157. 보안 솔루션

보안 솔루션의 개념

• 보안 솔루션이란 접근 통제, 침입 차단 및 탐지 등을 수행하여 외부로부터의 불법적인 침입을 막는 기술 및 시스템을 말한다.
• 주요 보안 솔루션에는 방화벽, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 데이터 유출 방지(DLP), 웹 방화벽, VPN, NAC 등이 있다.

방화벽(Firewall)

• 방화벽은 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용 · 거부 · 수정하는 기능을 가진 침입 차단 시스템이다.
• 내부 네트워크에서 외부로 나가는 패킷은 그대로 통과시키고, 외부에서 내부 네트워크로 들어오는 패킷은 내용을 엄밀히 체크하여 인증된 패킷만 통과시키는 구조이다.
• 해킹 등에 의한 외부로의 정보 유출을 막기 위해 사용한다.

침입탐지 시스템(IDS; Intrusion Detection System)

• 침입 탐지 시스템은 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템이다.
• 방화벽과 같은 침입 차단 시스템만으로는 내부 사용자의 불법적인 행동과 외부 해킹에 100% 완벽하게 대처할 수는 없다.
• 문제가 발생한 경우 모든 내·외부 정보의 흐름을 실시간으로 차단하기 위해 해커 침입 패턴에 대한 추적과 유해 정보 감시가 필요하다.
• 오용 탐지(Misuse Detection): 미리 입력해 둔 공격 패턴이 감지되면 이를 알려준다.
• 이상 탐지(Anomaly Detection): 평균적인 시스템의 상태를 기준으로 비정상적인 행위나 자원의 사용이 감지되면 이를 알려준다.
• 침입 탐지 시스템의 종류
  • HIDS(Host-Based Intrusion Detection)
    • 시스템의 내부를 감시하고 분석하는데 중점을 둔 침입 탐지 시스템이다.
    • 내부 시스템의 변화를 실시간으로 감시하여 누가 접근해서 어떤 작업을 수행했는지 기록하고 추적한다.
    • 종류: OSSEC, md5deep, AIDE, Samhain 등
  • NIDS(Network-Based Intrusion Detection System)
    • 외부로부터의 침입을 감시하고 분석하는데 중점을 둔 침입 탐지 시스템이다.
    • 네트워크 트래픽을 감시하여 서비스 거부공격, 포트 스캔 등의 악의적인 시도를 탐지한다.
    • 종류: Snort, Zeek 등
• 침입 탐지 시스템의 위치
  • 패킷이 라우터로 들어오기 전: 네트워크에 시도되는 모든 공격을 탐지할 수 있다.
  • 라우터 뒤: 라우터에 의해 패킷 필터링을 통과한 공격을 탐지할 수 있다.
  • 방화벽 뒤: 내부에서 외부로 향하는 공격을 탐지할 수 있다.
  • 내부 네트워크: 내부에서 내부 네트워크의 해킹 공격을 탐지할 수 있다.
  • DMZ: DMZ는 외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크로, 강력한 외부 공격이나 내부 공격으로부터 중요 데이터를 보호하거나 서버의 서비스 중단을 방지할 수 있다.

침입 방지 시스템(IPS; Intrusion Prevention System)

• 침입 방지 시스템은 방화벽과 침입 탐지 시스템을 결합한 것이다.
• 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등의 방어 조치를 취하는 보안 솔루션이다.
• 침입 탐지 기능으로 패킷을 하나씩 검사한 후 비정상적인 패킷이 탐지되면 방화벽 기능으로 해당 패킷을 차단한다.

데이터 유출 방지(DLP; Data Leakage/Loss Prevention)

• 데이터 유출 방지는 내부 정보의 외부 유출을 방지하는 보안 솔루션이다.
• 사내 직원이 사용하는 PC와 네트워크상의 모든 정보를 검색하고 메일, 메신저, 웹 하드, 네트워크 프린터 등의 사용자 행위를 탐지 · 통제해 외부로의 유출을 사전에 막는다.

웹 방화벽(Web Firewall)

• 웹 방화벽은 일반 방화벽이 탐지하지 못하는 SQL 삽입 공격, Cross-Site Scripting(XSS) 등의 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽이다.
• 웹 관련 공격을 감시하고 공격이 웹 서버에 도달하기 전에 이를 차단해 준다.

VPN(Virtual Private Network, 가상 사설 통신망)

• VPN은 가상 사설 네트워크로서 인터넷 등 통신 사업자의 공중 네트워크와 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하는 것처럼 해주는 보안 솔루션이다.
• VPN은 암호화된 규격을 통해 인터넷망을 전용선의 사설망을 구축한 것처럼 이용하므로 비용 부담을 줄일 뿐만 아니라 원격지의 지사 영업소, 이동 근무자가 지역적인 제한 없이 업무를 수행할 수 있다.

NAC(Network Access Control)

• NAC은 네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공하는 보안 솔루션이다.
• 내부 PC의 소프트웨어 사용 현황을 관리하여 불법적인 소프트웨어 설치를 방지한다.
• 일괄적인 배포관리 기능을 이용해 백신이나 보안 패치 등의 설치 및 업그레이드를 수행한다.
• 네트워크에 접속한 비인가된 시스템을 자동으로 검출하여 자산을 관리한다.

SSH(Secure SHell, 시큐어 셸)

• SSH는 다른 컴퓨터에 로그인, 원격 명령 실행 파일 복사 등을 수행할 수 있도록 다양한 기능을 지원하는 프로토콜 또는 이를 이용한 응용 프로그램이다.
• 데이터 암호화와 강력한 인증 방법으로 보안성이 낮은 네트워크에서도 안전하게 통신할 수 있다.
• 키(key)를 통한 인증 방법을 사용하려면 사전에 클라이언트의 공개키를 서버에 등록해야 한다.
• 기본적으로는 22번 포트를 사용한다.