보안 시스템 장비 (정리)

이전 포스팅에서 보안시스템중 UTM을 통하여 환경구성을 해보았는데요. 아래와 같이 각 장비와 시스템에 대해 알아볼 것 입니다.

방화벽, IDS, IPS, VPN, ESM, NAC, WAF, DDos 대응 시스템, UTM, APT 대응 시스템에 대한 개념, ,기능 , 원리 등에대해서 정리해보았습니다.

1) 방화벽 (Firewall)

1) 개념 : 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다. (OSI 7 Layer의 Network Layer, Transport Layer에서 동작한다.)

1-1) 방화벽은 일반적으로 신뢰할 수 있는 내부 네트워크, 신뢰할 수 없는 외부 네트워크(예: 인터넷) 간의 장벽을 구성한다.

1-2) 서로 다른 네트워크를 지나는 데이터를 허용하거나 거부하거나 검열, 수정하는 하드웨어나 소프트웨어 장치이다

 

2) 기능

2-1) 패킷 필터 및 접근제어

패킷을 검사하여 미리 설정된 (IP, Portservice, Protocol 등) 정책에 맞지않을 경우 통과시키지 않도록 하고 누가 또는 무엇이 어떠한 객체에 접근할 수 있는지를 정의하는 개념과 동시에 그러한 것을 구현하게 해준다.

2-2) 인증

다중 사용자 시스템 또는 망 운용 시스템에서, 시스템이 단말 로그인 정보를 확인하는 보안 절차, 인증 서비스는 통신이 신뢰성을 갖도록 보증하는 것이 중요.

2-3) 로깅 및 감사추적

방화벽을 지나간 허가나 거부된 접근에 대한 기록을 유지하여 사고가 있을 시 추적하고, 방화벽을 지나는 네트워크와 트래픽 내용을 일정한 형식에 맞추어 기록하여 침해사고 발생 시 로깅된 데이터를 이용하여 다른 정보를 분석하여 해결 할 수 있는 정보를 얻을 수 있다.

2-4) NAT (Network Address Translation)

내부 네트워크에서 사용하는 IP 주소와 외부에 드러나는 주소를 다르게 유지할 수 있기 때문에 내부 네트워크에 대한 어느 정도의 보안 기능을 한다.

3) 역사

1) 1세대 방화벽 패킷 필터(Packet Filtering)

패킷 자체만을 보고 미리 설정된 정책에 따라 허용 또는 거부를 결정하는 방화벽이다.

IP / PORT 기반으로 미리 정의해둔 룰을 기반으로 패킷을 필터링 하며 내부 세션은 관리하지 않는다.

단점 : 정책을 기반이기 때문에 느리고 우회접근, 패킷 헤더 조작, TCP 헤더의 Data 영역을 확인하지 않기 때문에 바이러스에 감염된 메일에 취약

2) 2세대 스테이트풀 익스펙션 (Stateful Inspection)

1세대 방화벽의 단점을 극복하기 위해 나온 방법으로 세션 단위의 검사를 한다.

네트워크 트래픽과 관련된 모든 상태 채널을 상태목록에 유지시킨 후 누가, 언제, 어느 때 사용하였는지, 어느 때 거절당했는지, 어떤 경로를 통해 접속하였는지 등에 대해 분석하고 패킷의 수락 여부를 결정한다.

3) 3세대 어플리케이션 방화벽

패킷 필터 기능의 방화벽으로는 일상적인 트래픽과 같은 진화하는 공격 패턴을 막기 어려워지면서 출현한 방화벽.

 

 

2. 네트워크 침입탐지시스템 (IDS, Intrusion Detection System)

1)개념 : 시스템/네트워크에서 발생하는 이벤트들을 모니터링하고, 침입 발생 여부를 탐지하고, 대응하는 자동화된 시스템이다.

 

2)기능 :

2-1)시스템, 네트워크의 모니터링

2-2)네트워크의 전용선과 생산성 향상 및 남용방지

2-3)정책에 의한 특정 서비스의 차단 및 로깅

2-4)침입 분석 및 네트워크 사용 분석, 저장,통계 작성 후 보고

2-5)실시간 로그인 및 경고

2-6)침입 테스트

 

3)침입 탐지시스템의 종류와 특징

3-1)호스트 기반 IDS

장점: 네트워크 기반 IDS 에서는 탐지 불가능한 침입 탐지 가능 ,우회 가능성이 거의 없음, 고부하/스위치 네트워크에도 사용 가능

단점: 모든 개별 호스트에 대한 설치 및 관리가 어려움,  IDS가 설치된 플랫폼의 성능 저하,

네트웍 스캔 등과 같은 네트워크 전체에 대한 탐색행위를 탐지하기에 부적합

3-2)네트워크 기반 IDS

장점: 호스트 기반 IDS 에서는 탐지 불가능한침입 탐지 가능, 전체 네트워크에 대한 침입 탐지 가능, 기존 네트워크 환경의 변경 필요 없음

단점: 탐지된 침입의 실제 공격 성공 여부를 알지 못함, 고부하/스위치 네트워크에는 적용 어려움, 암호화된 패킷은 탐지 불가

3-3)하이브리드 (Hybrid)

장점: 네트웍과 호스트 IDS의 장점을 모두 갖고 있음, 네트웍과 호스트의 개별 감시 및 통합 감시가 가능, 시차를 두고 여러 네트웍에 이루어지는 것과 같은 복잡한 형태의 공격도 판단할 수 있다.

단점: 단일 호스트 기반, 네트웍 기반등이 상호 연동할 수 있는 업계 표준이 없다, 설치 및 관리가 훨씬 어렵다.

3-4)수동적 대응행동: 관리자에게는 침입 정보만 제공, 실제 대응행동은 제공된 정보를 기초로 관리자가 수행, 대부분의 사용제품에서 사용

종류: 알림 및 경보, SNMP Trap 등

3-5)반응적 대응행동: 실제 대응행동을 IDS가 자동적으로 수행, 진행 중인 침입의 추가적인 진행 차단, 침입자에 의한 추가적인 공격 차단

침입자 세션 종료: TCP Reset 이용

라우터(router) 또는 Firewall 재설정

- 종류: 환경 변경, 침입자에 대한 역공격 등

 

 

3. 네트워크 침입방지시스템 (IPS, Intrusion Prevention System)

1)개념 : 침입 방지 시스템으로써 자체적으로 내장된 각종 해킹수법을 기반으로 비정상적인 트래픽에 대해 능동적으로 해당 트래픽을 차단, 격리 등 방어조치를 취하는 보안 시스템,

다양한 방법의 보안기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막고, 유해 트래픽을 차단하기 위한 능동형 보안 솔루션, IPS는 예방적이고 사전에 조치를 취하는 기술이며, IPS는 기존의 트래픽 유통에 직접 관여해야만 한다.

 

2)방식

2-1) 미러 방식(mirror)

스위치나 TAP 장치를 이용하여 IDS/IPS로 패킷을 전달 받아 탐지를 진행하는 방식이다.

2-2)인라인 방식(Inline)

네트워크 통로에 들어가서 패킷을 직접적으로 관리하는 방식입니다.

IPS 를 통과하는 패킷 중 비정상적이거나 악용 된 패킷은 차단됩니다.

 

3) 종류와 특징

3-1) SignatureBased IPS [지식 기반]

-각각의 공격에 대하여 정확한 Signature을 정의하고 해당 공격 패턴에 매칭이 되어야만 차단을 시행

-알려지지 않은 공격의 경우 정확한 Signature List가 업데이트되어 있지 않으면 차단이 불가능한 단점이 있으나 오탐 가능성은 적다.

3-2) HeuristicsBased IPS [행위 기반]

-Anomaly Detection/Prevention 방식이라고도 한다.

-알려지지 않은 공격을 수집하여 정보를 이용하여 오탐을 줄이고 능동적으로 대처하는 방식

3-3) Switch 기반

-WORM / (D) DOS 등 알려지지 않은 공격 차단에 중심

-성능적인 측면을 강조

-알려진 공격 차단 및 대응 기능 미비

3-4) Firewall 기반

-기존의 ACL에 기반한 침입차단 기능에 알려진 WORM이나 DOS 공격 탐지 모듈 추가

-유해정보차단 측면을 강조

-알려진 WORM 이나 DOS 이외의 공격 차단 및 대응 기능 미비

 

 

4.VPN (가상사설망, Virtual Private Network)

1)개념: 덩치 큰 집단의 여러 곳에 퍼져있는 컴퓨터들을 잇는 사설 네트워크를 만들 때, 일일이 전선으로 연결하기는 돈이 많이 들고 물리적으로 보안에 취약하므로, 그 대신 인터넷 네트워크와 암호화 기술을 이용하여 통신 시스템 (대표적인 기계 라우터)

 

2) 원리

2-1)간단하게 설명해서 인터넷 공유기가 한 대 있다고 가정하자.[1]

2-2)공유기와 이 공유기에 연결되어 있는 모든 컴퓨터는 하나의 네트워크에 속하게 된다.

2-3)하나의 네트워크 즉, LAN에 연결되어 있는 모든 장치들은 사설IP를 할당받게 되고, 각 장치 사이에 통신은 사설IP를 통해서 이루어지게 된다.

2-4)이 공유기가 인터넷에 연결되어 있는 경우, 공유기는 인터넷으로부터 할당받은 공인IP를 이용하여 인터넷과 통신하게 된다.

2-5)인터넷이 알 수 있는 것은 공인IP를 할당받은 기기까지의 경로뿐이며, 사설IP의 존재는 알지 못한다. 따라서 인터넷에서는 사설IP를 할당받은 컴퓨터까지의 경로를 탐색하는 것이 불가능하고, 이는 인터넷에서 사설IP를 할당받은 컴퓨터에게 패킷을 전달할 수 없다는 것을 의미한다.

2-6)통신이 이루어진다는 것은 패킷을 주고 받는 일이기 때문에, 사설IP를 할당받은 컴퓨터가 인터넷에 패킷을 보낼 수는 있어도 인터넷에서는 사설IP를 할당받은 컴퓨터에게 패킷을 보내지 못하게 된다는 것은, 인터넷과 사설IP를 할당 받은 컴퓨터가 서로 통신할 수 없다는 것을 의미한다.

2-7)사설 IP를 할당받은 컴퓨터가 인터넷과 통신하기 위해서는 공인IP를 이용해야 하는데, 이 과정은 해당 컴퓨터가 사설IP로 인터넷에 패킷을 보내면 공유기가 해당 패킷에 적혀있는 사설IP를 공인IP로 바꿔줌으로써 알아서 처리해준다. 또한 인터넷에서 오는 패킷의 목적지도 해당하는 사설IP주소로 알아서 변경한 후에 전달해 준다.

2-8)공유기를 이용하여 VPN을 구축한 경우, 이 공유기를 VPN서버라고 부를 수 있다.

2-9)LAN 외부의 컴퓨터가 공유기를 이용해서 구축한 VPN을 이용하게 되면, 그 컴퓨터에서 오고 가는 모든 패킷은 공유기를 거치게 된다. VPN에 접속한 컴퓨터에서는 패킷을 보낼 때 특정 프로토콜에서 명시한 형태로 가공한 후 공유기로 전달한다. 공유기가 가공된 패킷을 전달 받은 후 원래 내용으로 되돌리는 과정에서 보낸 곳의 IP주소를 추가로 할당한 사설IP주소로 변경하게 된다. 그리고 공유기는 그 패킷을 다음 경로로 전달하는 행위를 한다.

2-10)VPN에 접속한 컴퓨터가 보낸 패킷이 공유기로 전달된 후에, 공유기가 그 패킷을 다시 전달하는 시점에서는 사설IP를 이용하게 되므로, VPN에 접속한 컴퓨터에 추가로 사설 IP를 할당한 것과 같은 효과가 있다.

2-11)VPN에 접속한 컴퓨터는 LAN내부의 기기들과 같은 네트워크의 사설IP를 사용하게 됨으로써, LAN에 속한 컴퓨터와 통신을 할 수 있게 된다.

2-12)VPN에 접속한 컴퓨터에서 인터넷으로 보내는 패킷은, 사설IP를 할당받은 컴퓨터가 인터넷과 통신하는 과정과 동일하게 이루어진다. 따라서 공유기가 인터넷에 전달하는 패킷에는 공유기가 할당받은 공인 IP를 이용하게 된다.

 

 

 

5. 통합보안관리시스템 (ESM, Enterprise Security Management)

1) 개념: 기업 업무의 연속성을 위한 네트워크, 시스템 등의 주요 인프라에 대한 위협 요인을 사전에 분석하여 예방하고, 위협 요인 발생시 적절히 대응하기 위한 시스템

 

2) 기능 :

2-1) 보안 정책 수립: 전체 조직에 대한 보안 정책 수립

2-2)통합 보안 관제: 이벤트 모니터링, 시스템 운영 관리, 관리 보고서 작성

2-3)위험 분석: 각 보안 제품별 탐지 패턴분석, 탐지된 위험에 대한 분류, 시스템 위험도 기준 설정

2-4)침해 사고 대응: 위험 수준에 따른 수동적/능동적 침해 사고 대응

 

3)ESM의 등장배경

보안의 개념은 처음에는 침입차단시스템(Firewall) 수준을 넘지 못했지만 최근의 보안은 침입차단, VPN, IDS, 시스템 보안, 인증, 안티 바이러스, 데이터 백업에 이르기까지 전문화하는 양상을 보이고 있다. 보안의 핵심이 보안 제품 적용 후 적절한 보안정책에 따른 유지 관리라는 것은 주지의 사실임을 감안할 때 이 같은 전문적이고 세분화된 제품의 통합 보안관리에 대한 요구.

 

4) 구조

4-1) 1계층: Agent

보안장비, 시스템장비, 네트워크 장비 등에 탑재되어 사용

사전에 정의된 규칙에 의한 이벤트 수집 및 보안정책 반영

수집된 이벤트 데이터를 Manager로 전달 및 통제 받음

4-2) 2계층: Manager

사전에 정의된 규칙에 의한 이벤트 데이터 분석 및 저장

다양한 정책에 대한 분석, 저장 및 관리자 Console로 리포팅 기능

4-3) 3계층: Console

Manager에 의해 전달된 자료의 시각적 정보 전달 및 판단

Manager에 대해 규칙을 설정하도록 통제

 

6)네트워크접근제어시스템 (NAC, Network Access Control)

1) 개념: 일련의 프로토콜들을 사용해 '엔드포인트(Endpoint)'가 처음 내부망 네트워크에 접근시도를 할 때 기존 내부망에 피해를 끼치지 않도록 접속하는 '엔드포인트'에 일련의 보안 정책을 적용할 수 있도록 하는 컴퓨터 네트워킹 솔루션이다.

 

2)주요기능

2-1) 안전검사(검역기능): Endpoint의 백신보호레벨 및 시스템 패치레벨, 기업의 정책이 맞는지를 검사

2-2) 인증관리: Endpoint의 사용자 네트워크 접근에 대한 인증을 수행함

2-3) 권한관리: Endpoint의 사용자 기준 물리적인 접근을 제어

2-4) 모니터링: 접속후에도 접속 단말의 행위 분석 및 필요시 격리, 치료

유해 트래픽 탐지 및 차단, 해킹 행위 차단, 완벽한 증거 수집

2-5) 장치 통제: 백신 관리, 패치 관리, 자산 관리(비인가 시스템 자동 검출)

 

3)인증절차

1.네트워크 접근요청: 접속하고자 하는 PC 사용자는 최초 네트워크에 대한 접근 시도

2.사용자 및 PC 인증: MAC 주소를 통해 사용자 PC를 인증하거나 SSO와 연계, 백신 및 패치의 적절성 여부 검토

3.네트워크 접근 허용: 인증이 완료되었으면 네트워크 접근 허용

4.네트워크 접근 거부: 보안 정책을 준수하지 않았거나 보안에 이상이 있을 경우, 접근 거부 및 격리 됨. 거부 된 PC는 필요한 정책을 준수하고, 보안의 이상을 조치하였을 경우, 다시 점검하여 허용 여부를 재결정

 

4)상세한 기능

4-1)유무선 보안

무선랜 탐지, 내부 네트워크에 연결된 AP 탐지, Rogue AP 사용 차단 및 비인가 AP 접속 차단,  AP에 연결된 장비들 추적, 네트워크에 연결된 모든 장비 실시간 탐지, 비인가 네트워크 우회경로, Adhoc 탐지, 비인가 서비스의 불법사용 탐지 및 차단, 비인가 단말, 비정상 트래픽 탐지 및 차단, SW 및 HW 설치내역 수집 및 관리, 테더링 탐지, 블루투스 장비 사용 탐지, USB, CD-ROM 사용 관리

4-2) 외부 및 내부 통합제어

분류 -> 정책 -> 평가 -> 조치 -> 탐지 내부보안 Cycle

IP 관리 (충돌방지, IP 실명제)

사용자 인증, 애플리케이션 패치 중앙관리, 온라인 및 오프라인 패치 배포

4-3)네트워크 관리 및 보안

비인가 단말의 네트워크 사용 통제, 방문자 단말의 네트워크 사용 제한

단말 보안 상태에 따른 네트워크 접근 제어

악성 트래픽 탐지, 악성코드 단말 및 이상행위 단말 격리

7) 웹 방화벽 (WAF, Web Application Firewall)

1) 개념 : 웹 애플리케이션 보안에 특화된 보안을 위한 솔루션(OSI 7 Layer의 Application Layer)의 위치한다.

 

2) 기능

1) OWASP TOP 10을 기반으로 적용된 차단룰을 바탕으로 웹 서비스 취약점(SQL Injection, Cross-Site Scripting(XSS))을 이용한 공격을 탐지/차단하는 보안 시스템이다.

2) HTTP 트래픽을 검사하여 보호 대상 홈페이지 서버로 유입되는 해킹을 차단하는 정보 보호 시스템이다.

2-1)Request/Response 메시지 차단

2-3)HTTP 속성값 탐지

2-4)Health check : WAF 하단의 웹서비스 이상유무를 확인 가능하다.

2-5)Bypass : IPS와 마찬가지로 장애발생시 Bypass 기능을 사용가능하다.

3) 정보유출방지솔루션 : 웹방화벽을 이용할 경우, 개인정보가 웹 게시판에 게시되거나 개인 정보가 포함된 파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해서 탐지하고 이에 대응하는 것이 가능합니다.

4) 부정로그인방지솔루션 : 추정 가능한 모든 경우의 수를 대입하여 웹사이트에 로그인을 시도하는 경우와 같은 비정상적인 접근에 대한 접근 제어 기능을 합니다.

5 )웹사이트위변조방지솔루션 : 웹사이트 위변조가 발생했을 경우, 이에 대해 탐지하고 대응합니다.

 

3) 역사

1) 1세대 웹 방화벽

블랙 & 화이트 리스트를 병행하는 방식으로 사용되었다.

관리자가 직접 생성 및 관리를 해야했고, 매우 큰 관리 부담으로 다가왔다.

공격유형이 다양해짐에 따라 등록된 시그니처의 수가 늘어나 성능이 저하되는 문제도 발생하였다.

 

2) 2세대 웹 방화벽

보호 대상 웹 어플리케이션을 몇 주간의 모니터링을 통해 분석하여, 화이트리스트 생성을 자동으로 처리해주는 것이 특징.

관리자가 최종 검토 및 관리를 해야했기에 부담은 여전했고 빠르게 변화하는 웹 환경에 존재하는 다양한 웹 공격 유형을 파악하지 못했기에, 성능 저하 및 오탐 이슈를 피할 수 없었다.

 

3) 3세대 웹 방화벽 (지능형 웹 방화벽)

웹 공격 유형별로 블랙리스트 탐지, 화이트리스트 탐지 및 웹 트래픽 컨텐츠 분석 등의 기법들을 결합하여 공격을 탐지하기에 오탐을 대폭 줄일 수 있다. 또한 특정 공격 유형의 새로운 변종 공격의 경우 최소한의 시그니처 추가만으로 변종 공격의 방어가 가능하기 때문에 효율적인 관리가 가능하다.

 

 

8)DDoS대응 시스템(DDos Mitigation System)

1)개념: DDoS (분산 서비스 거부) 공격 으로부터 대상 서버 또는 네트워크를 성공적으로 보호하는 프로세스를 말합니다 . 특수하게 설계된 네트워크 장비 또는 클라우드 기반 보호 서비스를 활용하여 대상 피해자는 들어오는 위협을 완화할 수 있습니다

 

2)방식

2-1) In-Line방식

In-Line 구성은 기존 물리적 회선 가운데 DDoS 대응장비가 설치되는 방식으로, DDoS 대응장비로 유입되는 트래픽을 모니터링 하여 DDoS공격을 직접 탐지하고 차단하는 방식이며, 대부분의 환경에서 구현되는 일반적 구성방식입니다.

2-2) Out-of-Path

Out-of-Path 구성은 물리적 회선 구성 바깥에 DDoS 탐지장비 및 차단장비가 설치되는 방식으로, 미러링 장비를 통해 유입된 트래픽을 DDoS탐지장비(센서)에서 분석하고, DDoS 차단장비에서 해당 DDoS공격을 차단하는 방식입니다. 일반적으로 백본급 네트워크 장비와의 연동을 통해 차단기능을 제공하기 때문에 In-Line 방식에 비해 구성상 복잡하며 상대적으로 고비용이 요구되므로 ISP 및 대형 서비스 망에서 주로 구성되는 방식입니다.

 

3)절차

3-1)탐지

분산 공격을 중지하려면 웹 사이트에서 대량의 일반 트래픽과 공격을 구분할 수 있어야합니다. 제품 출시 또는 기타 공지에 합법적 인 신규 방문자가있는 웹 사이트가있는 경우 사이트에서 마지막으로 수행하려는 작업은 해당 사이트를 제한하거나 웹 사이트의 내용을 보지 못하게하는 것입니다. IP 평판, 일반적인 공격 패턴 및 이전 데이터는 적절한 탐지를 지원합니다.

3-2)대응

이 단계에서 DDoS 보호 네트워크는 악의적 인 봇 트래픽을 지능적으로 삭제하고 나머지 트래픽을 흡수하여 식별된 위협에 대응합니다. 사용하여 웹 애플리케이션 방화벽 페이지 규칙을 응용 계층 (L7) 공격, 또는 다른 여과 공정과 같은 낮은 수준 (L3/L4) 공격을 처리하기 위해 memcached를 하거나 NTP 증폭, 네트워크가 중단의 시도를 완화할 수 있습니다.

3-3)라우팅

효과적인 DDoS 완화 솔루션은 지능적으로 트래픽을 라우팅함으로써 나머지 트래픽을 관리 가능한 청크로 분할하여 서비스 거부를 방지합니다.

3-4)적응

우수한 네트워크는 위반 IP 블록 반복, 특정 국가의 특정 공격 또는 특정 프로토콜이 잘못 사용되는 등의 패턴에 대한 트래픽을 분석합니다. 보호 패턴은 공격 패턴에 적응함으로써 향후의 공격에 대비하여 강화될 수 있습니다.

 

 

9)통합위협관리시스템 (UTM, Unified Threat Management)

1)개념: 방화벽/IPS/VPN/DDoS기능에 Anti-Virus/Anti-Spam/URL Filtering 등의 기능이 추가되어, 각 모듈이 복합적이고 유기적으로 기능을 제공할 수 있는 통합 보안 시스템

 

2)UTM과 단독 솔루션의 차이점

	IPS/VPN등 단독 솔루션		UTM
비용	구매	기능 별 별도의 보안솔루션 구매 필요(비용 높음)	통합 보안 기능을 제공(비용 낮음)
	운영	장비 별 교육, 지원, 업데이트 및 관리 비용 필요	교육, 지원 ,업데이트 및 관리 비용 절감
장비 운영	보안 정책 수립 >보안 정책 수립 시 다 수의 장비를 다뤄야함 기능 추가 >별도의 하드웨어 장비추가 시 네트워크 작업 필요 >신규 장비에 대한 관리자 교육 필요 Resource 증가 각 장비 별 숙달된 관리자 필요		보안 정책 수립 >통합 장비 한 장비를 통하여 보안 정책 수립 가능 기능 추가 >라이선스 업데이트를 통한 기능구현으로 별도의 네트워크작업 불 필요 >기존 정책에 간단한 기능 연동 지원 가능 Resource 절감 통합 장비를 관리하는 관리자만 필요
보안측면	1개의 장비가 보안이 뚫려도 나머지 보안 장비를 통해 보안 기능 지원		SPOF(Single Point of Failure) 보안이 뚫리면, 회사 전체의 보안 위협

위 표처럼 단독 솔루션에 비해 통합 솔루션이 제공하는 이점은 비용 절감, 통합된 보고, 일관된 인터페이스, 네트워크 구조의 단순화, 관리의 용이성 등 매우 많지만, 각 모듈의 통합기능을 제공할 경우의 성능 및 안정성 수준이 아직 방화벽처럼 성숙기에 들지 않았다고 판단하는 부정적인 시각이 많습니다. 아울러, 보안측면에서 고려할 경우에도, 통합 솔루션 특성 상 장비자체의 보안이 뚫렸을 경우, 내부 전체의 보안이 위험에 빠지는 SPOF(Single Point of Failure:한 곳이 무너지면 전체가 무너짐) 부분도 간과할 수 없는 문제이므로, 상대적으로 높은 정보보안 수준이 요구되는 공공/금융 기관 및 대형 사이트의 경우에는 아직 UTM 도입에 대해 긍정적이지 않습니다.

10) ATP 대응 시스템

ATP란 (Advanced Persistent Threat, 지능형 지속위협)는 중요 정보 획득을 목적으로 지속적으로 특정 대상에 공격을 수행하는 수법입니다.

 

1) 대응 방안

1) 종합적인 보안이 필요하다

고도화ㆍ다변화되고 있는 최신 위협은 개별 솔루션 위주의 단순 대응만으로는 더 이상 효과를 보기 어렵다. 게다가 기업의 비즈니스 환경 또한 복잡해지고 있어 기업이 속한 산업 군의 특성을 바탕으로 실효성 있는 보안 기술과 솔루션을 연계하는 방안을 살펴봐야 한다.

1-1) End-Point 보안 : 해커 입장에서 보면 End-Point는 내부망 침투를 위한 교두보로 만들어야 할 필수 요소라고 할 수 있다. End-Point에서 악성코드를 감염시키는 작업에서 부터 공격이 시작되므로 외부 인터페이스 통제 부터 백신, 방화벽, 악성코드 방어 솔루션 등을 사용하여 발생 가능성을 최소화 하여야 한다.

1-2) 네트워크 보안 : 네트워크 단에서 악성코드를 분석할 수도 있다. 내부로 유입되는 파일들을 가상환경에서 실행시켜 실제 행위를 분석한 뒤 이상 유무를 점검하여 피해를 최소화 하는 방법이다. 물리적인 장치를 통해 유입되는 악성코드가 아니라면 네트워크 망을 타고 내부로 유입되는 악성코드를 탐지하고 차단하는데 효과적일 것이다.

1-3) 서버보안 : 보다 강력한 접근 통제를 위해 2-Factor & 2-Channel 등의 인증을 통해 권한이 있다 해도 또 한번의 인증을 거쳐야만 접근 및 명령할 수 있도록 통제한다. 또 SIEM같은 시스템을 이용하여 정보시스템들의 이벤트, 로그, 감사 정보 등을 모아 장시간 심층 분석을 통해 빠른 탐지 및 대응을 하도록 한다.

2) 가장 효과적인 예방은 보안인식 강화!

종합적인 보안 인프라를 구축하여 공격에 대응하는 것도 굉장히 중요하다. 하지만 더 중요한 건 사용자의 보안인식 강화라고 생각한다. 모든 공격의 시작은 사용자의 부주의한 행동에서부터 시작되는 만큼 주기적인 보안교육 및 공격자가 사용하는 방법을 실제로 이용한 모의 훈련까지 한다면 굉장히 좋은 효과가 있을 것이라고 생각한다.

 

출처 : 나무 위키