보안 솔루션과 보안 아키텍처

보안 솔루션

IDS(Intrusion Detection System, 침입 탐지 시스템)

• 침입 공격에 대하여 탐지하는 것을 목표로 하는 보안 솔루션
• 외부 침입에 대한 정보를 수집하고 분석하여 침입 활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안 시스템
• 예방적이고 사전에 조처를 하는 기술로서 HIDS와 NIDS로 구분됨

HIDS (Host-based IDS, 호스트 기반 IDS)	- 컴퓨터 시스템의 내부를 감시하고 분석하여 침입을 탐지하는 시스템 - 컴퓨터 시스템의 동작이나 상태를 모두 감시하거나 부분적으로 감시함 - CPU, 메모리, 디스크 등 호스트 자원을 일정 부분 점유함
NIDS (Network-based IDS, 네트워크 기반 IDS)	- 네트워크상의 모든 패킷을 캡처링한 후 이를 분석하여 침입을 탐지함 - 네트워크 위치에 따라 설치할 수 있으며, 적절한 배치를 통하여 넓은 네트워크 감시가 가능함 - HIDS에 탐지 못한 침입을 탐지할 수 있음

• 침입 탐지 기법

오용 탐지 (Misuse Detection)	- 이미 발견되어 알려진 공격 패턴과 일치하는 지를 검사하여 침입을 탐지함 - 속도가 빠르고 구현이 간단함 - False Positive가 높은 반면 False Negative가 낮음
이상 탐지 (Anomaly Detection)	- 장기간 수집된 올바른 사용자 행동 패턴을 활용해 통계적으로 침입을 탐지함 - 알려지지 않은 공격을 탐지하는데 적합함 - False Negative가 높은 반면 False Positive가 낮음 - 호스트 기반과 네트워크 기반 침입 탐지 시스템에 모두 적용될 수 있음

 

방화벽(Firewall)

• 내부-외부 네트워크 사이에 위치하여, 보안 정책을 만족하는 트래픽만 통과할 수 있음
• 방화벽이 제공하는 기능에는 접근 제어, 인증, 감사 추적, 암호화 등이 있음
• 불법 사용자의 침입 차단을 위한 정책과 이를 지원하는 하드웨어 및 소프트웨어를 제공함
• 방화벽 하드웨어 및 소프트웨어 자체의 결함에 의해 보안상 취약점을 가질 수 있음
• 내부 네트워크에서 외부 네트워크로 나가는 패킷은 그대로 통과시키므로 내부 사용자에 의한 보안 침해는 방어하지 못함
• 방화벽의 유형

패킷 필터링 (Packet Filtering)	- 패킷의 출발지 및 목적지 IP 주소, 서비스의 포트 번호 등을 이용한 접속 제어를 수행ㅎ암 - 특정 IP, 프로토콜, 포트의 차단 및 허용을 할 수 있음 - 바이러스에 감염된 파일전송 시 분석이 불가능함 - OSI 참조 모델의 제3/4계층에서 처리되므로 처리 속도가 빠름
상태 검사 (Stateful Inspection)	패킷 필터링 기능을 사용하며 현재 연결 세션의 트래픽 상태와 미리 저장된 상태와의 비교를 토앟여 접근을 제어함
응용 레벨 게이트웨이 (Application Level Gateway)	- OSI 참조 모델의 7계층의 트래픽을 감시하여 안전한 데이터만을 네트워크 중간에서 릴레이함 - 응용 프로그램 수준의 트래픽을 기록하고 감시하기가 용이하며, 추가로 삿용자 인증과 같은 부가 서비스를 지원할 수 있음 - 응용 계층에서 동작하기 때문에 다른 방식의 방화벽에 비해 처리 속도가 가장 느림
회선 레벨 게이트웨이 (Circuit Level Gateway)	- 종단-대-종단 TCP 연결을 허용하지 안혹, 두 개의 TCP 연결을 설정함 - 시스템 관리자가 내부 사용자를 신뢰할 경우 일반적으로 사용함 - 내부 IP 주소를 숨길 수 있음

• 베스천 호스트(Bastion Host) : 중세 성곽의 가장 중요한 수비 부분을 의미하는 단어로, 방화벽 시스템 관리자가 중점 관리하는 시스템을 말하며 액세스 제어 및 응용 시스템 게이트웨이로서 프록시 서버의 설치, 인증, 로그 등을 담당하는 호스트를 말함

 

---

방화벽 6가지 구성 형태

스크리닝 라우터(Screening Router)

• 외부(인터넷)과 내부망의 가운데에서 패킷 필터링 규칙을 적용해서 방화벽의 역할을 수행하는 구조
• 3계층과 4계층에서 IP와 Port에 대해 접근 제어를 하는 스크리닝 라우터는 매우 저렴하게 방화벽의 역할을 수행할 수 있으나 세부적인 규칙을 적용하기 어렵고 만약에 접속이 폭주할 경우 부하가 걸려 효과적이지 못함

이중 홈 게이트웨이(Dual - Homed Gateway)

• 2개의 네트워크 인터페이스를 가진 베스천 호스트로서 하나의 NIC는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결함. 방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않기 때문에 프록시 기능을 부여함
• 내부에서 외부로 갈려면 반드시 이중 홈 게이트웨이를 지나가야 하므로 좀 더 효율적으로 트래픽을 관리할 수 있음

듀얼 홈드 호스트(Dual - Homed Host)

• 2개의 네트워크 인터페이스를 가진 베스천 호스트로서 하나의 NIC는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결함. 방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않기 때문에 프록시 기능을 부여함
• 두 개의 인터페이스를 가지는 장비를 말하며, 하나의 인터페이스는 외부 네트워크와 연결되고 다른 인터페이스는 내부 네트워크로 연결되며, 라우팅 기능이 없는 방화벽을 설치하는 형태

단일 홈 게이트웨이(Single - Homed Gateway)

• 스크리닝 라우터와 비슷한 구조를 가짐. 접근 제어, 프록시, 인증, 로깅 등 방화벽의 기본 기능을 수행하며, 보다 강력한 보안 정책을 실행할 수 있지만 방화벽이 손상되면 내부의 공격에 대해 무방비 상태가 됨
• 2게층에서 우회를 통한 공격이 가능하며, 일반적으로 이런 구조를 베스천 호스트라고 함

스크린된 호스트 게이트웨이(Screened Host Gateway)

• 듀얼 홈드 게이트웨이와 스크리닝 라우터를 결합한 형태로 '숨겨진'이라는 의미로 방화벽이 숨겨져 있음. 패킷 필터링 호스트와 베스천 호스트로 구성되어 있음
• 패킷 필터링 라우터는 외부 및 내부 네트워크(인터넷 쪽)에서 발생하는 패킷을 통과시킬 것인지를 검사하고 외부에서 내부로 유입되는 패킷(라우터와 내부 네트워크 사이)에 대해서는 베스천 호스트로 검사된 패킷을 전달함. 베스천 호스트는 내부 및 외부 네트워크 시스템에 대한 인증을 담당함
• 3계층과 4계층에 대해서 접근 제어를 해주고 베스천 호스트에서 7계층에 대한 접근 제어를 하게 되지만 구축 비용은 위의 방식들보다 많이 비싼 편임.

스크린된 서브넷 게이트웨이(Screened Subnet Gateway)

• 스크린드 호스트의 보안상 문제점을 보완한 모델
• 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로 분리하기 위한 구조
• 스크린된 서브넷 게이트웨이 방식은 외부와 내부의 가운데에 DMZ를 위치시키며 방화벽도 DMZ 부분에 위치하고 주로 프록시가 설치됨
• 설치 및 관리가 어렵고 속도도 느리며 고비용임

 

---

정보보호 대책

IPS(Intrusion Prevention System, 침입 방지 시스템)

• 사후에 조치를 취하는 기술로서 침입 공격에 대하여 방지하는 것을 목표로 하는 보안 솔루션
• IDS와 방화벽의 장점을 결합한 네트워크 보안 시스템
• 호스트의 IP 주소, 포트 번호, 사용자 인증에 기반을 두고 외부 침입을 차단함
• 허용되지 않는 사용자나 서비스에 대해 사용을 거부하여 내부 자원을 보호함

DMZ(DeMilitarized Zone, 비무장 지대)

• DMZ는 보안 조치가 취해진 네트워크 영역
• 메모리, 네트워크 연결, 접근 포인트 등과 같은 자원에 대한 접근을 제한하기 위해 구축됨
• 내부 방화벽과 외부 방화벽 사이에 위치할 수 있음
• 웹 서버, DNS 서버, 메일 서버 등이 위치할 수 있음

IPSec(IP Security)

• 통신 세션의 각 IP 패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜(IP)
• ESP는 발신지 인증, 데이터 무결성, 기밀성 모두를 보장함
• 운영 모드는 Tunnel 모드와 Transport 모드로 분류됨
• AH는 발신지 호스트를 인증하고, IP 패킷의 무결성을 보장함

DLP(Data Loss Prevention)

• 기업 데이터 유출을 방지하는 것을 목표로 하는 보안 솔루션
• 사용자의 PC에서 기업 내 기밀 데이터가 외부로 반출되는 것을 항시 감시하고 기록하며, 정책에 따라 유출을 차단시킴

ESM(Enterprise Security Management,  통합 보안 관리)

• 방화벽, 침입 탐지 시스템, 가상 사설망 등의 보안 솔루션을 하나로 모은 통합 보안 관리 시스템으로 서로 다른 보안 장비에서 발생한 각종 로그를 통합적으로 관리하여 통합 보안 관제 서비스를 제공함
• 전사적 차원의 보안 정책 통합 관리와 적용을 통해 정보 시스템 보안성을 향상시키고 안정성을 높임

VPN(Virtual Private Network, 가상 사설망)

• 이용자가 인터넷과 같은 공중망에 사설망을 구축하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션
• 안전하지 않은 공용 네트워크를 이용하여 사설 네트워크를 구성하는 기술
• 전용선을 이용한 사설 네트워크에 비해 저렴한 비용으로 안전한 망을 구성할 수 있음
• 공용 네트워크로 전달되는 트래픽은 암호화 및 메시지 인증 코드 등을 사용하여 기밀성과 무결성을 제공함
• 인터넷과 같은 공공 네트워크를 통해서 기업의 재택근무자나 이동 중인 직원이 안전하게 회사 시스템에 접근할 수 있도록 해줌