리얼 월드 IPS 사용자 조사

지난 호에서는 IPS 평가의 필수항목으로 인라인 네트워크의 안정성, 코어 네트워크급 성능, 낮은 지연 시간, 폭넓은 공격 차단 범위, 고도의 필터 정확성에 대해 알아보았다. 더불어 리얼 월드, 즉 실제 운영중인 네트워크에서 IPS 사용자들은 이 솔루션을 어떻게 평가하고 있는지를 살펴보는 첫 번째 항목인 ‘인라인밴드 솔루션’에 대해 확인하는 기회를 가졌다. 이번 호에서는 리얼 월드 IPS 사용자들의 평가항목 중 두 번째인 ‘악성 트래픽 차단의 정확성’부터 이야기를 시작하도록 하겠다.

인라인 밴드 방식 IPS의 또 다른 주요 기능 중 하나는 단순 악성 트래픽을 탐지(Alert only)하는 것에 그치는 것이 아니라 다양한 필터를 작동시켜 공격을 실제로 차단(Block)한다는 것이다. 즉 정상 트래픽은 통과시키면서 악성 트래픽만 차단하는 필터의 정확성이 보장되어야 사용자들은 제품을 신뢰하고 필터를 본래의 목적인 ‘차단 모드’로 사용할 수 있다.

그림 1은 IPS 제품별 사용자가 공격 차단을 위해 사용하는 활성 필터의 평균 개수를 보여준다. 티핑포인트는 취약점 분석 및 발견을 위한 업계 최고의 보안 연구 조직인 디비랩스(DVLabs; Digital Vaccine Laboratories)팀을 보유하고 있으며 이들은 정상 트래픽에 영향을 끼치지 않는 정확한 IPS 취약점 대응 필터를 제공하는 것으로 잘 알려져 있다. 또한 티핑포인트의 취약점 대응 필터는 현재 존재하는 공격뿐 아니라 미래의 잠재적인 모든 공격을 철저히 방어해 완벽한 보안을 제공한다.

악성 트래픽 차단의 정확성과 적시의 보안 업데이트

또 하나의 중요한 IPS 솔루션 평가 기준은 새로 발견하거나 기존에 알려진 소프트웨어의 취약점을 보호하기 위한 필터 개발 및 업데이트의 적시성이다.

그림 2는 IPS 필터 업데이트를 주 1회 또는 2회 제공받는다고 응답한 사용자 수다. 티핑포인트 사용자 중 총 87%가 주 2회(37%), 또는 주 1회(50%) 필터 업데이트를 받는다고 응답했다. 반면 시스코 사용자 중 주 1회 이상 업데이트를 받는다고 밝힌 응답자는 65%, IBM(ISS)와 맥아피 사용자는 각각 56%와 42%였다. 이것은 DVLabs팀에 대한 티핑포인트의 대규모 투자를 보여주는 분명한 결과이자 소프트웨어 취약점 발견 측면에서 IPS 업계를 선도하고 있음을 입증한다.

DVLabs팀의 뛰어난 보안 연구 및 IPS 필터 개발 역량은 티핑포인트가 여타의 소프트웨어 기반 공급업체보다 빨리 취약점을 발견하고 발 빠르게 IPS 필터를 공급할 수 있도록 한다.

인포네틱스 리서치 자료에 따르면 티핑포인트 사용자들은 제공된 모든 IPS 필터에 대한 업데이트를 다른 IPS 공급업체의 사용자들보다 더 적극적으로 적용하는 편이다. 설문 대상 티핑포인트 사용자 중 약 4분의 3(74%)은 DVLabs팀에서 제공하는 IPS 필터 업데이트를 모두 적용하고 있다고 밝혔다. 이를 통해 티핑포인트 사용자들은 다른 제품의 사용자보다 티핑포인트 IPS를 더 신뢰함을 알 수 있다.

모든 티핑포인트 IPS는 기본적으로 악성 트래픽을 차단하도록 ‘권장 설정(Recommended Settings)’ 상태로 제공된다. 티핑포인트에서 오탐없는 성능을 보장하는 ‘권장 설정’은 DVLabs팀에서 제공하는 IPS 필터 업데이트에 포함되어 있으며 각 신규 필터의 기본 설치 방법을 정확하게 알려준다. 이 필터 정보를 바탕으로 사용자는 티핑포인트의 IPS 필터 업데이트를 자신 있게 자동 적용할 수 있게 된다.

때때로 마이크로소프트와 같은 애플리케이션의 취약점이 대중에게 공개되기 전에 새로운 IPS 필터가 긴급 배포되기도 하는데 이것은 소프트웨어 공급업체가 취약점에 대한 패치를 미처 개발할 틈도 없이 해커들이 이 취약점을 먼저 발견하여 공격을 감행할 수도 있기 때문에 IPS 공급업체가 이를 방지하고자 제로데이 공격을 사전에 차단하는 것이다.

이러한 제로데이 공격으로 인해 네트워크에 커다란 보안 허점이 생길 수도 있어 이를 해결하고자 IPS 공급업체는 지속적으로 취약점을 연구하고 분석을 수행하고 있다. 이렇듯 소프트웨어 패치 공급에 앞서 보안 허점을 보다 빨리 파악하고 방어할 수 있으려면 제로데이 필터 개발을 전문으로 하는 자체 연구팀을 운영하면서 전 세계에 흩어져 있는 보안 실무자들이나 연구자들과의 협업을 강화해야만 한다.

지금부터 IPS 공급업체 간 비교 결과를 통해 제로데이 위협 차단 범위를 좀더 상세히 살펴보겠다.

인포네틱스 리서치 조사 자료에 따르면 티핑포인트 사용자 중 절반(50%)이 제로데이 위협으로부터 사전 보호를 받고 있다고 밝혔다. 이것은 티핑포인트 다음 순위를 차지한 경쟁 제품보다 2~3배 높은 수준이다. 또한 티핑포인트 사용자 중 24%는 취약점이 발견된 ‘당일’에 즉시 대응 필터를 전달받는다고 답했다.

소스파이어 사용자 중에서는 20%, 맥아피는 15%, 시스코는 10% 그리고 IBM(ISS)는 8%가 사전 제로데이 보호를 받는다고 응답했다. 결과적으로 티핑포인트는 DVLabs팀을 기반으로 취약점 연구에 적극적으로 투자하고 있으며 약 800여명의 현업 보안 실무자나 연구원들로 구성된 ‘제로데이 이니셔티브(ZDI; Zero Day Initiative)’ 조직 후원을 통해 소프트웨어 애플리케이션 취약점 발견 측면에서 IPS 업계를 선도하고 있음을 재차 입증한다.

사용의 편리성

IPS 솔루션의 설치 및 관리가 쉽지 않다면 네트워크 관리자는 선뜻 이 솔루션을 도입하려고 하지 않을 것이다. 이와 관련해 인포네틱스 리서치는 5개 IPS 공급업체 각각에 대해 설치 시간 및 IPS 필터 구성의 편리성 등 관리 측면에서 평가를 실시했다.

이 영역은 이번 조사에서 가장 의미 있는 분석 결과 중 하나이며 상당수의 IPS 설치가 초기단계에서 어려움을 겪거나 장비가 잘못 설치된 탓에 공격을 막아내는데 실패한 경우도 있었다.

티핑포인트 사용자 중 76%가 IPS 제품을 2시간 이내에 설치할 수 있다고 밝힘으로써 티핑포인트의 최초 구성 시간이 가장 짧은 것으로 나타났다. 시스코 및 맥아피 사용자 중 2시간 이내에 IPS 장치를 설치할 수 있다고 응답한 비율은 38%였으며 IBM(ISS) 사용자 중 2시간 이내에 설치에 성공했다고 밝힌 응답자는 17%에 불과했다.

설치 후 IPS 솔루션을 최대한 활용하기 위해서는 초기단계 및 이후의 지속적인 IPS의 필터 구성이 중요하다. 뿐만 아니라 최소한의 IT 리소스 투자를 통해 필터를 관리하고 설치하는 것 또한 중요하다. 이번 인포네틱스 리서치 조사에서는 IPS 필터 구성을 다음과 같이 3단계 수준으로 분류했다.

쉬운 구성(Light Effort) : 정해진 시간 내 공급업체의 지원에 의존하지 않으면서 신속하고 효율적으로 필터 목록을 탐색하며 각 세그먼트별로 필터를 적용, 정책에 따라 활성화할 수 있다.

보통 구성(Moderate Effort) : 필터 목록 탐색, 세그먼트 적용 및 정책 활성화에 다소 어려움이 있어 예상했던 것보다 많은 시간이 걸린다.                         

까다로운 구성(Significant Effort) : 필터 목록 탐색, 세그먼트 적용 및 정책 활성화를 위해서는 공급업체의 기술 또는 영업 지원 조직의 도움을 받아야 한다.

그림 6과 같이 티핑포인트 사용자 중 66%가 IPS 필터를 손쉽게 구성할 수 있었다고 밝힌 반면, IBM(ISS)와 맥아피 사용자 중 수월하게 필터를 구성했다고 응답한 비율은 각각 22%와 15%에 불과했다.

리얼 월드의 구현

지난 2003년 8월 업계의 대표적인 애널리스트가 ‘IPS가 IDS를 대체할 것’이라고 주장한 이래 IPS의 이점은 그간 명확하게 증명되어 왔다. 그러나 인포네틱스 리서치의 IPS 사용자 조사 결과에 따르면 IPS 사용자 중 30~45%는 아직도 많은 필터를 활성화해 악성 트래픽을 차단하는 인라인 밴드 방식이 아닌 아웃오브밴드 방식에 머무른 채 공격 차단이 아닌 공격 탐지 용도로만 사용하고 있을 뿐이다.

사용자들은 티핑포인트 IPS에 대해 높은 신뢰도를 가지고 있었으며 주요 IPS 성능 및 관리성 평가 부분에서 모두 티핑포인트를 1위로 평가했다. 티핑포인트 사용자들은 다른 경쟁 제품의 사용자들에 비해 IPS 재구매에 대한 충성도가 더 높았다. 실제로 인포네틱스 리서치는 IPS 제품을 추가 구입할 의사가 있는 티핑포인트 사용자 중 62%는 타사 솔루션을 검토하지 않고 지속적으로 티핑포인트 제품을 선택할 것이라고 밝혔다.

보안 예산, IPS에 쓰이는 것이 효율적

티핑포인트는 지금까지 언급한 IPS의 필수항목들을 충족시키는 솔루션을 설계, 개발하고자 하는 특별한 목적으로 설립되었다.

2001년 티핑포인트 설립 당시는 IDS가 널리 보급된 상태였으며 그때의 IDS 공급업체들은 현재까지도 건재하며 여전히 IDS를 판매하고 있다. 그들은 과거부터 지금까지 오로지 IDS가 IPS와 같이 구현되도록 설계되지 않았다는 이유만으로 인라인 밴드 구성 및 악성 트래픽 자동 차단 방식이 매우 위험하다고 계속 주장하고 있다. 그러나 시장은 막대한 보안 예산과 전문 인력을 투자해놓고 ‘탐지와 경보’만을 제공하는 것은 더 이상 실효성이 없다고 평가하고 있다.

그렇다고 IDS가 근본적으로 쓸모없는 것은 아니다. 탐지 및 인위적 분석이 효과를 발휘하는 분야도 있기 때문이다. 그러나 보안 예산은 비용 대비 최대 효과를 얻을 수 있는 방향으로 집행해야 하기에 경보 발령에 국한된 IDS보다는 IPS에 먼저 쓰이는 것이 훨씬 효율적이다.

티핑포인트는 치명적인 공격을 비용 효율적인 방식으로 자동 차단함으로써 효과적이고 완벽한 네트워크 보안을 위해 소요되는 비용 및 복잡성 부담을 크게 줄여준다.

사용자들은 인라인 밴드 방식의 티핑포인트 IPS가 악성 트래픽과 원치 않는 트래픽을 네트워크에서 제거한 상태에서 많은 수의 활성 필터를 통해 자동으로 공격을 차단해 줘 더욱 신뢰할 수 있다고 말하고 있다.

현재 티핑포인트는 포춘지가 선정한 1,000대 기업을 비롯해 글로벌 3,000대 기업, SME(Small to Medium Enterprise) 및 일부 SMB(Small to Medium Business) 기업 등 전 세계 주요 산업 분야에 걸쳐 수만 대의 IPS를 공급했다.

<글 : 박진성 티핑포인트 코리아 이사(jpark@tippingpoint.com)>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>