학습목표
- 방화벽
- 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)
- DLP
- DRM
- NAC
1. 방화벽 (Firewall)
방화벽이란?
- 화재 시 불길 확산을 막는 벽 → 보안에서는 외부에서 내부 유입을 막는 솔루션
- 정책(규칙)에 따라 메시지를 허용하거나 차단
방화벽의 종류
- 소프트웨어 방식: 예) 윈도우 방화벽
- 하드웨어 방식: 네트워크 장비 형태
주요 기능
- 접근 제어 (Access Control): 규칙 집합(Rule Set) 기반 허용/차단
- 규칙 구성: 출발지(IP+Port), 도착지(IP+Port), 정책(허용/차단)
보안의 기본 원칙
- Fail Safe (페일 세이프): 오류 시 안전하게 정지
- Safe Failure (세이프 페일러): 실패 시 피해 최소화, 예비 시스템 사용
방화벽 규칙 예시
- 내부 → 외부 웹 접속: 80번 포트 허용
- 외부 → 내부 웹/FTP 서버 접근 허용 (예: 192.168.1.10, 192.168.1.12)
- 메일 필터링 규칙: SMTP 허용, POP3 차단, IMAP 허용, 외부 메일 차단
감사 및 운영 로그
- 감사 로그(Audit Trail): 누가 언제 무엇을 변경했는지 기록
- 운영 로그: 어떤 메시지가 허용/차단됐는지 기록
하드웨어 vs 소프트웨어 방화벽
- 보안이 중요한 조직은 둘 다 사용
윈도우 방화벽 규칙 설정
- 포트 기반 설정: 인바운드/아웃바운드, TCP/UDP, 허용/차단 지정
- 애플리케이션 기반 설정: 프로그램 단위로 허용/차단
포트 기반 규칙 설정
- 인 바운드 : 외부 네트워크에서 내부 네트워크로 들어오는 메시지에 대한 규칙
- 아웃 바운드 : 내부 네트워크에서 외부 네트워크로 나가는 메시지에 대한 규칙
2. 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)
IDS란?
- 침입 탐지 시스템: 악의적인 공격 탐지 후 관리자에게 알림
- 보안 위협: 무결성, 비밀성, 가용성 침해 행위
IDS 종류
- NIDS (Network 기반 IDS)
- HIDS (Host 기반 IDS)
방화벽과 NIDS 차이
- 방화벽: IP/포트 기반 차단
- NIDS: 메시지 내용 분석으로 탐지
IDS 동작 단계
- 데이터 수집: 미러링, 스니핑
- 데이터 정제: 필터링, 축약, 클리핑 레벨 설정
- 분석과 탐지
- 오용 탐지: 사전 정의된 패턴 탐지
- 이상 탐지: 비정상적 행동을 탐지
- 오용 탐지의 장단점: 낮은 오탐률 / 새로운 공격엔 취약
- 이상 탐지의 장단점: 새로운 공격 탐지 / 오탐률 높음
- 결과 리포트: 관리자에게 팝업/이메일/SNMP 트랩 전달
스노트(Snort)
- 대표적 오픈소스 IDS
- 룰 기반 탐지, 패킷 캡처 필요 (pcap)
- http://www.snort.org
NIDS 설치 위치
- 내부 네트워크에 설치 가능.
- 방화벽 외부
- 방화벽 내부 (DMZ)
1. DMZ(비무장지대, Demilitarized zone): 외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크
2. 외부와 내부 모두로부터 보호되어야 하기 때문에 매우 높은 보안 수준을 요구
3. 외부 네트워크로부터 출발해서 방화벽을 통과한 침입에 대한 탐지 목적 - 내부 네트워크: 백본
- 내부 네트워크: 주요 서브넷
HIDS
- 호스트 기반 IDS
- 무결성 점검, 로그 분석
- 단점: 리소스 소모, 로그 변조 위험
IPS란?
- 침입 방지 시스템: 실시간 탐지 및 자동 차단
- IDS와 차이: IPS는 인라인 방식으로 실시간 차단 수행
IDS와의 차이
(1) 침입 시도라고 판단되었을 때의 대응 행위
- 침입 탐지 시스템 : 직접적인 차단 기능은 실행하지 않음
- 침입 방지 시스템 : 침입 시도에 대해서 즉시 차단 기능을 수행
(2) 기술적 차이
- 침입 탐지 시스템 : 모니터링/미러링 방식
- 침입 방지 시스템 : 게이트웨이/인라인 방식
- 외부 네트워크에서 전달되는 모든 패킷이 거쳐서 지나감
- 장애가 발생했을 때 회사 네트워크 전체에 장애가 발생할 수 있다는 위험성
3. DLP (Data Loss Prevention)
개요
- 정보 유출 방지 솔루션
- 외부로 나가는 정보 통제 (방화벽은 외부에서 내부)
종류
- 네트워크 DLP
- 스토리지 DLP
- 엔드포인트 DLP
네트워크 DLP
- 모니터 방식: 기록 남김
- 프리벤트 방식: 전송 차단
스토리지 DLP
- 중요 정보의 위치 식별
- 평문 저장 시 삭제/격리/암호화 필요
엔드포인트 DLP
- USB, 출력물 등 통해 유출 방지
- 내용 기반(Content-Aware) 통제
- 단점: 에이전트 설치 필요, 해커 공격 가능성
4. DRM (Digital Rights Management)
개요
- 디지털 콘텐츠, 특히 문서 보안 솔루션
- 문서 생성 ~ 폐기까지 문서 생명 주기 관리
- 암호화 기반, 권한 없는 사용자는 열람 불가
동작 방식
- 읽기 시: 인증 안 되면 복호화 불가
- 쓰기 시: 보안 정책 느슨 시 유출 가능 (내부자 위장 가능)
5. NAC (Network Access Control)
개요
- 엔드포인트가 내부망 접속 시 통제
- 접속 전 백신, 패치 상태 점검 → 격리 네트워크 제공
- 네트워크 접근 제어 솔루션
과거 IP 관리 시스템에서 발전
- 중복 IP 제거, DHCP 보완
- 사고 발생 시 위치 및 사용자 추적
구현 방식
- 에이전트 방식: 클라이언트 설치 필요
- 에이전트리스 방식: 설치 불필요
동작 방식
- In-Line 방식: 게이트웨이 형태, 기존 네트워크 최소 변경
- 802.1x 방식: 포트 기반 제어, 스위치 필요
- VLAN 방식: 비인가 사용자 분리 VLAN 할당
- ARP 방식: ARP 스푸핑으로 차단, 빠른 적용 가능