본문 바로가기

보안

정보보안 14주차 - 보안 솔루션

1. 방화벽

1) 방화벽

방화벽 : 내부 네트워크와 외부 네트워크 사이에서 트래픽을 감시하고,
보안 정책에 따라 허용 또는 차단하는 보안 솔루션

■ 특정 조건에 따라 트래픽을 통과시키거나 막음

■ 종류
• 소프트웨어 : OS에서 제공하는 방화벽
• 하드웨어 : 네트워크 장비 형태


2) 방화벽의 주요 기능

(1) 접근 제어(ACL)

접근 제어(ACL) : 허용 또는 차단

(2) 방화벽 규칙의 구성

방화벽 규칙의 구성 : 3가지
(출발지, 도착지, 정책)

■ 출발지(IP 주소 + 포트) + 도착지(IP 주소 + 포트) + 정책(허용 / 차단)

■ Any - Any - Any - Any - 차단
: 모든 트래픽에 대한 차단이 기본 정책

■ 순서가 매우 중요함.
기본 정책은 모든 걸 차단하기 때문에 순서가 먼저 온다면 이후의 조건은 모두 차단됨.
따라서 가장 밑에 존재해야 함


3) 보안의 기본 원칙

(1) 페일 세이프

페일 세이프 : 오류가 발생하여 시스템이 정상적으로 작동하지 않을 때, 사용자나 시스템에 피해를 입히지 않는 상태로 남아있어야 함
(안전한 상태로 남아야 함)

■ 방화벽은 고장 나면 Fail Safe 원칙이 적용되어, 명백히 허용하지 않은 서비스에 대한 거부를 기본 원칙으로 함
(인터넷 차단)

■ 방화벽은 장애 발생 시 기본적으로 차단 상태가 가장 안전

(2) 세이프 페일러

세이프 페일러 : 실패가 일어난 경우에도 안전해야 함을 의미

■ 실패가 발생해도 실패의 영향을 최소화하며, 안전한 방식으로 실패

■ 스위치는 시스템에 오류가 생겨도 네트워크가 마비되지 않도록 허브로 작동
(bypass, 뭐든지 통과시켜줌)

■ 장애가 발생해도 통신은 되게끔 함


4) 방화벽 접근 설정 예제

■ 모든 것을 차단하는 기본 규칙은 가장 밑에 있어야 함

 

(1) 외부 클라이언트가 내부의 웹서버, FTP 서버에 접근 가능하도록 규칙 추가

■ From(출발지) : Any
• 외부의 어떤 접근이든

■ Service : 포트 번호
• 웹서버 : 80
• FTP 서버 : 21

■ TO(도착지) : 내부망 IP 주소

■ Action(정책) : Allow 허용

(2) 메일에 대한 필터링 규칙 허용

■ 25번 포트는 SMTP, 110은 POP3, 143은 IMAP

■ POP3와 IMAP은 메일을 받는 서버인데, 차이점이 POP3는 잘라내기, IMAP은 복사의 개념

■ 외부에서 들어오거나 내부에서 나갈 때 POP3 접근을 금지하고

■ SMTP와 IMAP 허용


5) 방화벽의 주요 기능

(1) 감사 로그

감사 로그 : 방화벽의 규칙 집합이 언제, 누가, 어떻게 추가/변경/삭제 되었는지 저장

■ 책임 추적성 기능 제공

(2) 운영 로그

운영 로그 : 언제 어떤 네트워크 메시지가 차단 혹은 허용되었는지 등 저장

■ 공격자의 공격 시도 발견 가능


6) 하드웨어 방화벽과 소프트웨어 방화벽

■ 하드웨어 방화벽 : 성능이 우수, 중앙에서 한 번에 제어

■ 소프트웨어 방화벽 : 사내 네트워크 내부에서 시도하는 침입에 대해서 차단 가능

⇒ 하드웨어 방화벽은 네트워크 경계에서 막고, 소프트웨어 방화벽은 개별 PC 내부에서 막는다


7) 윈도우 방화벽(소프트웨어)

(1) 포트 기반 규칙 설정

포트 기반 규칙 설정 : 특정 포트에 대한 외부 네트워크에서 전달되는 메시지 허용 or 차단

→ 인바운드 규칙 선택

인바운드 : 외부 네트워크에서 내부 네트워크로 들어오는 메시지에 대한 규칙

아웃바운드 : 내부 네트워크에서 외부 네트워크로 나가는 메시지에 대한 규칙

→ 포트 선택
(TCP or UDP)

→ 작업 선택
(허용 or 차단)

(2) 애플리케이션 기반 규칙 설정

애플리케이션 기반 규칙 설정 : 특정 애플리케이션(프로그램)이 사용하는 모든 포트에 대해 허용 또는 차단하는 정책 생성


2. 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)

■ 둘 다 보안 장비이고, IDS는 탐지만, IPS는 침입 발생 시 능동적으로 차단


1) 침입 탐지 시스템(IDS)

침입 탐지 시스템(IDS) : 내부 시스템에서 악의적인 공격 발견하고 이를 보고하는 보안 솔루션

(1) 보안 공격 발생 시 관리자에게 알려서 대처하게 함

■ 보안에서의 공격 또는 침입
: 무결성, 비밀성(기밀성), 가용성을 해치는 행위

• 무결성 : 자료가 손상되었는지

• 기밀성 : 인가, 권한이 있는지

• 가용성 : 원하는 시점에 언제든지 접근할 수 있는지, 장애 발생해도 시스템은 정상 동작

(2) 종류

네트워크 기반 침입 탐지 시스템
: NIDS, 단순 IDS를 말함

호스트 기반 침입 탐지 시스템
: HIDS


2) NIDS와 방화벽의 차이점

■ 방화벽
: 단순히 IP 주소와 포트 번호 등의 속성으로 차단 결정
(L3 / L4 계층)

■ NIDS
: 전달되는 메시지 내용을 분석하여 차단 결정
(L7 계층, HTTP)


3) NIDS에 의해 탐지 가능한 공격

(1) 스캐닝

■ 시스템의 상태와 취약점을 찾고자, 여러 가지 종류의 패킷을 보내고, 그에 대한 응답(정보)을 수집하는 수동적 공격

(2) 도스 공격

■ 가용성을 해치고자 보내는 일련의 공격
(DoS / DDoS → 서버 마비, 시스템 정상 동작 못하게 함)

(3) 침투 공격

■ 허가받지 않은 방법을 동원하여 시스템 자원과 권한 획득으로 데이터 변조 시도
ex) 버퍼 오버플로 공격


4) NIDS 동작 원리

NIDS 동작 원리 : 트래픽 분석 탐지 결과를 사용자에게 보고

(1) 데이터 수집

■ 외부에서 내부로 전달되는 패킷 수집

• 미러링 기법 이용, 트래픽을 그대로 가져옴
(스니핑은 일종의 미러링 기법)

(2) 데이터 정제

■ 자료의 필터링
: 방대한 자료에서 불필요한 정보 제거

■ 자료의 축약
: 반복 데이터는 축약을 통해 양을 감소시킴

■ 클리핑 레벨
: 데이터를 저장할 수준(Threshold)을 의미

• 레벨이 높음 : 로그의 양 줄어듦
→ 중요 정보 유실될 가능성 높음

• 레벨이 낮음 : 중요 정보 유실 가능성 낮음
→ 로그 양이 많아짐


(3) 분석과 탐지

((1)) 오용 탐지 기법

오용 탐지 기법 : 미리 정의된 침입 패턴(시그니처)을 찾는 방법

■ 장점
• 상대적으로 낮은 오탐률
• 사고 발생 시 신속하고 정확한 대응 가능

■ 단점
• 패턴이 없는 새로운 공격 탐지 불가능
• 지속적인 패턴 업데이트 필수
• 알려진 패턴에 대해서는 우회 가능성 있음


((2)) 이상 탐지 기법

이상 탐지 기법 : 발생할 확률이 매우 낮은 일이 발생했을 때 침입이라고 판단

■ 장점
• 임계치 초과, 통계 기반(인공지능) 기반이라 새로운 공격 탐지 가능

■ 단점
• 정상 행위를 예측하기 어려움
• 학습에 많은 데이터와 시간 요구
• 오탐률이 높음


((3)) 최근 이상 탐지 기법의 중요성 증가

■ 제로 데이 공격에 효과적인 대응 방안
: 탐지 패턴이 제공되기 전에 공격하는 경우 대비 가능

■ 머신러닝 기법의 비약적인 발전


((4)) 오탐의 종류

■ 부정오류
: 비정상 트래픽을 정상으로 탐지 (미탐)

⇒ 보안 위협을 놓쳐 공격에 노출될 수 있음
(해커의 공격을 정상 트래픽으로 간주)

■ 긍정오류
: 정상 트래픽을 비정상으로 탐지 (오탐)

⇒ 정상 트래픽을 악성 활동으로 오인, 관리자의 시간과 자원 낭비

■ IDS에서 이 둘은 Trade-off 관계로 존재, 미탐을 줄이려고 노력함


(4) 결과 리포트

■ 분석 내용 사용자에게 제공


5) 스노트

스노트 : 오픈 소스 NIDS

■ 데이터 수집을 위해 패킷 캡처(pcap) 라이브러리 필요


6) NIDS 설치 위치

(1) 방화벽 외부

■ 외부에서 내부로 유입되는 모든 침입 탐지

(2) 방화벽 내부(DMZ)

■ DMZ : 외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크

■ 외부와 내부 모두로부터 보호되어야 하기 때문에 매우 높은 보안 수준 요구

■ 방화벽을 통과한 침입에 대한 탐지 목적

(3) 내부 네트워크의 백본 네트워크

■ 내부망 안에서 비교적 대규모의 트래픽 감시

(4) 내부 네트워크의 주요 서브넷

■ 내부망 안에서 비교적 소규모 트래픽 감시

■ 보안적으로 중요한 시스템과 자원에 대한 침입 탐지 목적

⇒ 설치에 비용이 들기 때문에 방화벽 내부에 설치하는 게 가장 효율적임


7) 호스트 기반 침입 탐지 시스템(HIDS)

■ 호스트의 자원 사용 실태를 분석하여 침입 여부를 식별하는 시스템

■ 해시 함수를 사용하여 무결성 점검에 의해 식별

■ 장점 : 비교적 정확한 탐지 가능

■ 단점 : 추가 리소스 사용, 관리 비용 높음, 로그 자료 변조 위험성

■ 오픈소스 HIDS : 트립와이어


8) 침입 방지 시스템(IPS)

침입 방지 시스템(IPS) : 불법 침입 행위를 실시간 탐지, 분석하여 비정상 패킷의 경우 자동 차단하는 시스템

(1) IDS와의 공통점

■ 침입 시도를 먼저 분석함

■ 패턴 매칭 기법으로 전달되는 데이터(패킷)를 분석

(2) 차이점

■ 침입 판단 시 대응 행위
• IDS는 차단 기능 없음
• IPS는 차단 기능 수행

■ 기술적 차이
• IDS는 모니터링 / 미러링 방식
• IPS는 게이트웨이 / 인라인 방식

⇒ IPS는 외부에서 전달되는 모든 패킷이 지나가기 때문에, 장애 발생 시 회사 네트워크 전체가 끊길 수 있음


* 전체 핵심 정리

■ 방화벽
: 분석 / 탐지 기능은 수행하지 않음, 규칙에 따른 차단 기능만 수행

■ IDS
: 분석 및 탐지만 수행

■ IPS
: 분석 / 탐지 / 차단 모든 것을 수행


 

3. DLP

■ 방화벽, IDS/IPS는 외부에서 내부로 들어오는 트래픽에 대해 주로 설명

1) DLP

DLP(Data Loss Prevention, Data Leakage Prevention) : 정보 유출 방지 솔루션

■ 내부의 정보가 외부로 빠져나가는 것을 탐지하여 차단


2) 종류

(1) 네트워크 DLP

네트워크 DLP : 내부에서 외부로 정보가 유출되는 것을 감시하고 통제하는 솔루션

■ 통제 대상
• 메일
• 웹 메일
• P2P
• SNS

방법 1) 모니터

■ NIDS와의 공통점
• 미러링 방식 사용
• 모니터링 포트 연결을 통해 데이터 수집

■ 차이점
• 내부에서 나가는 데이터를 기록으로 남겨둠
• 증빙 자료로 활용 가능

방법 2) 프리벤트

프리벤트 : 외부로 전송되는 데이터가 개인 정보와 같이 중요 자산이라고 판단될 경우 전송 차단

■ 게이트웨이 혹은 프록시(= 인라인) 방식 사용

■ 높은 보안성이 있지만, 오탐이 발생할 수 있고, 장애 발생 시 전체 네트워크에 영향

■ 주목받는 이유
• 내부자에 의한 정보 유출 시 모니터링을 하여 이상 징후 분석 가능
• 프리벤트를 사용할 경우 차단 가능


(2) 스토리지 DLP(= 디스커버리 DLP)

■ 스토리지는 저장된 중요한 자산
(개인정보)

■ 중요한 기밀 정보가 어디에 보유되어 있는지 식별(discover)하고 조치하는 솔루션

■ 보호 조치
• 기밀 정보가 평문으로 저장되어 있다면 삭제하거나 암호화해서 보관


(3) 엔드포인트 DLP

엔드포인트 DLP : PC와 같은 단말기에서 USB 등의 이동식 저장 매체와 출력물을 통해 유출되는 것을 방지하는 솔루션

■ 개인정보 유출 사고는 엔드포인트에서 다수 발생

■ 허용 / 차단 기능
• 매체 자체의 사용을 차단하거나 허용

■ 내용 기반 통제
• 전송되는 대상의 내용을 기반으로 통제

■ 단점
단말기에 DLP 에이전트가 설치되어야만 통제 가능

ex) 이동매체로 파일 복사 시, 개인정보 자동 검사 → 허용되어야 복사 가능


4. DRM

■ 디지털 콘텐츠에 대한 보안 솔루션

1) 정보 보안에서 사용되는 DRM

정보 보안에서 사용되는 DRM : 문서 보안 솔루션

■ 문서 저장 시 암호화하여 권한이 없는 다른 사용자가 읽지 못하게 보호


2) 문서 DRM

문서 DRM : 데이터 유출 방지

■ 파일 자체에 대해 암호화 또는 복호화 수행

■ 인증을 받지 못한 사용자는 문서를 열어보지 못하고, 외부에 유출되어도 암호화되어 있어서 열 수 없음


3) DLP vs DRM

■ DLP는 정보가 밖으로 나가는 경로를 통제
|| DRM은 정보 자체를 암호화하여 보호

■ DLP의 파일 자체는 평문 상태로, 외부로 전송되는 행위 자체를 차단

■ DRM은 인증이 없는 사용자는 문서를 열어볼 수 없으므로 외부 유출되어도 안전함


4) DRM 동작 방식

(1) 과정

문서 작성 시 후킹 DRM 모듈을 달아 놓음

→ DRM 에이전트를 통해 읽는 사용자 인증 진행

→ 인증이 완료되면 파일 쓰기 가능

→ DRM 모듈을 통해 파일 쓰기 가능

■ DRM이 적용된 문서는 유출되어도 DRM 에이전트가 설치되지 않은 PC에서는 인증이 불가해 파일이 복호화되지 않음


(2) 유의사항

■ 조직 내 공유를 위해 정교한 보안 정책이 설정되어야 함

⇒ 보안 정책이 느슨해지면 내부 유출 위험성이 생김


5. NAC(네트워크 접근 제어 솔루션)

NAC : 엔드포인트 단말기가 회사 내부망에 접속을 시도할 때 이를 제어하고 통제

■ 단말기가 회사 내부망으로 접속 시도

→ NAC에서 인증 과정과 노트북 내에 백신 등이 제대로 설치되어 있는지 무결성 점검
(자동 검역)

→ 실패 시 격리 네트워크로 접속시켜 최신 패치 설치 강제
(Guest로 일반 네트워크 사용)

→ 성공 시 인증된 사용자로 내부망 사용 가능


1) NAC의 기능

(1) 접근 제어 / 인증

■ 접근 제어 / 인증

(2) PC 및 네트워크 장치 통제(무결성 체크)

■ 백신 관리

■ 패치 관리

■ 자산 관리

(3) 해킹, 웜, 유해 트래픽 탐지 및 차단

■ 해킹, 웜, 유해 트래픽 탐지 및 차단


2) 과거의 IP 관리 시스템에서 네트워크 통제 기능을 강화한 제품

■ 네트워크 IEEE 802.1x에 기반

■ 에이전트 설치가 필요한 방식과 에이전트리스 방식으로 나뉨


3) NAC 구성 방식

(1) 인라인 방식

인라인 방식 : 게이트웨이 형태로 물리적으로 NAC 장비 배치하여 통제

■ 기존 네트워크 변경 최소화

■ but, 장애 발생 시 네트워크 전체 마비 위험 존재


(2) 802.1x 방식(포트 기반)

802.1x 방식(포트 기반) : 스위치 포트 단에서 RADIUS 서버를 통해 인증 후 접속 허용

■ 스위치 포트 자체를 차단해 우회가 불가능, 가장 강력하고 확실한 보안성

■ 모든 스위치가 802.1x를 지원해야 하므로 초기 환경 구성이 복잡함, 구현 난이도 높음


(3) VLAN 방식

VLAN 방식 : 인증 여부에 따라 통신이 불가능한 격리망 / 정상망으로 동적 할당

■ 뛰어난 보안성, 우회 어려움

■ 관리하는 모든 네트워크 장비가 VLAN 기능 지원해야 함


(4) ARP 방식

ARP 방식 : 미인증 단말에 ARP 스푸핑 패킷을 보내 접근 차단

■ 네트워크 장비 제약 없고 가장 빠르고 단순하게 도입 가능

■ 사용자가 MAC 주소를 정적으로 설정하면 우회 가능, 네트워크에 불필요한 패킷 부하 발생