보안의 기본

정보 보안

  • 정보 보안이란 정보에 위험/사고가 발생하지 않고 온전한 상태를 유지하는 것을 의미한다.

  • 정보 보안의 필수 요소는 다음과 같다.

    • 기밀성(Confidentiality)

      • 인가되지 않은 사용자가 정보를 보지 못하게 하는 작업

      • 암호화를 하는 경우 기밀성이 보장된다.

    • 무결성(Integrity)

      • 정확하고 완전한 정보 유지에 필요한 작업

      • MD5, SHA 등 해시 함수를 이용해 변경 여부를 파악할 수 있다.

    • 가용성(Availability)

      • 정보가 필요할 때 접근을 허락하는 작업

      • 늘 정보를 사용할 수 있어야 한다.

    • 진정성(Authenticity), 책임성(Accountability), 부인 방지(Non-Repudiation), 신뢰성(Reliability) 유지

네트워크 정보 보안

  • 정보를 수집, 가공, 저장, 검색, 송수신하는 도중에 정보의 훼손, 변조, 유출을 막기 위한 관리적, 기술적 방법

  • 네트워크를 통한 다양한 공격 방식과 그 공격을 네트워크에서 방어하는 장비와 그 구동 방식을 이해해야한다.

  • 시스템과 애플리케이션에 결함이 있거나 취약점이 있는 경우에도 네트워크의 다양한 보안 장비를 활용한다면 외부의 공격을 늦추거나 적절히 방어할 수 있다.

  • 네트워크 장비는 보안 영역 내/외부 변화로 발전한다.

    • 보안 영역 외부는 인프라스트럭처나 서비스의 대변화로 인해 보안이 따라서 발전해야 하는 경우이다.

    • 보안 영역 내부는 해킹 기술의 발전에 대응하다보니 새로운 보안 장비와 서비스가 개발되어 발전하는 경우이다.

  • 최근에는 빅데이터와 머신러닝 기법을 보안에 적용하기도 한다.

네트워크 분류

  • Untrust: 신뢰할 수 없는 외부 네트워크

  • Trust: 신뢰할 수 있는 내부 네트워크

  • DMZ(DeMilitarized Zone): 내부 네트워크이지만 신뢰할 수 없는 외부 사용자에게 개방되는 서비스 네트워크

트래픽 방향과 용도에 따른 분야

  • Internet Secure Gateway

    • Trust/DMZ 네트워크에서 Untrust 네트워크로의 통신을 통제

    • 인터넷에 수많은 서비스가 있으므로 그에 대한 정보와 요청 패킷을 적절히 인식하고 필터링하는 기능이 필요하다.

    • 방화벽, SWG(Secure Web Gateway), 웹 필터(Web Filter), 애플리케이션 컨트롤(Application Control), 샌드박스(Sandbox)와 같은 다양한 서비스나 네트워크 장비가 포함된다.

  • Data Center Secure Gateway

    • Untrust 네트워크에서 Trust/DMZ 네트워크로의 통신을 통제

    • 상대적으로 고성능이 필요하고 외부의 직접적인 공격을 막아야 하므로 인터넷 관련 정보보다 공격 관련 정보가 더 중요하다.

    • 방화벽, IPS, DCSG(DataCenter Secure Gateway), WAF(Web Application Firewall), Anti-DDoS(Distribute Denial of Service) 등의 장비가 포함된다.

네트워크 보안 정책

  • 화이트리스트와 블랙리스트 방식이 있으며 공격 기법을 적절히 섞어 사용할 것을 권고한다.

  • 화이트리스트

    • 방어에 문제가 없다고 명확히 판단되는 통신만 허용하는 방식이다.

    • IP와 통신 정보에 대해 명확히 아는 경우에 많이 사용된다.

    • 통신 정보를 상세히 알고 세부적인 통제가 필요해 많은 관리 인력이 필요하다.

    • 잘 아는 IP 주소만 정책으로 열어놓고 나머지 주소로 가는 모든 패킷을 방어하는 형태로 운영한다.

  • 블랙리스트

    • 공격이라고 명확히 판단되거나 문제가 있었던 IP 리스트나 패킷 리스트를 기반으로 데이터베이스를 만들고 그 정보를 이용해 방어하는 방식이다.

    • 공격 패턴(Signature): 공격을 당했을 때 공격 기법을 판단해 탐지하도록 간단히 데이터베이스를 만들어 둔 것이다.

    • 블랙리스트 기반 장비는 IPS, 안티바이러스 등 악성 코드나 공격 기법에 대한 시그니처를 만들고 이 데이터베이스들을 업데이트받아 동작한다.

    • 보안 관리 인력이 부족한 경우, 블랙리스트 기반 방어 정책을 수립하고 공격 데이터베이스를 최신으로 유지하는 것이 좋다.

    • 해킹을 시도했던 IP 리스트를 작성해 그 IP들만 방어하는 형태로 운영한다.

탐지 에러 타입

  • 공격 데이터베이스를 아무리 정교하게 만들더라도 공격으로 탐지하지 못하거나 공격이 아닌데도 공격으로 감지해 패킷을 드롭시킬 수 있다.

  • 공격 상황을 공격이라 판단하거나, 정상 상황을 정상이라 판단하면 True Positive이다.

  • 공격 상황인데 정상 상황이라고 판단할 경우 False Positive(오탐) 이다. 이런 경우가 발생하면 예외로 처리해 오탐을 줄이는 튜닝 작업이 필요하다.

  • 공격 상황이 아닌데 공격 상황이라고 판단할 경우 False Negative(미탐)이다.

    • 다음 사항으로 인해 발생한다.

      • 공격 패턴에 대한 업데이트가 되지 않음

      • 과도한 예외 처리로 공격 패킷 탐지가 정상적으로 되지 않았음

      • 공격 데이터베이스가 업데이트되기 전에 ‘제로 데이 공격(Zero-Day Attack)' 발생

Last updated