인증 시스템

인증 시스템은 인증을 시도하는 주체를 식별하고 이에 대한 인증 서비스를 제공하는 시스템을 의미합니다.

인증 수단

인증 시스템에서는 사용자 식별 및 인증 수단으로 알고 있는 것, 자신의 모습, 가지고 있는 것, 위치한 곳 네 가지 방식을 이용합니다. 네 가지 인증 수단은 독립 또는 복합적으로 사용됩니다.

• 알고 있는 것 Something you know
  사용자가 알고 있는 정보를 이용하여 인증하는 방식입니다. 가장 대표적이고 전통적인 방식으로 아이디와 패스워드 로그인 방식이 있습니다. 사용자의 기억에 의존하기에 저렴하고 편리하지만 안전한 관리가 어렵습니다.

• 자신의 모습 Something you are
  사용자의 고유한 신체 조직을 이용해 인증하는 방식입니다. 지문, 망막, 홍채, 손, 얼굴, 목소리 등의 고유한 신체 조직들을 이용합니다. 홍채 인식이 가장 보안도가 높습니다.

• 가지고 있는 것 Something you have
  사용자가 소유한 것을 이용하여 인증하는 방식입니다. 신분증, OTP, 공동인증서, 스마트키 등이 있습니다. 도난 등으로 쉽게 도용되기 때문에 단독으로 사용되기 보다는 복합적으로 사용됩니다.

• 위치한 곳 Somewhere you are
  사용자의 위치정보를 이용하여 인증하는 방식입니다. IP, (전화)콜백 등이 있으며, 마찬가지로 단독으로 사용되기보다 복합적으로 사용됩니다.

SSO

SSO (Single Sign On)은 모든 인증을 하나의 시스템에서라는 목적을 위해 개발된 것입니다. 시스템의 몇 대여도 한 시스템의 인증에 성공하면 다른 시스템의 접근 권한을 모두 얻는 방식입니다.사용자가 서버에 연결을 요청하면 서버는 클라이언트에게 SSO 서버로부터 인증을 받은 뒤 접속을 하게 요청합니다. 클라이언트가 SSO 서버로부터 인증을 받으면 SSO 서버와 연결된 서버들에 대해 별도의 인증 과정 없이 접속할 수 있게 됩니다.

SSO의 장점이면서 단점이 되는 최초 인증 과정을 통과하면 이후 SSO 연결 서버들을 접속할 수 있다는 점은 편리하지만 보안상 취약할 수 있습니다. 이를 단일 장애점 single point of failure라고 합니다. 이 단점을 극복하기 위해 각 서버의 중요 데이터에 접근하는 경우엔느 지속적인 인증을 하도록 요청합니다.

---

방화벽

방화벽은 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정해놓은 규칙에 따라 차단하거나 통과시키는 하드웨어/소프트웨어를 의미합니다. 보안을 높이기 위한 일차적인 방법이자 기본적으로 사용됩니다.

파일을 감염시키는 바이러스나 정상 서비스 포트에 대한 웜 공격은 방어벽이 막을 수 없습니다. 따라서 방화벽은 독립적으로 사용하기 어렵습니다.

기능

방화벽은 다음과 같은 주요한 기능들을 수행합니다.

• 접근 제어
  접근 제어는 방화벽의 가장 기본적이고 중요한 기능입니다. 관리자가 통과시킬 접근과 거부할 접근을 정의하면 방화벽은 정의된 접근 제어에 따라 동작합니다. 접근 제어는 구현 방법에 따라 패킷 필터링과 프록시 방식으로 나뉩니다.

  방화벽의 기본적인 접근 제어는 룰셋 rule set을 통해 수행됩니다. 룰셋은 방화벽을 기준으로 보호하려는 네트워크의 외부/내부에 존재하는 시스템의 IP 주소와 포트로 구성됩니다.

• 로깅, 감사 추적
  방화벽은 룰셋 설정/수정, 관리자 접근, 네트워크 트래픽 허용/차단 정보 등을 로그로 남깁니다. 이러한 로깅을 통해 장애가 발생할 시 추적을 하게 됩니다.

• 인증
  방화벽은 인증을 위해 메시지, 사용자, 클라이언트 등의 인증 방식을 사용합니다. 메시지 인증은 VPN과 같은 신뢰할 수 있는 통신선을 통해 전송되는 메시지의 신뢰성을 보장합니다. 사용자 인증은 패스워드, OTP, 토큰 기반 등을 이용해 높은 수준의 인증을 합니다. 클라이언트 인증은 모바일 처럼 특수한 경우에 접속을 요구하는 호스트가 정당한지 확인하는 인증 방법입니다.

• 데이터 암호화
  VPN의 기능을 이용하여 한 방화벽에서 다른 방화벽으로 데이터를 암호화해서 전송합니다.

---

침입 탐지 시스템

네트워크에서는 침입 탐지 시스템 (IDS, Intrucsion Detection System)을 사용하여 이상 활동을 탐지합니다. 방화벽은 내부의 활동을 막을 수 없기 때문에 침입 탐지 시스템이 내부의 악성 코드, 해킹 탐지 등을 수행합니다.

침입 탐지 시스템은 설치 위치와 목적에 따라 호스트 기반 침입 탐지 시스템과 네트워크 기반 침입 탐지 시스템으로 나뉩니다.

기능

다음과 같은 네 개의 주 기능을 수행합니다.

• 데이터 수집
  호스트 기반 침입 탐지 시스템 HIDS은 운영체제에 설정된 사용자에 따라 어떤 사용자가 어떤 접근을 시도하고 어떤 작업을 했는지 기록하고 추적합니다. 자신이 공격 대상이 되는 경우에만 침입을 탐지할 수 있습니다.
  네트워크 기반 침입 탐지 시스템 NIDS은 하나의 독립된 시스템으로 운영됩니다. 감사와 로깅을 수행할 때 네트워크 자원 손실이나 데이터 변조없이 네트워크 전반에 대한 감시를 할 수 있습니다.

  두 방식을 상호 보완적으로 사용합니다.

• 데이터 필터링과 축약
  수집된 침입 데이터를 한 곳에 모아 관리하면 효율적이고 빠르게 대응할 수 있습니다. 한 곳에 모인 데이터는 양이 방대하고, 대부분의 상황에서는 빠르고 정확하게 파악할 수 있는 데이터가 더 유용합니다. 이를 위해 칩입 탐지 시스템은 효과적인 필터링과 축약 기능이 필수라고 합니다.

• 침입 탐지
  탐지 기법은 크게 오용 탐지 misuse detection과 이상 탐지 anomaly detection으로 나뉩니다.
  오용 탐지는 이미 발견되고 정립된 패턴을 입력해두었다가 해당하는 패턴이 탐지되면 알려줍니다. 또는 공격 상황에 대한 시나리오들을 작성해두고 각 상태에 따른 공격을 분석합니다.
  이상 탐지는 정상적인 상태를 기준으로 급격한 변화 또는 낮은 확률의 일이 발생했을 때 알립니다.

• 책임 추적 및 대응
  침입 탐지 시스템은 초기에 말 그대로 탐지만 수행했으나 기능이 발전하면서 역추적으로 공격자의 시스템을 사용하지 못하게하는 등의 능동적 시스템도 추가되고 있습니다. 이렇게 책임 추적성과 대응 기능 등의 능동적 시스템을 탑재한 침입 탐지 시스템을 침입 방지 시스템 (IPS, Intrusion Prevention System)이라고 부릅니다.

설치 위치

침입 탐지 시스템은 목적에 따라 여러 곳에 설치할 수 있습니다.

1. 패킷이 라우터로 들어오기 이전
   모든 공격 탐지 및 공격 의도를 가진 패킷을 미리 알 수 있으나 실제 공격이 아닌 패킷을 너무 많이 수집하며, 내부 네트워크로 진입한 공격과 아닌 공격을 구분하기 어려워 공격에 효율적인 대처가 어렵습니다.

2. 라우터 뒤
   라우터의 패킷 필터링을 거친 패킷들을 검사합니다. 패킷 필터링에서 단순한 공격 패킷이 걸러지기 때문에 더 강력한 의도를 가진 공격을 탐지할 수 있습니다.

3. 방화벽 뒤
   방화벽 뒤에서 탐지되는 공격은 네트워크에 직접적인 영향을 주므로 이에 대한 정책 및 방화벽 연동이 중요합니다. 내부에서 외부로 흐르는 공격도 감지가능하여 내부의 공격도 탐지할 수 있게 됩니다. 만약 침입 탐지 시스템을 단 한 곳에만 두어야한다면 방화벽 뒤가 권장됩니다. (이미지의 NIDS 처럼)

4. 내부 네트워크
   내부의 공격자에 대한 공격 시도도 많고 치명적이기 때문에 내부 네트워크 공격을 감시하고자하는 경우에는 내부 네트워크에 설치합니다.

5. DMZ
   외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크입니다. 외부/내부 모두 보호되어야하기 때문에 높은 보안 수준을 요구합니다. DMZ에 설치하는 가장 큰 목적은 외부 및 내부 공격자에 대한 중요 데이터 손실이나 서비스 중단을 막기 위함입니다. 여기서는 별도의 침입 탐지 시스템을 운용하기도 합니다.

우선 순위별로 나열하자면 3 > 5 > 4 > 2 > 1 순으로 설치 우선순위를 갖습니다. 네트워크 목적에 따라 중간중간 NIDS를 설치하기도 하며, HIDS는 유지관리 비용이 높아 웹 서버와 같은 사업 유지가 중요한 시스템에만 설치합니다.

침입 방지 시스템

단순한 방화벽, 침입 탐지 시스템에서 더 능독적인 보안을 도입하고자 침입 방지 시스템 (IPS, Intrusion Prevention System)이 개발되었습니다. 침입 방지 시스템은 공격에 대한 능독적인 분석과 차단을 수행합니다.

동작 원리

방화벽과 침입 탐지 시스템의 조합이라고 생각할 수 있습니다. 침입 탐지 기능을 수행하는 모듈이 패킷을 하나하나 검사해 분석하고, 비정상적인 패킷은 방화벽의 기능을 가진 모듈로 차단합니다.

공격 방식이 다양해지면서 최근에는 가상 머신을 도입한 악성 코드 탐지 개념이 추가되었습니다. 이 방식은 공격으로 확인되는 악성 코드나 패킷을 분석 하지 않고 가상 머신으로 보내 실행합니다. 가상 머신에서 해당 코드 및 패킷 실행 결과가 악성 코드와같은 동작을 보이게 되면 해당 패킷을 차단합니다.

설치

침입 방지 시스템은 방화벽 뒤에 설치합니다. 방화벽이 네트워크 선두에서 불필요한 외부 패킷을 한 번 걸러 침입 방지 시스템이 효율적으로 패킷을 검사할 수 있기 때문입니다.