우리는 로그를 분석하고 데이터의 홍수 속에서 침입의 흔적을 찾으려 하는데 많은 시간을 소비하였다. 오류를 제거하기 위하여 효과 없는 시도 속에 튜닝과 커스터마이징을 하는데 시간을 소비하며 시스템과 바뀐 데이터를 다시 복구한다. 침입이 방지되지 못한 관리소홀에 대해 해명하며 그리고 최종적으로 다시는 일어나지 않도록 노력한다. 이러한 일련의 노력들이 IDS 관리자의 일이다. 다행히 네트워크의 보안에 토대를 마련하는 침입방지라는 해결책이 나왔다. 단순한 탐지보다 공격을 막음으로써 공격이 일어나는 것을 근본적으로 방어하는 것을 목적으로 한다. 침입탐지는 보안팀이 반응하는데 주안점을 둔다. 위험을 최소화하는 행동을 하기 보다는 발생할 시점을 기다린다. 반면에 침입방지는 사전에 대처하게 한다. 최초의 발생시기에 공격을 차단함으로써 보안정책, 사업 진행계획 등 보안관련에 더 많은 집중을 할 수 있게 한다. "네트워크기반 IDS는 은행 밖에 감시자를 세우고 알려진 도둑의 얼굴을 주고 감시 하는 것과 같다. 만약 감시인이 많은 사람들 중에 어느 한 사람이 도둑이라고 판단되면 그때서야 알람을 울린다. 호스트 기반 IDS는 그 안에 여전히 있다고 믿고 있는 금고 안에서 황금막대기를 보고 있는 것과 같다." -Leigh Purdie ? Intersect Alliance Director and Principal Security Consultant 위의 인용은 호스트기반 IDS와 네트워크 기반 IDS을 정확히 묘사한다. 문제는 호스트 기반IDS이나 네트워크기반IDS 모두 침입을 당하고 난 뒤에야 그 사실을 알린다는 것에 있다. 반면에 IDS와 달리 IPS는 침입을 알리고 차단하여 더 이상의 침입을 허용하지 않는다. 본문에서 IDS가 어떻게 대중적인 인기를 얻었는가, IDS의 취약점, IPS가 이러한 취약점을 어떻게 보완하여 보안에 새로운 제안을 하는 가를 논하게 될 것이다. |
a011.pdf
