안녕하세요 !
이번 글에서는 침입 탐지 시스템에 대해서 글을 써보려고 합니다.
침입 탐지 시스템에서 방화벽은 보안에서 가장 기본적인 시스템이지만 실제로 방화벽이 차단할 수 있는 해킹 공격은 30%밖에 되지 않습니다. PC를 사용할 때 윈도우 방화벽을 설치해도 악성 코드에 감염되는 이유도 바로 이것 때문입니다.
그래서 PC 의 경우 백신 등을 설치하여서 PC에 일어나는 이상 활동을 감시하는데 네트워크에서는 침입 탐지 시스템이 백신과 유사한 역할을 합니다.
침입 탐지 시스템은 설치 위치와 목적에 따라서 호스트 기반의 침입 탐지 시스템 ( HIDS ) 와 네트워크 기반의 침입 탐지 시스템 ( NIDS ) 로 구분할 수 있습니다.
1. 침입 탐지 시스템의 주요 기능
1) 데이터 수집
호스트 기반의 침입 탐지 시스템 ( HIDS ) 은 윈도우나 유닉스 등의 운영체제에 부가적으로 설치 및 운용되거나 일반 클라이언트에 설치가 된다. 그리고 운영체제에 설정된 사용자 계정에 따라서 어떤 사용자가 어떤 접근을 시도하고 어떤 작업을 했는지에 대한 기록을 남기고 추적합니다.
네트워크 기반 침입 탐지 시스템 ( NIDS ) 는 네트워크에서 하나의 독립된 시스템으로 운용되며, 일반적으로 이것을 침입 탐지 시스템의 기본으로 본다. NIDS 는 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않고 HIDS 로는 할 수 없는 네트워크 전반에 대한 감시를 할 수 있으며 감시 영역이 상대적으로 크다. 또한, IP 주소를 소유하고 있지 않기 때문에 해커의 직접적인 공격을 거의 완벽하게 방어할 수 있고 존재 사실도 숨길 수 있습니다. 하지만 공격에 따른 결과를 알 수 없고 암호화된 내용을 검사할 수 없습니다. 따라서 스위칭 환경에서 NIDS 를 설치하려면 다른 부가 장비가 필요하며, 10Gbps 이상의 고속 네트워크에서는 네트워크 카드 등의 하드웨어적인 한계로 네트워크의 모든 패킷을 검사하기 어렵다는 단점이 있습니다.
2) 데이터 필터링과 축약
HIDS 와 NIDS에 의해 수집된 침입 관련 데이터를 한 곳에 모아서 관리하면 데이터를 상호 연관시켜서 조금 더 효과적으로 분석함으로써 공격에 빠르게 대응 할 수 있습니다.
3) 침입 탐지
침입 탐지 기법은 다양하지만 크게 오용 탐지와 이상 탐지가 있습니다. 오용 탐지 기법은 기본적으로 이미 발견되고 정립된 공격 패턴을 미리 입력해두었다가 여기에 해당하는 패턴이 탐지되면 알려주는 것이다. 따라서 비교적 오탐률이 낮고 효율적이지만, 알려진 공격 외에는 탐지할 수 없고 대량 데이터를 분석하는데는 부적합하며 어떤 순서로 공격을 했는지에 따라서 정보를 얻기 힘들다.
오용 탐지 기법의 또 다른 형태인 상태 전이 방법은 공격 상황에 대한 시나리오를 작성해두고 각각의 상태에 따른 공격을 분석하는 것 입니다. 이것은 결과가 매우 직관적이지만 세밀한 시나리오를 만들기가 어렵고 추론 엔진이 포함되어서 시스템에 부하를 줄 수 있습니다.
이상 탐지 기법은 정상적이고 평균적인 상태를 기준으로 했을 때 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생하면 알려주는 것 입니다. 이상 탐지 기법으로 정량적 분석, 통계적 분석, 비특성 통계 분석 등이 사용됩니다.
4) 책임 추적 및 대응
침입 탐지 시스템은 기본적으로 침입을 알려주는 시스템으로 과거에는 침입에 대한 능동적인 기능이 별로 없고 공격을 발견하면 관리자에게 알람 등의 방법으로 알려주는 정도 였습니다. 그렇지만 최근에는 침입자의 공격을 역추적하여서 침입자의 시스템이나 네트워크를 사용하지 못하게 하는 능동적인 기능이 많이 추가되고 있습니다. 따라서 침입 탐지 시스템은 책임 추적성과 대응 기능을 가졌다고 할 수 있습니다. 이처럼 능동적인 기능을 많이 탑재한 침입 탐지 시스템을 IPS 라고 합니다.
끝