[새싹 성동 2기] 6. 보안관제(2) - 관제장비

목차

 

1. 관제장비 구성 및 종류

2. 장비별 특성

 

 

 

 

[1] 관제장비 구성 및 종류

온프레미스와 클라우드 환경의 보안관제 실무 / 이별 강사님(https://www.linkedin.com/in/byeol-lee-0b16081a6/)

 

DDoS 장비 : 평상시 트래픽 대비 과도한 트래픽 발생시 차단하는 역할
방화벽/IDS/IPS : 허가받지 않은 접근일 경우 차단하는 역할
NAC : 네트워크 접근 제어, 보안을 준수한 단말의 접속만을 허용하는 역할
WIPS : 무선랜 전용 보안장비
웹방화벽 : WAF
DB방화벽 : DBSafe
스팸필터 : 종류가 다양함

 

구분	솔루션명
네트워크 보안	디도스 장비(Distributed Denial of Service, DDoS)   방화벽(Firewall)   침입 탐지 시스템(Intrusion Detection System, IDS)   침입 방지 시스템(Intrusion Prevention System, IPS)   웹방화벽(Web Application Firewall, WAF)   네트워크 접근 제어(Network Access Control, NAC)   무선 침입 방지 시스템(Wireless Intrusion Prevention System, WIPS)   통합 보안 시스템(Unified Threat Management, UTM)
시스템 보안	스팸 차단 솔루션(Anti-Spam Solution)   보안 운영체제(Secure OS)
컨텐츠/정보유출 방지 보안 솔루션	보안USB   디지털 저작권 관리(Digital Right Management, DRM)   내부 정보 유출 방지(Data Loss Prevention, DLP)
보안 관리 솔루션	전사적 통합보안관리 시스템(Enterprise Security Management, ESM)   위협 관리 시스템(Threat Management System, TMS)
단말 보안	백신 / pc방화벽   모바일 기기 관리(Mobile Device Management, MDM)   모바일 애플리케이션 관리(Mobile Application Management, MAM)

 

 

 

 

[2] 장비별 특성

(1) 방화벽(Firewall)

- 네트워크의 출입문 역할을 하는 보안 장치로 네트워크 보안의 첫 번째 방어선

- 외부 네트워크(예: 인터넷)와 내부 네트워크(예: 회사 네트워크) 사이에서 허가된 트래픽만 통과시키고, 허가되지 않은 트래픽은 차단하는 역할

이미지 출처 : https://www.okta.com/kr/identity-101/firewall/

 

- 방화벽의 주요 기능

• 트래픽 필터링 : 네트워크를 통해 오가는 데이터를 분석하여 허용/차단 여부를 결정함
• 네트워크 구분 : 내부 네트워크를 외부로부터 격리시켜 민감한 정보를 보호함
• 접근 통제 및 인증 : 어떤 IP가 어떤 서비스(포트)에 접근 가능한지를 설정함
• 로깅 및 모니터링 : 방화벽이 차단하거나 허용한 트래픽을 기록하고, 관리자에게 알림

- 방화벽 운영 2원칙

• 우선 차단 정책(Default Deny) : 허용하는 것 이외에는 모두 차단, 화이트리스트 기반의 차단 정책
• 우선 허용 정책(Default Allow) : 차단하는 것 이외에는 모두 허용, 블랙리스트 기반의 차단 정책

- 방화벽이 하지 못하는 일 : 방화벽을 통과하지 않는 트래픽은 방어할 수 없음, 악의적인 내부자 또한 방어 불가

- 차세대방화벽(Next Generation Firewall, NG Firewall) : IDS와 IPS에서 담당하던 컨텐츠 제어를 방화벽이 담당

 

 

(2) IDS (Intrusion Detection System, 침입 탐지 시스템)

- 네트워크나 시스템의 이상 행동이나 침입 징후를 탐지하는 역할

- 기능

• 경보 : 침입 탐지시 경보, 이메일 발송 등 보안 관리자에게 통보
• 셔닝(Shunning) : 공격이나 의심스러운 IP 주소 및 포트에 대해 해당 패킷을 차단하도록 지시
• 사용자 프로그램 실행 : 지정된 이벤트에 따라 특정 프로그램을 실행하도록 예약

- 침입 탐지 대상에 따른 분류

• 네트워크 기반 (NIDS) : 네트워크 패킷을 분석하여 침입을 실시간으로 탐지 가능
• 호스트 기반 (HIDS) : 로그 분석과 프로세스 모니터링을 통해 침입을 감지(네트워크 공격에 대한 실시간 탐지x)

- 침입 탐지 방식에 따른 분류

• 오용 탐지(Misuse) : 특정 패턴을 탐지하고 차단 -> 특정되지 않은 새로운 패턴은 탐지 불가
• 비정상 행위 탐지(Anomaly) : 각종 비정상 침입을 통계자료를 기반으로 판단해서 차단 -> 공격 오인 가능성 있음

- IDS의 설치 위치

온프레미스와 클라우드 환경의 보안관제 실무 / 이별 강사님(https://www.linkedin.com/in/byeol-lee-0b16081a6/)

• 우선순위 : 3 > 5 > 4 > 2 > 1

 

 

[3] IPS (Intrusion Prevention System, 침입 방지 시스템)

-탐지와 차단을 함께 수행하는 실시간 보호 장비 (IDS + Firewall 조합)

- IPS의 종류

• Switch 기반 : Worm / D(D)oS 등 알려지지 않은 공격 차단에 중심 / 성능적인 측면 강조
• Firewall 기반 : 기존 ACL에 기반한 침입차단 기능에 공격 탐지 모듈을 추가 / 유해정보차단 측면을 강조
• IDS 기반 : 기존 IDS를 인라인 모드로 동작하도록 일부 수정 / 알려진 공격 차단 및 대응 기능 강조

- IPS의 설치 위치 : IDS와 같이, 일반적으로 방화벽 다음에 설치함. 그래서 IDS/IPS 같이 묶는 경우가 많음

---

특징	방화벽	IDS	IPS
목적	접근 통제 및 인가	침입 여부의 감지	침입 이전의 방지
역할	네트워크 경계 보호,   트래픽 필터링	침입 탐지 및 경고	침입 탐지 후 실시간 차단
대응 방식	허용/차단 규칙 기반	탐지 후 경고(수동 대응 필요)	탐지 후 자동 차단
실시간 방어 여부	가능	불가능	가능
트래픽 처리	통과/차단	트래픽 복사 후 분석	통과/차단
적용 범위	IP 주소, 포트, 프로토콜   규칙 기반	시그니처 및 행위 기반 탐지	시그니처 및 행위 기반 탐지와 차단
오탐 가능성	낮음	있음	있음
장애 발생시 영향	트래픽 차단 가능성	네트워크 동작에는 영향 없음	네트워크 성능 저하 가능성
일반적인 설치 위치	네트워크 경계	방화벽 뒤	방화벽 뒤

OSI 7 계층 적용

 

 

(4) VPN (Vertual Private Network, 가상 사설망)

- 인터넷과 같은 공중망을 통해 사설망을 사용할 수 있도록 가상의 네트워크를 구성하는 방식

- 데이터를 암호화하여 통신하므로 강력한 익명성와 보안이 제공됨

- 공중망과 사설망

 

 

 

(5) WAF (Web Application Firewall, 웹방화벽)

- 일반적인 방화벽과 달리 웹 애플리케이션을 보호하기 위해 설계된 방화벽

- 웹 애플리케이션에 대한 공격 방어와 접근 통제 및 모니터링을 수행하는 보안장비

• 웹 기반 공격 예시) SQL injection, XSS, File Inclusion 등

- WAF의 주요 기능

• Request 메시지 차단 : 요청 메시지의 URL 단위 탐지 기능(확장자명으로도 차단 가능)
• Response 메시지 차단 : 웹서버 내부ㅢ 에러나 오류 정보를 탐지하고 차단
• HTTP 속성값 탐지 : HTTP 메시지의 속성값이 변조된 것을 탐지
• OWASP Top 10 방어 : Open Worldwide Application Security Project 에서 지정한 웹 애플리케이션 취약점 10개
• Bypass 기능 : 특정 트래픽을 WAF 검사에서 제외하거나 우회하도록 설정하는 기능

- WAF의 설치 위치 : DMZ 서버 바로 앞

 

 

 

(6) DLP (Data Loss Protection, 내부 정보 유출 방지)

- 조직 내부 중요자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션

- 문서보안(내부정보보안)을 목적으로 하는 기술

• 네트워크 DLP : 메일, 메신저, 웹메일, 웹하드 등 네트워크를 통하여 정보가 유출되는 것을 모니터링
• 단말 DLP : PC와 같은 단말기에서 USB 등의 이동식 저장매체와 출력물 등을 통해 유출되는 것을 방지

 

(7) DRM (Data Right Management, 디지털 저작권 관리)

- 중앙서버의 키를 매핑시켜 정상적인 사용자의 접근에만 암호화를 해제시켜 문서 내용을 확인가능하도록 하는 시스템

- 문서보안(내부정보보안)을 목적으로 디지털 콘텐츠의 저작권을 보호하는 기술

- 악용된 DRM 개념 : 랜섬웨어(공격자가 사용자의 파일을 몰래 암호화한 뒤 복호화 키를 제공하지 않으면서 금전을 요구)

---

 

 

(8) NAC (Network Access Control, 네트워크 접근 제어)

- IP 관리 시스템에서 발전한 솔루션으로, 네트워크에 대한 통제를 강화

- NAC의 주요 기능

• 정책의 강제화
• 계정 및 접근 관리 : ip 기준이 아닌 사용자를 기준으로 네트워크를 통제

 

 

(9) 기타

• 보안 OS
• 스팸 필터 솔루션
• 백신 / PC 방화벽
• SOAR (Security Orchestration, Automation, and Response) : 보안 운영 및 대응을 향상시키기 위한 자동화 및 조정 기술을 제공하는 플랫폼