[CISA 이론 정리 - 5장] 06 인터넷 보안 대책 (2/2)

2. 침입 탐지 시스템(IDS: Intrusion Detection System)

(1) 의의

① 실패한 침입 시도는 물론 진행 중인 침입의 패턴을 탐지하고 경고하는 시스템이다.

② 침입 예방이 목적인 방화벽의 기능을 보완한다.

③ 설치 위치 및 보호 대상에 따라 네트워크 기반과 호스트 기반 IDS으로 구분한다.

네트워크 기반 IDS(N-IDS)

• 네트워크 세그멘트에 설치한다.

• 특정 네트워크에 대한 공격을 감시한다.

•예) DOS(서비스 거부), 스캐닝 공격

호스트 기반 IDS(H-IDS)

• 특정 호스트에 설치한다.

• 내부 사용자들의 활동을 감시한다.

• 예) 파일 삭제/변조, 백도어, 트로이 목마

(2) IDS 구성요소

• 센서 - 통신 트래픽에 관한 데이터를 수집한다.

• 분석기(Analyzer) - 센서에서 수집한 데이터를 분석하여 침입 활동 여부를 판별한다.

• 기타 - 이외에 관리자 콘솔과 사용자 인터페이스가 있다.

(3) 침입 여부의 판단

오용 기반 탐지(Misuse Based Detection)

• 이미 알려진 공격이나 침입의 패턴을 토태로 침입을 보고한다.

• 서명(Signatures) 형태로 공격 유형을 저장하여 공격을 식별한다.

• 대응책이 아직 마련되지 않은 취약점을 악용하는 제로 데이 공격은 식별하지 못한다.

• 위음(-)성 오류 또는 미탐율이 상대적으로 높다.

이상 행위 기반 탐지(Anomaly Based Detection)

• 통계적 분석 또는 신경망(neural network) 기능에 기반한 자기 학습 능력을 통해 이상 행위를 탐지하고 보고한다.

• 정상 행위의 임계치(threshold)를 벗어나면 침입을 보고한다.

• 위양(+)성 오류 또는 오탐율이 상대적으로 높다.

3. 기타

(1) 침입 예방 시스템(IPS: Intrusion Prevention System)

① 침입을 식별한 후 보고만 하는 것이 아니라 공격을 차단하기까지 하는 시스템이다.

② 침입을 식별하는 기준이 지나치게 엄격하면 정상적인 서비스가 부당하게 중단될 수 있으며, 지나치게 관용적이면 침입 예방의 효과가 떨어진다.

(2) 바이러스 월(Virus Wall)

① 방화벽처럼 내부 망으로 통신 트래픽이 유입되는 길목에 위치하며 수신 트래픽을 스캐닝하여 바이러스 등 다양한 악성 코드를 차단하는 시스템이다.

② 일반적인 안티 바이러스 소프트웨어는 특정 컴퓨터만을 보호하는 데 비해, 바이러스 월은 다양한 악성 코드로부터 네트워크를 보호한다.

(3) 스팸 필터링(Spam Filtering)

① 일련의 규칙에 따라 스팸 메일을 걸러주는 서비스로서 이메일 필터라고도 한다.

② 메일에 포함된 단어들을 토대로 스팸 점수(spam score)를 계산하여 스팸 여부를 판단하는 휴리스틱(heuristic) 기법과 같이 인공 지능 기술을 적용할 수 있다.

③ 널리 알려진 스팸 메일 주소 목록을 사용하거나 사용자가 스팸 메일로 분류 등록하게 하여 스팸 메일을 차단함으로써 컴퓨터 자원에 대한 가용성을 증대한다.

(4) 가상 사설망(VPN: Virtual Private Network)

① 암호 기술을 복합적으로 응용하여 공중망(public network)에서 이루어지는 통신에 사용자 인증, 데이터 암호화, 무결성 검증, 부인 방지 등의 보안 서비스를 제공한다.

② VPN 기술은 터널링(tunneling) 기술이라고도 한다.

(5) 허니팟(Honey pot)과 허니넷(Honey net)

① 가치 있는 정보를 포함하는 것처럼 보이지만 실제로는 내부 망 대신에 공격이 대상이 되도록 유인하는 미끼(decoy) 파일, 시스템 또는 네트워크이다. 

② 중요한 시스템/네트워크에 대한 공격을 예방하는 동시에 공격자들이 사용하는 기법을 연구하여 보안 취약점을 보완하는 교정 통제 대책의 역할을 한다.

③ 허니팟/허니넷에는 중요한 데이터가 포함되지 않도록 주의해야 한다.