션기반 탐지 지원, 다양한 종류의 방지 방법 및 방식(시그니처, 프로토콜 어노멀리, 액션 등)을 통해 악의적인 세션을 차단, 세션 기반 탐지를 지원한다"
네트워크 성능 저하 없이 보안정책 적용
광주시청은 당시 IPS의 필요성은 인지하고 있었지만, 구축 후 망구조의 변화와 트래픽 성능 저하를 우려했다. 이에 윈스테크넷은 기존 네트워크의 라우터와 스위치 사이에 IPS를 설치하는 물리적 망구성과 패킷 우회경로 지정기능을 적용한 논리적 망구성을 병행해 광주시청 네트워크 특성에 효과적인 보안정책을 제시했다.
설치 시, IPS를 경유하도록 연결을 재구성하는 것 이외에 어떠한 물리적인 변경도 하지 않아, 공공기관으로서의 업무 연속성을 유지하면서도 적극적인 보안정책 설정이 가능해졌다.
또한 감시, 차단 대상 네트워크에 어떠한 패킷도 발생시키지 않고, 스나이퍼 IPS를 통과한 정상 패킷에 대해서는 맥 어드레스를 포함한 변경도 일으키지 않음으로써 신규 시스템 설치로 인한 네트워크 정상작동 방해 가능성을 제거했다. 또 IPS의 FOD(Fail Over Device) 기능을 적용해 네트워크 단절을 복구, 네트워크의 안정성을 높였다.
Case Study 2. 한미은행
외부 유해 트래픽 완전 차단으로 고객 보호 ‘이상 무’
한미은행은 외부에서 발생되어 금융권으로 들어오는 각종 웜 바이러스와 악의적인 공격에 대해 방어하고 내부에서 발생되는 유해 트래픽을 감지, 차단 조치하고자 IPS 구축사업을 진행, ‘라드웨어의 애플리케이션 스위치(ASⅢ)’ 도입을 결정했다.
IPS 오작동시에도 네트워크 영향 無
AS III는 네트워크 상에서 일어나는 어떠한 형태의 IP나 웹서비스 애플리케이션에 대해 멀티 기가비트 속도의 보안성을 제공하는 다기능 장비로써 포괄적인 트래픽 전달과 실시간 침입방지 및 멀티 기가비트 속도의 DoS/DDoS 공격 차단기능 등을 제공한다.
이를 활용해 한미은행은 AS III의 구축이 완료되면, 외부로부터 유입되는 유해 트래픽을 완벽히 차단해 고객 및 내부 사용자 보호에 만전을 기할 수 있을 것으로 기대하고 있다.
자동업데이트로 최적 보안상태 유지
한미은행의 IPS 구축사업은 현재 진행중이지만 구축이 완료되면 각종 서버와 라우터 등의 내부자원에 대한 방어 및 차단은 물론이고 내부정보 유출 차단, 내부 유해트래픽 자동 감지로 네트워크를 원천적으로 보호할 수 있게 된다. 또 새로운 바이러스 패턴에 대한 자동 업데이트로 항상 최적의 보안상태를 유지할 수 있으며 보고서 분석으로 유해트래픽의 통계적 관리가 가능하다.
Case Study 3. 구리시청
시정 기밀정보·시민 신상 중요정보 해킹 걱정 ‘끝’
구리시청과 같은 지방자치단체는 상위 관청의 통합 전산망의 일부로 자체 규모는 작으나, 하위에 크고 작은 기관을 관리하고 있어 자체적인 보안관리가 중요해짐에 따라 IPS를 도입하게 됐다.
각 동·출장소 등에서 발생되는 유해 트래픽 차단
구리시청은 시정에 관련된 기밀정보, 시민 개개인의 신상에 관한 중요정보를 보관하고 타 관공서간에 중요한 자료들이 네트워크 상에서 교환되는 등 철저한 보안이 시급한 상황이었다. 또한 각동 출장소 등에서 발생되는 불법적이고 치명적인 유해 트래픽 역시 증가하고 있어 이에 대한 대비책도 시급했다.
이를 시정하기 위해 구리시청은 센타비전의 ‘랩투스 ICS’를 도입, 유해트래픽에 의한 대민서비스 장애를 예방하며 시민정보에 대한 안정성을 높였다.
불필요한 네트워크 트래픽 해소
구리시청은 IPS 도입의 가장 큰 효과로 내부정보 유출을 원천적·능동적으로 차단할 수 있는 점을 꼽는다. 또 불필요하게 네트워크 자원을 소모시키는 트래픽을 해소하고 세션상태 실시간 체크, 차단, 탐지정보, 네트워크 자원 소모량, 트래픽 원인 파악 등의 리포팅으로 네트워크상의 문제점을 제거하고 보다 빠르게 안전한 대민서비스를 개시할 수 있어 만족하고 있다.
Case Study 4. 숭실대
통합보안제품으로 보안 걱정 한방에 ‘끝’
숭실대 전산원은 바이러스, 웜, 트로이 목마 등의 공격으로 인한 트래픽 부하로 하루에도 2∼3번씩 네트워크 다운에 시달렸다. 컴퓨터 실습실은 많은 학생들이 공통으로 사용하다 보니 설치해놓은 백신 소프트웨어를 임의대로 삭제해 바이러스나 웜에 무방비 상태로 노출되기 일쑤였다.
웜·트래픽 공격으로 인한 네트워크 다운 ‘NO’
또, 지적 호기심이 강한 일부 학생들은 바이러스나 웜을 만들어 유포하기도 하고, 내부 서버 해킹을 시도하는 등 보안상의 다양한 문제가 나타나 이를 해결하기 위해 각각의 모듈이 하나의 기본 엔진에 통합된 하드웨어 일체형 통합 보안 제품 ‘포티게이트-500’을 도입했다. 전산원은 포티게이트-500의 기능 중 바이러스월, IPS, QoS, 방화벽 기능만을 사용하고 있다. 방화벽은 30개의 정책을 적용해 수문장 역할을, IPS는 해킹 트래픽 탐지 및 웜 트래픽 차단 역할을 한다.
악성코드 공격에도 네트워크 안전
숭실대 전산원은 포티게이트는 웜, 바이러스에 의한 유발 트래픽을 자동 차단해주고, QoS 기능이 있어 실습실별로 가상랜을 나누어 각각의 인터넷 대역폭을 적용해 네트워크의 안정성을 보장해주는 점이 만족스러웠다고 말했다.
숭실대 전산원은 포티게이트-500을 설치한 이후 단 한 번도 웜이나 바이러스에 의해 네트워크가 다운된 적이 없다. 2003년 최고의 악성 코드로 꼽히는 소빅, 두마루의 출현에도 전산원의 네크워크는 안전하게 유지되고 있다.
네트워크 전방위에서 능동적 방어 가능
LG필립스는 IPS 설치 위치는 가장 큰 피해를 입고 있는 방화벽 구간으로 결정하고 방화벽 부하를 효과적으로 차단할 수 있는 위치, 즉 내부 L4 스위치 밑에 위치시켜 내부 → 외부로 나가는 웜트래픽 및 IP가 변조된 스푸핑 패킷을 차단시킴으로써 방화벽 구간의 문제점을 해결했고 또한 최근 많이 퍼지는 e메일 관련 웜들에 대한 시그너처를 다수 반영시켜 외부->내부로 유입되는 웜들을 차단토록 설정하여 웜의 확산을 네트워크 전방에서 능동적으로 방어토록 구성했다. IPS 설치 후 LG필립스LCD는 잦은 네트워크 중단으로 인한 업무 지연 때문에 발생할 수 있는 악영향을 IPS 도입을 통하여 제거하고 안정적 네트워크 서비스 제공을 통한 내부 고객 만족도가 향상됐다.
Case Study 6. 한국전산원
초고속국가망 안정성·서비스 질 대폭 향상
한국전산원의 KIX(Korea Internet eXchange)망은 국내 ISP간, 해외 인터넷 연결을 위한 서비스망이기 때문에 신속한 트래픽 소통을 위한 최소한의 보안정책만이 적용돼 있었다. 그러나 전산원은 최근 방화벽 기반의 IPS 시스템인 시큐어닷컴의 ‘NXG4000’을 적용해 국내 인터넷 관문에서 갈수록 고도화되어지는 악성 공격 및 유해 트래픽을 사전에 차단키로 했다.
기 설치된 IDS와 연동으로 ROI 개선
우선 전산원은 IPS 설치로 전체 트래픽(900M~1.2G)의 5~6%정도의 유해 트래픽을 차단, 인터넷 관문에서 정상 트래픽에 섞여 들어오는 유해 트래픽을 차단하여 불필요한 대역폭 낭비 제거했다. 또 기 설치된 정보보호 기술의 ‘테스 IDS’ 시스템과 연동하여 인라인 및 오프라인 장비의 장, 단점을 최대한 활용하는 효율적인 방어 체계 구축, 기존 인프라의 활용도 제고 및 투자보호를 통한 ROI를 개선했다.
효율적 보안 정책 수립 가능
또 차단된 유해 트래픽을 방화벽의 보안 정책에 의한 것과 IAP(Intrusion Alert Protocol)를 이용한 IDS에 의한 것으로 분리하여 분석할 수 있어 명확하고 효율적인 보안 정책 수립이 가능해졌으며 상시 트래픽 모니터링을 통한 베이스라인 설정으로 갑작스런 유해 트래픽의 발생시에도 차단 정책을 통해 지속적인 서비스가 가능, 서비스의 질을 더욱 향상시킬 수 있게 됐다.
Case Study 7. S통신사
해커로부터 안전한 고객 요금 관리 서비스 유지 가능
S통신사의 네트워크는 전체 통신사의 수입을 관장하는 고객 요금에 관련된 네트워크로서 매우 중요한 자산이다. 평소에 웜의 다량 유입시 네트워크가 불안정했으며, 해커가 항상 목표로 할 수 있는 네트워크로 관리자들의 주의가 필요한 네트워크다.
네트워크 가용성 향상·안정화 달성
따라서 네트워크의 다운이나 지연은 통신사 자체의 매출에 바로 타격을 줄 수 있으며, 고객을 계속해서 유지하기가 힘든 상황이라 S통신사는 탑레이어의 ‘IPS 2000’를 도입, 유해트래픽으로 인한 네트워크 다운을 방지하기로 결정했다.
탑레이어의 IPS 2000은 다량으로 유입되던 웜이 없어짐으로써 네트워크의 가용성이 높아지고 해커로부터의 침입 위험성이 낮아지므로서 완벽한 고객 요금 관리 서비스를 유지할 수 있었다. 또한 비대칭 구조의 네트워크에서 발생할 수 있는 오탐 및 미탐을 제거함으로써 안전한 네트워크 운영이 가능케 됐다.
이중화 네트워크에도 IPS 구현
또한 탑레이어는 이중화 네트워크에 IPS가 도입된 사례가 거의 없는데 반해 S통신사의 이중화 네트워크에 IPS를 설치했다. 이로써 HA 구성으로 따로 IPS를 구성할 경우 발생할 수 있는 오탐과 미탐을 방지, 보다 안전하고 효율적인 IPS를 운영할 수 있게 됐다.
S통신사는 향후 타 네트워크 구간에도 IPS를 도입 예정이며, IPS를 이용하여 네트워크 사용 형태를 분석해 사내 네트워크 건전성을 높이는 데 활용할 예정이다.
IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안시스템
IDS: 특정 패턴을 기반으로 공격자의 침입을 탐지
IPS: 탐지된 공격을 block하여 적극적인 방어활동
가트너그룹의 정의: "IPS는 방지능력과 빠른 반응속도를 위해 인라인에 위치한 제품, 세션기반 탐지 지원, 다양한 종류의 방지 방법 및 방식(시그니처, 프로토콜 어노멀리, 액션 등)을 통해 악의적인 세션을 차단, 세션 기반 탐지를 지원한다"
-
IPS의 효과
- 웜과 해킹으로부터 유발되는 네트워크 서비스 장애제거
- 유해/불필요한 트래픽을 사전 차단하여 네트워크 비용절감
- 공격에 대한 적절한 대응및 사전 방어로 관리비용 절감
- OS나 애플리케이션의 취약점을 사전에 보완, 한층 높은 보안제공
-
기존 주력 제품라인에 따른 구분
- 방화벽 기반의 IPS
-체크포인트의 ‘인터셉트’, 시큐아이닷컴의 ‘NXG 시리즈’ 쥬니퍼의 "IDP"
- IDS 기반의 IPS
- 엔터라시스의 ‘드래곤 IPS’, 윈스테크넷의 ‘스나이퍼 IPS’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’
- 스위칭 기반의 IPS,
- 라드웨어 ‘디펜스프로’, 탑레이어 ‘AM IPS 5500’
- 바이러스월 기반의 IPS - 포티넷의 ‘포티게이트 시리즈’
-
하드웨어 타입에 따른 구분
- ASIC 기반 IPS
-티핑포인트의 ‘유니티원’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’
- 서버 기반 IPS
- 윈스테크넷의 ‘스나이퍼 IPS’, 정보보호기술의 ‘테스 IPS’,넷스크린의 ‘IDP 시리즈’
- 스위치 기반 IPS
-
설치구성상의 차이점에 따른 구분
- 인라인 IPS
-보호되어야할 시스템과 그 외의 네트워크 사이에서 L2 브리지처럼 작동하며 모든 트래픽은 브리지 장비와 달리 발견해내도록 취약점 검사를 수행한다- 한국ISS, 넷스크린, 티핑포인트, 윈스테크넷
- L7스위치
-침입차단 및 방어 기능에 로드밸런싱 등으로 트래픽을 효과적으로 조절한다는 측면에서 IDS 기반의 IPS보다 선호하는 고객도 많다. -라드웨어, 탑레이어 ,
- 호스트기반
-IPS,NA의 ‘인터셉트’, 조은시큐리티의 ‘싸이폴로’, 임퍼바의 ‘시큐어스피어’
- 하이브리드(Hybrid) 스위치
-호스트 기반의 IPS와 L7스위치의 특성을 함께 가지고 있으며- 앱실드(Appshild), 카바두(Kavado)
어떻게 선택할 것인가?
공격에 따라 적절히 대응하는 보안시스템이라는 유연성 측면에서 고려한다면 IDS 기반과 방화벽 기반, 바이러스월 기반 등의 IPS가 우세할 것이며,
네트워크 퍼포먼스, 성능 측면을 고려한다면 전용 네트워크 프로세서를 탑재한 제품이나 ASIC 기반과 스위칭 기반의 IPS를 선택하는 것이 좋을 것이다.
퍼포먼스보다 기능측면을 고려하는 소호 등의 소규모사이트라면 방화벽+IDS 등 별도의 부가기능이 추가된 통합적인 형태의 IPS를 구입하는 것도 좋은 대안이다.
업계의 한 전문가는 “고객들은 자사 네트워크에 맞게 성능의 가이드라인을 세우고 이에 맞는 제품을 선택해야한다”며 “우리 네트워크에서의 문제는 무엇인지, 웜·바이러스 등에 의한 문제가 가장 심각한지, 네트워크 가용성이 중요해 퍼포먼스를 우선해야 하는지 등을 따져보고 이미 기투자된 장비와의 연동성 등도 고려해 선택하는 것이 좋다”고 조언했다.
하지만 관련 전문가들은 IPS의 기준이 모호하고 다양한 분류에 대한 이견이 분분한 것에 대해 아직 IPS 시장이 본격 형성되지 않았고 선두 업체가 정해지지도 않았기 때문이라고 분석한다. 상반기를 지나 하반기쯤이면 IPS의 대형 레퍼런스가 탄생할 것이고 이를 선점하는 선두업체의 IPS 제품이 IPS의 모델로 시장에서 자연스럽게 자리잡혀 갈 것이라는 전망이다. 따라서 IPS 시장의 진입 초기인 현재의 복잡한 IPS 제품에 대한 분류는 올 하반기를 지나 내년경이면 정리되어 갈 것으로 예측된다.
한편 관련 전문가들은 사용자들이 IPS를 선정하는 기준으로 최근 가장 중요시하는 것은 웜 차단 기능과 퍼포먼스라고 전한다. 웜이 워낙 기승을 부려 웜에 대한 효과적인 차단기능이 필요해 IPS를 고려하는 경우가 많기 때문이다. 그리고 IPS가 네트워크단에 설치되기 때문에 가용성을 우선해 기가비트급 이상의 성능이 지원되는 ASIC이나 네트워크 프로세서 기반의 IPS 등을 선호한다는 것.
IPS는 패킷을 바이패스로 미러링해 침입을 탐지하는 IDS와 달리 네트워크의 패킷이 지나가는 길에 설치한다는 특성으로 인해 퍼포먼스가 고객의 최대 관심사가 되고 있다.
따라서 현재 출시되는 대부분의 IPS들이 기가급을 지원하고 있다. 최소 1Gbps 이상의 속도를 지원하며 올해부터 본격 구현되고 있는 10기가비트 네트워크를 겨냥해 10기가 이상의 속도를 낼 수 있는 IPS를 출시했거나 준비중도 업체들이 많다. 하지만 웜 차단이 IPS 기능의 전부가 아니고 웜이외에도 다양하게 발생할 수 있는 유해 트래픽과 관련된 IPS의 기능들을 눈여겨 봐야하며 피크타임시의 네트워크 대역폭이 최대 500Mbps 정도의 소규모 고객이 기가급 IPS만을 고집하는 것은 과투자가 될 수 있다. 따라서 자사의 네트워크를 잘 살펴보고 이에 맞는 제품을 고르는 지혜가 우선돼야 한다고 관련 전문가들은 지적하고 있다.
그러나 IPS의 필요성을 느끼는 가장 큰 부분이 바로 웜 차단이며, 전체 네트워크 환경을 고려해 기가급의 IPS를 선호하는 추세는 당분간 이어질 것으로 보인다. 실제로 관련 전문가들은 “현재 웬만한 대학이나 금융, 기업 등에서 기가급 이하의 네트워크를 찾아보기 힘들다”며 “어렵게 기가급 이상의 네트워크를 구축해놓고 저속의 IPS를 네트워크상에 설치해 전체 네트워크의 성능을 떨어뜨리고 싶어하는 고객은 없다. 방화벽도 이런 이유에서 기가로 올라가는 추세”라고 언급한다.
차세대 IPS에 필요한 10가지 조건
1. 고도의 정확성
- 모든 네트워크 트래픽에 대한 완벽하며 철저한 프로토콜 분석
- 레이어 3에서 레이어 7까지 전방위적인 상태유지(Stateful) 프로토콜 분석
- 알려진 익스플로잇(exploit)을 정확히 탐지할 수 있는 컨텍스트 기반 다중 트리거, 다중패턴 시그너처(signature) 매치
2. 단순한 탐지가 아닌 방지
- 인라인 운영: 공격을 실시간 탐지, 차단하려면 인라인 IPS가 센서를 데이터 트래픽 경로에 위치시켜 모든 패킷을 처리해야한다.
- 신뢰성 및 가용성 유지: 인라인 IPS의 경우 가동시간이 매우 중요해 안정적 IPS 센서가 필요하다.
- 고성능 제공: IPS에는 반드시 인라인 탐지 및 방지를 할 수 있는 처리능력, 예를 들면 패킷 지연시간은 1/1000초 이하로 최소화 되야 한다
- 세밀한 정책적용: IPS는 세밀한 정책설정으로 악의적 트래픽을 차단할지 결정해야한다
3. 광범위한 공격방지 적용
현재 또는 앞으로 나타날 모든 공격을 단 하나만으로 막아주는 마법같은 방지는 없다. IPS는 반드시 시그니처 탐지, 이상탐지 및 DoS 탐지 등을 이용, 광범위한 방어범위를 제공해야한다.
4. 관련된 모든 트래픽 분석
IPS에는 반드시 광범위한 데이터 캡처 모드를 사용할 수 있는 능력이 있어 탐지 및 방지용으로 모든 관련 트래픽에 액세스할 수 있어야한다.
5. 고도의 세밀한 탐지 및 대응
IPS는 특정 호스트에 대한 특정공격을 탐지할 수 있으며 이에 대한 대응책이 시행되도록 해야한다. 세밀성은 보안정책의 실행과 통제에 반드시 필요한 조건이다.
6. 유연한 정책관리
오늘날의 엔터프라이즈 네트워크에서 단일 정책은 쓸모가 없다. 세밀한 정책관리를 통해 트래픽을 논리적 그룹으로 나누고 특정공격에 대한 알맞은 대응을 수행해야 한다.
7. 확장 가능한 위험관리
IPS는 부하가 많은 상황에도 대응할 수 있는 확장성을 갖춤으로 모니터링할 트래픽, 경고 처리율의 증가를 지원할 수 있어야한다.
8. 고도의 사후조사 및 보고
데이터 퓨전에 기반한 강력한 포렌직(사후 조사) 관리는 사고 분석 및 관리를 지원하는데 필요한 인프라를 제공하며 모든 IPS의 필수 요소이다.
9. 최대 센서 가동시간
IPS의 가동시간은 안정적인 실시간 탐지 및 방지를 보장하기 위해 신뢰도 높은 센서 등으로 방화벽, 교환기, 라우터 등 보안 및 네트워크 장치와 비슷해야 한다.
10. ‘와이어 스피드’ 센서 성능
IPS는 복잡한 네트워크 패킷과 플로우를 검사하는 시스템으로 최고 처리 용량의 방화벽보다 몇 배 이상의 처리 능력을 갖추고 있어야 한다
==========================================================================================
IPS 이용사례
지난해부터 붐이 일어난 IPS는 이제 IDS냐 IPS의 논란 단계를 넘어 고객 사이트에 속속 구현되며 그
기능을 뽐내고 있다. IPS는 네트워크 구성을 변형시키지 않는 인라인 모드로 네트워크에 구현돼 유해 트래픽을 차단하는 것은 물론 이를 통해
네트워크의 안전성과 속도를 높여준다.
그러나 아직도 IPS가 과연 우리 네트워크에서 어떤 식으로 구현될 수 있는지, IPS를 구현하면 어떤 효과를 얻을 수 있는지 의문을 가진 고객들이 더 많을 것이다. 여기서는 IPS의 국내 실제 운영사례를 중심으로 IPS가 어떤 식으로 구현될 수 있으며 어떤 장점을 줄 수 있는지 알아본다.
Case Study 1. 광주시청
네트워크에서 발생 가능한 모든 위협 ‘걱정없다’
광주시청은 전산상으로 2개의 구역을 분리해 체계적인 정보관리를 하고 있어, 보안정책, 보안시스템 구축 시에도 각기 다른 방향으로 접근하고 있다. 2개 분리 구역은 광주시청의 내부 핵심 구간인 B구간과 읍·면·동 사업소, 남한산성, 보건지소 등 광주시청 관할 사업소를 연결하는 A구간이다.
이에 따라 A, B 각 구간과 인터넷 및 경기도청 행정망을 연결하는 구역에 각각 윈스테크넷의 스나이퍼 IPS를 구축해 자체 구조에 적합한 보안정책 설정과 IPS를 통한 능동적 대응으로 보안성을 강화하게 됐다.
그러나 아직도 IPS가 과연 우리 네트워크에서 어떤 식으로 구현될 수 있는지, IPS를 구현하면 어떤 효과를 얻을 수 있는지 의문을 가진 고객들이 더 많을 것이다. 여기서는 IPS의 국내 실제 운영사례를 중심으로 IPS가 어떤 식으로 구현될 수 있으며 어떤 장점을 줄 수 있는지 알아본다.
Case Study 1. 광주시청
네트워크에서 발생 가능한 모든 위협 ‘걱정없다’
광주시청은 전산상으로 2개의 구역을 분리해 체계적인 정보관리를 하고 있어, 보안정책, 보안시스템 구축 시에도 각기 다른 방향으로 접근하고 있다. 2개 분리 구역은 광주시청의 내부 핵심 구간인 B구간과 읍·면·동 사업소, 남한산성, 보건지소 등 광주시청 관할 사업소를 연결하는 A구간이다.
이에 따라 A, B 각 구간과 인터넷 및 경기도청 행정망을 연결하는 구역에 각각 윈스테크넷의 스나이퍼 IPS를 구축해 자체 구조에 적합한 보안정책 설정과 IPS를 통한 능동적 대응으로 보안성을 강화하게 됐다.
광주시청 IPS 네트워크 구성도
네트워크 성능 저하 없이 보안정책 적용
광주시청은 당시 IPS의 필요성은 인지하고 있었지만, 구축 후 망구조의 변화와 트래픽 성능 저하를 우려했다. 이에 윈스테크넷은 기존 네트워크의 라우터와 스위치 사이에 IPS를 설치하는 물리적 망구성과 패킷 우회경로 지정기능을 적용한 논리적 망구성을 병행해 광주시청 네트워크 특성에 효과적인 보안정책을 제시했다.
설치 시, IPS를 경유하도록 연결을 재구성하는 것 이외에 어떠한 물리적인 변경도 하지 않아, 공공기관으로서의 업무 연속성을 유지하면서도 적극적인 보안정책 설정이 가능해졌다.
또한 감시, 차단 대상 네트워크에 어떠한 패킷도 발생시키지 않고, 스나이퍼 IPS를 통과한 정상 패킷에 대해서는 맥 어드레스를 포함한 변경도 일으키지 않음으로써 신규 시스템 설치로 인한 네트워크 정상작동 방해 가능성을 제거했다. 또 IPS의 FOD(Fail Over Device) 기능을 적용해 네트워크 단절을 복구, 네트워크의 안정성을 높였다.
Case Study 2. 한미은행
외부 유해 트래픽 완전 차단으로 고객 보호 ‘이상 무’
한미은행은 외부에서 발생되어 금융권으로 들어오는 각종 웜 바이러스와 악의적인 공격에 대해 방어하고 내부에서 발생되는 유해 트래픽을 감지, 차단 조치하고자 IPS 구축사업을 진행, ‘라드웨어의 애플리케이션 스위치(ASⅢ)’ 도입을 결정했다.
IPS 오작동시에도 네트워크 영향 無
AS III는 네트워크 상에서 일어나는 어떠한 형태의 IP나 웹서비스 애플리케이션에 대해 멀티 기가비트 속도의 보안성을 제공하는 다기능 장비로써 포괄적인 트래픽 전달과 실시간 침입방지 및 멀티 기가비트 속도의 DoS/DDoS 공격 차단기능 등을 제공한다.
이를 활용해 한미은행은 AS III의 구축이 완료되면, 외부로부터 유입되는 유해 트래픽을 완벽히 차단해 고객 및 내부 사용자 보호에 만전을 기할 수 있을 것으로 기대하고 있다.
한미은행 IPS 네트워크 구성도
자동업데이트로 최적 보안상태 유지
한미은행의 IPS 구축사업은 현재 진행중이지만 구축이 완료되면 각종 서버와 라우터 등의 내부자원에 대한 방어 및 차단은 물론이고 내부정보 유출 차단, 내부 유해트래픽 자동 감지로 네트워크를 원천적으로 보호할 수 있게 된다. 또 새로운 바이러스 패턴에 대한 자동 업데이트로 항상 최적의 보안상태를 유지할 수 있으며 보고서 분석으로 유해트래픽의 통계적 관리가 가능하다.
Case Study 3. 구리시청
시정 기밀정보·시민 신상 중요정보 해킹 걱정 ‘끝’
구리시청과 같은 지방자치단체는 상위 관청의 통합 전산망의 일부로 자체 규모는 작으나, 하위에 크고 작은 기관을 관리하고 있어 자체적인 보안관리가 중요해짐에 따라 IPS를 도입하게 됐다.
각 동·출장소 등에서 발생되는 유해 트래픽 차단
구리시청은 시정에 관련된 기밀정보, 시민 개개인의 신상에 관한 중요정보를 보관하고 타 관공서간에 중요한 자료들이 네트워크 상에서 교환되는 등 철저한 보안이 시급한 상황이었다. 또한 각동 출장소 등에서 발생되는 불법적이고 치명적인 유해 트래픽 역시 증가하고 있어 이에 대한 대비책도 시급했다.
이를 시정하기 위해 구리시청은 센타비전의 ‘랩투스 ICS’를 도입, 유해트래픽에 의한 대민서비스 장애를 예방하며 시민정보에 대한 안정성을 높였다.
구리시청 IPS 네트워크 구성도
불필요한 네트워크 트래픽 해소
구리시청은 IPS 도입의 가장 큰 효과로 내부정보 유출을 원천적·능동적으로 차단할 수 있는 점을 꼽는다. 또 불필요하게 네트워크 자원을 소모시키는 트래픽을 해소하고 세션상태 실시간 체크, 차단, 탐지정보, 네트워크 자원 소모량, 트래픽 원인 파악 등의 리포팅으로 네트워크상의 문제점을 제거하고 보다 빠르게 안전한 대민서비스를 개시할 수 있어 만족하고 있다.
Case Study 4. 숭실대
통합보안제품으로 보안 걱정 한방에 ‘끝’
숭실대 전산원은 바이러스, 웜, 트로이 목마 등의 공격으로 인한 트래픽 부하로 하루에도 2∼3번씩 네트워크 다운에 시달렸다. 컴퓨터 실습실은 많은 학생들이 공통으로 사용하다 보니 설치해놓은 백신 소프트웨어를 임의대로 삭제해 바이러스나 웜에 무방비 상태로 노출되기 일쑤였다.
웜·트래픽 공격으로 인한 네트워크 다운 ‘NO’
또, 지적 호기심이 강한 일부 학생들은 바이러스나 웜을 만들어 유포하기도 하고, 내부 서버 해킹을 시도하는 등 보안상의 다양한 문제가 나타나 이를 해결하기 위해 각각의 모듈이 하나의 기본 엔진에 통합된 하드웨어 일체형 통합 보안 제품 ‘포티게이트-500’을 도입했다. 전산원은 포티게이트-500의 기능 중 바이러스월, IPS, QoS, 방화벽 기능만을 사용하고 있다. 방화벽은 30개의 정책을 적용해 수문장 역할을, IPS는 해킹 트래픽 탐지 및 웜 트래픽 차단 역할을 한다.
숭실대 IPS 네트워크 구성도
악성코드 공격에도 네트워크 안전
숭실대 전산원은 포티게이트는 웜, 바이러스에 의한 유발 트래픽을 자동 차단해주고, QoS 기능이 있어 실습실별로 가상랜을 나누어 각각의 인터넷 대역폭을 적용해 네트워크의 안정성을 보장해주는 점이 만족스러웠다고 말했다.
숭실대 전산원은 포티게이트-500을 설치한 이후 단 한 번도 웜이나 바이러스에 의해 네트워크가 다운된 적이 없다. 2003년 최고의 악성 코드로 꼽히는 소빅, 두마루의 출현에도 전산원의 네크워크는 안전하게 유지되고 있다.
Case Study 5.
LG필립스LCD
네트워크 중단에 의한 업무지연 ‘ IPS ’로 해결
LG필립스LCD는 국내 공장들이 전용선으로 연결되어 있고 전체 인터넷 트래픽이 하나의 관문을 통하여 외부로 나가게 되는 형태로 네트워크가 구성되어 있다. 최상단의 라우터, L4, 이중화 방화벽, L4 순으로 FLB 구성돼 있으며 정상상태에서는 문제없으나 내부에서 웜 트래픽이 유발이 되면 방화벽이 다운되는 문제가 빈번하게 발생했다.
웜 바이러스로 인한 대응방안 부재
또한 내부 바이러스 방역시스템으로 해외 및 외국업체의 백신을 사용하고 있었으나 국외 영업법인과의 연계 때문에 외국의 최신 웜이 국내망으로 유입되거나 특정 웜에 의한 스푸핑이 발생하면 네트워크 레벨에서 적절한 대응 방법을 찾을 수 없어 고심하고 있는 상황이었다. 따라서 LG필립스LCD는 내부/외부에서 발생되는 웜 트래픽에 효과적으로 지속적인 네트워크 서비스가 가능하도록 IPS 도입을 결정했다.
네트워크 중단에 의한 업무지연 ‘ IPS ’로 해결
LG필립스LCD는 국내 공장들이 전용선으로 연결되어 있고 전체 인터넷 트래픽이 하나의 관문을 통하여 외부로 나가게 되는 형태로 네트워크가 구성되어 있다. 최상단의 라우터, L4, 이중화 방화벽, L4 순으로 FLB 구성돼 있으며 정상상태에서는 문제없으나 내부에서 웜 트래픽이 유발이 되면 방화벽이 다운되는 문제가 빈번하게 발생했다.
웜 바이러스로 인한 대응방안 부재
또한 내부 바이러스 방역시스템으로 해외 및 외국업체의 백신을 사용하고 있었으나 국외 영업법인과의 연계 때문에 외국의 최신 웜이 국내망으로 유입되거나 특정 웜에 의한 스푸핑이 발생하면 네트워크 레벨에서 적절한 대응 방법을 찾을 수 없어 고심하고 있는 상황이었다. 따라서 LG필립스LCD는 내부/외부에서 발생되는 웜 트래픽에 효과적으로 지속적인 네트워크 서비스가 가능하도록 IPS 도입을 결정했다.
LG필립스LCD IPS 네트워크 구성도
네트워크 전방위에서 능동적 방어 가능
LG필립스는 IPS 설치 위치는 가장 큰 피해를 입고 있는 방화벽 구간으로 결정하고 방화벽 부하를 효과적으로 차단할 수 있는 위치, 즉 내부 L4 스위치 밑에 위치시켜 내부 → 외부로 나가는 웜트래픽 및 IP가 변조된 스푸핑 패킷을 차단시킴으로써 방화벽 구간의 문제점을 해결했고 또한 최근 많이 퍼지는 e메일 관련 웜들에 대한 시그너처를 다수 반영시켜 외부->내부로 유입되는 웜들을 차단토록 설정하여 웜의 확산을 네트워크 전방에서 능동적으로 방어토록 구성했다. IPS 설치 후 LG필립스LCD는 잦은 네트워크 중단으로 인한 업무 지연 때문에 발생할 수 있는 악영향을 IPS 도입을 통하여 제거하고 안정적 네트워크 서비스 제공을 통한 내부 고객 만족도가 향상됐다.
Case Study 6. 한국전산원
초고속국가망 안정성·서비스 질 대폭 향상
한국전산원의 KIX(Korea Internet eXchange)망은 국내 ISP간, 해외 인터넷 연결을 위한 서비스망이기 때문에 신속한 트래픽 소통을 위한 최소한의 보안정책만이 적용돼 있었다. 그러나 전산원은 최근 방화벽 기반의 IPS 시스템인 시큐어닷컴의 ‘NXG4000’을 적용해 국내 인터넷 관문에서 갈수록 고도화되어지는 악성 공격 및 유해 트래픽을 사전에 차단키로 했다.
기 설치된 IDS와 연동으로 ROI 개선
우선 전산원은 IPS 설치로 전체 트래픽(900M~1.2G)의 5~6%정도의 유해 트래픽을 차단, 인터넷 관문에서 정상 트래픽에 섞여 들어오는 유해 트래픽을 차단하여 불필요한 대역폭 낭비 제거했다. 또 기 설치된 정보보호 기술의 ‘테스 IDS’ 시스템과 연동하여 인라인 및 오프라인 장비의 장, 단점을 최대한 활용하는 효율적인 방어 체계 구축, 기존 인프라의 활용도 제고 및 투자보호를 통한 ROI를 개선했다.
한국전산원 IPS 네트워크 구성도
효율적 보안 정책 수립 가능
또 차단된 유해 트래픽을 방화벽의 보안 정책에 의한 것과 IAP(Intrusion Alert Protocol)를 이용한 IDS에 의한 것으로 분리하여 분석할 수 있어 명확하고 효율적인 보안 정책 수립이 가능해졌으며 상시 트래픽 모니터링을 통한 베이스라인 설정으로 갑작스런 유해 트래픽의 발생시에도 차단 정책을 통해 지속적인 서비스가 가능, 서비스의 질을 더욱 향상시킬 수 있게 됐다.
Case Study 7. S통신사
해커로부터 안전한 고객 요금 관리 서비스 유지 가능
S통신사의 네트워크는 전체 통신사의 수입을 관장하는 고객 요금에 관련된 네트워크로서 매우 중요한 자산이다. 평소에 웜의 다량 유입시 네트워크가 불안정했으며, 해커가 항상 목표로 할 수 있는 네트워크로 관리자들의 주의가 필요한 네트워크다.
네트워크 가용성 향상·안정화 달성
따라서 네트워크의 다운이나 지연은 통신사 자체의 매출에 바로 타격을 줄 수 있으며, 고객을 계속해서 유지하기가 힘든 상황이라 S통신사는 탑레이어의 ‘IPS 2000’를 도입, 유해트래픽으로 인한 네트워크 다운을 방지하기로 결정했다.
탑레이어의 IPS 2000은 다량으로 유입되던 웜이 없어짐으로써 네트워크의 가용성이 높아지고 해커로부터의 침입 위험성이 낮아지므로서 완벽한 고객 요금 관리 서비스를 유지할 수 있었다. 또한 비대칭 구조의 네트워크에서 발생할 수 있는 오탐 및 미탐을 제거함으로써 안전한 네트워크 운영이 가능케 됐다.
S통신사 IPS 네트워크 구성도
이중화 네트워크에도 IPS 구현
또한 탑레이어는 이중화 네트워크에 IPS가 도입된 사례가 거의 없는데 반해 S통신사의 이중화 네트워크에 IPS를 설치했다. 이로써 HA 구성으로 따로 IPS를 구성할 경우 발생할 수 있는 오탐과 미탐을 방지, 보다 안전하고 효율적인 IPS를 운영할 수 있게 됐다.
S통신사는 향후 타 네트워크 구간에도 IPS를 도입 예정이며, IPS를 이용하여 네트워크 사용 형태를 분석해 사내 네트워크 건전성을 높이는 데 활용할 예정이다.
전용선/ VPN 전용선/ 인터넷 전화/ 멀티PC/ NDAS - '소프트마트' : http://www.soft-mart.co.kr
'scrap' 카테고리의 다른 글
| XP 네트워크 명령어 (0) | 2010.04.18 |
|---|---|
| IDS (0) | 2010.03.27 |
| IPS (0) | 2010.03.27 |
| [안철수연구소 칼럼] 바이러스 및 악성코드와 백신의 미래 (0) | 2010.03.19 |
| [안랩] 파일 기반의 탐지기법 (0) | 2010.03.19 |