보안의 기본

정보 보안

정보를 수집, 가공, 저장, 검색, 송수신하는 도중에 정보의 훼손, 변조, 유출을 막기 위한 관리적, 기술적 방법
네트워크를 통한 다양한 공격 방식과 그 공격을 네트워크에서 방어하는 장비와 그 구동 방식을 이해해야한다.
시스템과 애플리케이션에 결함이 있거나 취약점이 있는 경우에도 네트워크의 다양한 보안 장비를 활용한다면 외부의 공격을 늦추거나 적절히 방어할 수 있다.
네트워크 장비는 보안 영역 내/외부 변화로 발전한다.
- 보안 영역 외부는 인프라스트럭처나 서비스의 대변화로 인해 보안이 따라서 발전해야 하는 경우이다.
- 보안 영역 내부는 해킹 기술의 발전에 대응하다보니 새로운 보안 장비와 서비스가 개발되어 발전하는 경우이다.
최근에는 빅데이터와 머신러닝 기법을 보안에 적용하기도 한다.

Internet Secure Gateway
- Trust/DMZ 네트워크에서 Untrust 네트워크로의 통신을 통제
- 인터넷에 수많은 서비스가 있으므로 그에 대한 정보와 요청 패킷을 적절히 인식하고 필터링하는 기능이 필요하다.
- 방화벽, SWG(Secure Web Gateway), 웹 필터(Web Filter), 애플리케이션 컨트롤(Application Control), 샌드박스(Sandbox)와 같은 다양한 서비스나 네트워크 장비가 포함된다.
Data Center Secure Gateway
- Untrust 네트워크에서 Trust/DMZ 네트워크로의 통신을 통제
- 상대적으로 고성능이 필요하고 외부의 직접적인 공격을 막아야 하므로 인터넷 관련 정보보다 공격 관련 정보가 더 중요하다.
- 방화벽, IPS, DCSG(DataCenter Secure Gateway), WAF(Web Application Firewall), Anti-DDoS(Distribute Denial of Service) 등의 장비가 포함된다.

화이트리스트와 블랙리스트 방식이 있으며 공격 기법을 적절히 섞어 사용할 것을 권고한다.
화이트리스트
- 방어에 문제가 없다고 명확히 판단되는 통신만 허용하는 방식이다.
- IP와 통신 정보에 대해 명확히 아는 경우에 많이 사용된다.
- 통신 정보를 상세히 알고 세부적인 통제가 필요해 많은 관리 인력이 필요하다.
- 잘 아는 IP 주소만 정책으로 열어놓고 나머지 주소로 가는 모든 패킷을 방어하는 형태로 운영한다.
블랙리스트
- 공격이라고 명확히 판단되거나 문제가 있었던 IP 리스트나 패킷 리스트를 기반으로 데이터베이스를 만들고 그 정보를 이용해 방어하는 방식이다.
- 공격 패턴(Signature): 공격을 당했을 때 공격 기법을 판단해 탐지하도록 간단히 데이터베이스를 만들어 둔 것이다.
- 블랙리스트 기반 장비는 IPS, 안티바이러스 등 악성 코드나 공격 기법에 대한 시그니처를 만들고 이 데이터베이스들을 업데이트받아 동작한다.
- 보안 관리 인력이 부족한 경우, 블랙리스트 기반 방어 정책을 수립하고 공격 데이터베이스를 최신으로 유지하는 것이 좋다.
- 해킹을 시도했던 IP 리스트를 작성해 그 IP들만 방어하는 형태로 운영한다.

공격 데이터베이스를 아무리 정교하게 만들더라도 공격으로 탐지하지 못하거나 공격이 아닌데도 공격으로 감지해 패킷을 드롭시킬 수 있다.
공격 상황을 공격이라 판단하거나, 정상 상황을 정상이라 판단하면 True Positive이다.
공격 상황인데 정상 상황이라고 판단할 경우 False Positive(오탐) 이다. 이런 경우가 발생하면 예외로 처리해 오탐을 줄이는 튜닝 작업이 필요하다.
공격 상황이 아닌데 공격 상황이라고 판단할 경우 False Negative(미탐)이다.
- 다음 사항으로 인해 발생한다.
  - 공격 패턴에 대한 업데이트가 되지 않음
  - 과도한 예외 처리로 공격 패킷 탐지가 정상적으로 되지 않았음
  - 공격 데이터베이스가 업데이트되기 전에 ‘제로 데이 공격(Zero-Day Attack)' 발생

Last updated 3 months ago