9. 보안 시스템
1) 인증 시스템
: 인증하려는 주제를 식별하고 이에 대한 인증 서비스를 제공하는 시스템
(1) 인증 수단
- 알고있는 것: 아이디, 패스워드
- 자신의 모습: 지문, 손 모양, 홍채, 망막, 서명, 키보드, 성문 (목소리), 얼굴 등
- 가지고 있는 것: 스마트 키, 스마트 카드, 신분증, OTP, 공인인증서
- 위치하는 곳: 사용자 IP, 콜백
(2) SSO (single sign on)
- 가장 기본적인 인증 시스템으로, 시스템이 몇개이든 한 시스템의 인증에 성공하면 다른 시스템에 대한 접근 권한을 모두 얻을 수 있음
- 처음 클라이언트가 서버에 연결을 요청하면 서버는 클라이언트에게 SSO서버에서 인증 받은 후 접속하라고 요청하고, SSO 서버에서 인증을 받으면 SSO서버와 연결된 다른 서버에서도 별도의 인증과정 없이 접속 가능
- SSO 서버에서 한번 인증받은 뒤 다른 서버나 사이트에 인증 없이 접속이 가능하기 때문에 보안 취약점이 많음 (단일 장애점)
=> 지속적인 인증, 재인증 필요
2) 방화벽
: 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어
- 접근제어: 관리자가 통과시킬 접근과 거부할 접근을 명시하면 방화벽이 수행, 룰셋으로 구현
구현 방법에 따라 패킷 필터링 방식과 프록시 방식으로 나뉨
** 룰셋: 방화벽 기준으로 보호하려는 네트워크의 내외부에 존재하는 시스템의 IP주소와 포트로 구성
패킷 필터링: 수신처 IP 주소, 송신처 IP 주소, 수신처 포트 번호, 송신처 포트 번호, 컨트롤 비트 등으로 패킷을 통과/ 통제
프록시: 사용자와 다른 웹사이트/ 서버 사이의 데이터 전달을 도와주는 서버
- 로깅과 감시추적: 룰셋 설정, 변경, 관리자 접근 등의 로그를 남기고 추적
- 인증: 메시지인증 (VPN), 사용자인증 (패스워드/ OTP, 토큰 기반 등), 클라이언트 인증
- 데이터 암호화: 한 방화벽에서 다른 방화벽으로 데이터를 암호화해서 보냄 (VPN 이용)
- 방화벽의 한계: 바이러스같이 파일을 통해 감염되는 경우 영향을 미치기 어렵고, 웜의 공격도 모두 막을 수는 없음
3) 침입 탐지 시스템 (IDS)
: 방화벽의 한계를 보완하기 위해 사용, 네트워크의 백신 기능을 함
네트워크를 통한 공격을 탐지하기 위함이며,
호스트 기반의 침입 탐지 시스템 (HIDS) 과 네트워크 기반의 침입 탐지 시스템 (NIDS) 으로 구분됨
(1) 침입 방지 시스템의 주요 기능
- 데이터 수집: HIDS, NIDS를 이용해 로그를 남김
- 데이터 필터링과 축약: HIDS, NIDS를 이용해 남긴 데이트를 모아 분석해 공격에 빠르게 대응
효과적인 데이터 수집을 위해 데이터 수집 규칙을 설정하는 작업이 필요
** 클리핑 레벨: 잘못된 패스워드로 일정 횟수 이상 접속을 시도하면 로그를 남기는 기능
- 침입 탐지:
오용 탐지: 이미 정립된 공격 패턴을 입력해두고 해당하는 패던이 탐지되면 알림
오탐률이 낮지만 알려진 공격 외엔 탐지가 불가능
상태 전이: 공격 상황에 대한 시나리오를 작성해두고 각각의 상태에 따른 공격을 분석
이상탐지: 정상적이고 평균적인 상태를 기준으로 했을 때 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 일어나면 알림
인공지능 시스템과 면역시스템
- 책임 추적 및 대응: 침입자의 공격을 역추적해 침입자의 시스템/ 네트워크를 사용하지 못하게 함
(2) 설치 위치
- 네트워크의 어느 부분에나 설치 가능
방화벽 뒤, DMZ, 내부 네트워크, 라우터 뒤, 패킷이 라우터로 들어오기 전 순으로 설치가 일반적
4) 침입 방지 시스템
: 공격에 대한 능동적인 분석과 차단을 수행
침입 탐지 시스템 + 방화벽
(1) 침입 방지 시스템의 개발 과정
- 침입 탐지 시스템은 탐지만 가능하고 대응할 수 없고, 웜과 바이러스의 공격이 빠르게 발전함
=> 해결 위해 개발
(2) 침입 방지 시스템의 동작 원리
: 침입 탐지 기능을 수행하는 모듈이 패킷 하나하나를 검사하여 분석하고 정상적이지 않으면 방화벽 기능의 모듈로 패킷 차단
- 가상머신 도입: 악성 코드가 발전함에 따라 코드나 패킷 분석만으로는 공격을 막기가 어려워짐
=> 네트워크에서 확인되는 실행 파일, 악성코드와 같은 형태, 공격으로 보이는 패킷 등을
분석하지 않고 침입 방지 시스템에 내장된 가상 머신에 보내 그대로 실행...
만약 가상머신에서 문제가 발생했다면 (악성코드와 유사한 동작을 보이면) 해당 패킷을 그대로 차단
(3) 침입 방지 시스템의 설치
- 일반적으로 방화벽 다음에 설치
: 방화벽이 네트워크 앞부분에서 불필요한 외부 패킷을 한번 차단해 더 효율적으로 검사가 가능
5) 통제 및 감시 장비
: 물리적
- 감시카메라
- 엑스레이 검사기
- 금속 탐지기
- 보안 스티커
6) 기타 보안 솔루션
(1) VPN
- VPN: Virtual Private Network
기업 내부의 네트워크에서 주고받는 데이터는 외부로 유출되면 안되기 때문에 인터넷과 구분된 임대 회선을 사용하는데, 비싼 임대회선 대신 저렴한 VPN을 이용
VPN은 임대회선곽 비슷한 수준의 기밀성을 제공해야 하기 때문에 암호화가 필요
(2) VLAN
: 물리적 위치와 상관 없이 네트워크 망을 분리하는 기능
(네트워크를 임의로 나눈 뒤 각각의 작은 네트워크에 브로드캐스트 패킷 제한 기능을 부여)
ex) 한 네트워크를 여러 회사가 사용할 때 이용하면 보안 유지 가능
접근 제어 목록을 통해 접근을 통제할 수 있고,
악성 코드가 발생했을 때도 범위를 제한할 수 있음
패킷 전송-> 패킷 수신-> 스위치간의 VLAN 통신
(3) NAC
: Network Access Control
- 과거의 IP관리 시스템에서 발전한 솔루션으로, 기본적인 개념은 IP관리 시스템과 유사
- 접근 제어 및 인증, PC 및 네트워크 장치 통제 (무결성 확인), 해킹/ 웜/ 유해 트래픽 탐지 및 차단
- 일반적으로 MAC 주소를 IP관리 시스템의 관리자에게 알려주어야 사용 가능
- 클라이언트가 네트워크에 접근하는 것을 통제,
IP가 무질서하게 사용되는 것을 막아 가용 IP를 쉽게 확인할 수 있게 도움,
IP충돌로 인한 문제를 막아줌,
보안 사고 발생시 공격자 추적에 도움 (공격자가 남긴 로그로)
- 구현 방법: 인라인 방식/ 802.1x 방식/ VLAN 방식/ ARP 방식/ 소프트웨어 에이전트 설치 방식
(4) 보안 운영체제
- 운영체제의 결함때문에 발생할 수 있는 각종 해킹으로부터 시스템을 보호하기 위해
보안 기능이 통합된 보안 커널을 추가로 이식한 운영체제
단, 실행되며 CPU의 일정 부분을 점유하기 때문에 성능이 낮아질 수 있음
(5) 백신
- 시스템 내에 존재하는 바이러스를 잡기 위해 만들어짐
백신 프로그램이 시스템에 항상 상주하며 바이러스나 웜이 구동하면 실시간으로 탐지, 제거
바이러스, 웜, 인터넷으로 유포되는 악성코드까지 탐지, 제거 가능
(6) PC 방화벽
- 네트워크상의 웜이나 공격자로부터 PC를 보호하기 위해 사용
내부로 유입되는 패킷, 외부로 나가는 패킷 모두 차단하고 사용자에게 네트워크 패킷의 적절성 여부를 확인받음
- 웜이 침투한 상황에서 백신은 파일에 영향을 미칠 때 탐지하고 제거하지만, 방화벽은 웜이 네트워크를 통해 침투하는 것 자체를 막아주기 때문에 조금 더 효율적일 수 있음
(7) 스팸 필터 솔루션
- 메일 서버 앞단에 위치하여 프록시 메일 서버로 동작
SMTP 프로토콜을 이용한 DoS 공격이나 폭탄메일, 스팸 메일을 차단
전송되는 메일의 본문 검색 기능을 통해 내부 정보 유출 방지에 도움
- 메일 헤더 필터링/ 제목 필터링/ 본문 필터링/ 첨부파일 필터링
(8) DRM
- 문서 보안에 초점을 둔 기술로, 문서의 열람/ 편집/ 인쇄에 접근 권한을 설정하여 통제
(대부분의 파일 형태 지원)
(9) DLP
- 사용자 수준에서 정보가 유출되는 것을 막는 솔루션
사용자의 다양한 데이터 전송 인터페이스 제어
- 매체 제어/ 통신 인터페이스 제어/ 인터넷 통신 제어
