다양한 보안 위협과 이에 대응할 수 있도록 강화된 XTM으로 진화

정보화 사회로 발전하면서 정보의 가치는 끊임없이 상승하고 있고 정보의 값어치가 상승함에 따라 정보를 노리는 공격 또한 다양해지고 지능적으로 변화하고 있다. 그렇기 때문에 이러한 공격으로부터 내부 자산을 보호하기 위해서는 점점 더 많은 솔루션이 필요하게 되고 전산망은 점점 더 복잡해지고 관리해야 할 대상 또한 점점 더 많아지고 있는 것은 기정사실화 됐다. UTM은 이와 같은 다양한 형태의 공격을 막기 위해 방화벽, VPN, WAF, NAC, DDoS, IPS/IDS, Anti-Virus, Anti-Spam 등의 다양한 서비스들을 제공하고 있다. 이러한 가운데 최근 UTM에서 구현하지 못했던 기능들을 확장해 다양한 공격에 대응할 수 있도록 한 확장형 UTM 개념인 XTM이 이슈가 되고 있다.

정보화 사회가 대두되면서 정보의 가치는 끊임없이 상승하고 있고 정보의 가치가 상승함에 따라 이 정보를 노리는 공격 또한 다양해지고 지능적으로 변하고 있다. 그렇기 때문에 이러한 공격으로부터 내부자산을 보호하기 위해서는 점점 더 많은 솔루션이 필요하게 되고 전산망은 점점 더 복잡해지고 관리해야 할 대상 또한 점점 더 많아지고 있는 것은 기정사실이다. UTM은 이와 같은 다양한 형태의 공격을 막기 위하여 방화벽, VPN, WAF, NAC, DDoS, IPS/IDS, Anti-Virus, Anti-Spam 등 다양한 서비스들을 제공하고 있으며 단 한대의 장비로 모든 기능을 제공하기 때문에 네트워크 구성의 간편성과 관리포인트의 축소라는 이점을 제공하며 저렴한 비용으로 모든 기능을 제공받을 수 있어 기업들에게 여러 마리의 토끼를 모두 잡을 수 있는 기회를 주고 있다. 

XTM(eXtensible unified Threat Management), UTM의 진화

초창기의 UTM은 방화벽, VPN, IPS/IDS 정도로 사용되어 왔지만(하드웨어의 한계 등에 의해), 보다 강력한 보안을 위해 여러 단계의 진화를 거치고 UTM의 한계점을 극복하여 이 나오게 되었다.

그렇다면 UTM의 한계점들을 어떻게 극복했는지 알아보자. XTM은 A/V, A/S, DDoS, NAC, WAF, SSL 등 UTM에서 구현하지 못했던 기능들이 확장되어 제공함으로써 다양한 공격에 대응할 수 있도록 설계되어있고 차세대 네트워크의 가장 큰 이슈가 되는 IPv6 기술인 IPv4-IPv6 Translation, IPv4-IPv6 Tunneling, IPv6 Masquerading 등을 완벽하게 지원함으로써 네트워크 망에 최적화 되어 개발되었다. 각 기업들의 담당자들이 말하는 통합보안장비의 이슈 중 한 가지는 과연 이처럼 많은 기능들을 구현하는데 장비가 제 성능을 발휘 할 수 있을까 하는 것이다. 이러한 문제를 극복하기 위해 XTM은 Multicore Based Processing 환경으로 개발되었다.

Multicore process는 특정 기능들을 각 별도의 Process에 할당하여 분산 처리 함으로써 성능의 한계점을 극복하고 최고의 성능을 낼 수 있게 설계 되었다. 또한 점점 늘어나는 트래픽을 처리할 수 있도록 10G 인터페이스를 지원하며 Hybrid-Model S/W설계로 데이터와 기능 분할을 접목하여 효과적으로 트래픽을 처리할 수 있도록 설계 되었다.

서비스 운영/관리 포인트 최소화

현재 여러 개의 보안장비를 사용하는 기업에서는 보안 인력을 많이 보유하기가 쉽지 않은 관계로 보안관리/운영자가 모든 보안장비를 컨트롤하게 된다. 방화벽, IPS/IDS, 웹 방화벽, 개인정보 유출차단 시스템, VPN, IP 관리 솔루션 등 각기 다른 업체에서 만들어낸 다른 기능을 가진 장비를 다루다 보니 특성이 다른 각 장비의 컨트롤 및 모니터링 또한 모두 익혀야 한다. 이 때문에 깊이 있는 제어를 하기가 쉽지 않아 엔지니어에게 의지하게 되는 것이 현실이다.

A업체 같은 경우 간헐적인 업무 장애 증상으로 인하여 여러 업체의 보안 엔지니어 및 네트워크 엔지니어를 동원하여 각 구간을 전부 체크하는데 리소스 낭비가 클 뿐만 아니라 장애 지속시간 또한 매우 길어지는 경우가 많아 어려움이 있다고 한다. 반면에 XTM의 경우 한대의 장비로 운영 및 관리가 가능하므로 기존보다 세밀한 제어 및 관리를 하기 위한 기술 습득이 수월하며 모니터링 및 로그 분석, 트래픽 분석 등을 한 화면 또는 같은 툴에서 볼 수 있기 때문에 보안 관제 및 분석에 많은 장점을 가지고 있다.

탐지가 된 트래픽이 어떠한 공격성 패킷으로 어느 모듈에서 드롭이 되었는지 구분이 쉽기 때문에 장애 발생시 장애 포인트를 찾아 해결하기 쉽게 공격에 대응하여 조치를 취하기까지 많은 시간을 절약할 수 있다.

내부의 적을 조심하라!

정보보호가 이슈화됨에 따라 전반적인 네트워크 보안은 외부로의 침입에 대해서는 매우 많은 보안 솔루션들이 존재하며 실제 여러 겹의 보안 시스템이 운영되고 있어 외부의 침입으로 부터는 매우 강점을 보이고 있다. 하지만 내부로부터 시작되는 공격이나 침입에 대해서는 보안상 많은 부분에서 부족한 점을 가지고 있고 이 때문에 많은 손실이 초래되기 때문에 End-Point Security의 중요성이 확대 되고 있다.

XTM은 이러한 약점을 보안하기 위해 PC용 백신, NAC, WAF 등의 기능을 도입하여 End-Point Security를 구현하고 있다. PC용 전용 백신 설치는 Anti-Virus, Host IPS기능 내장으로 각종 유해 트래픽을 탐지 및 차단하며 NAC 기능은 802.1X 기반 사용자 인증 후 네트워크에 접속을 허용 하는 방식으로 내부사용자라 하더라고 무단으로 네트워크에 침범하는 것을 막고 PC 보안 기능을 연동하여 내부의 Client들을 지속적으로 감시할 수 있다.

Web filtering 기능은 유해 사이트의 접속을 제한하여 유해 사이트에서 전파될 수 있는 바이러스나 웜으로부터의 감염을 사전에 차단함으로써 사용자의 PC를 보호 할 수 있다.

또한 사이트 변조를 방지 하고 첨부파일 차단이나 메신저 통제를 통하여 기밀 문서 유출을 방지 할 수 있다. 이처럼 XTM은 End-Point Security를 구현함으로써 내부의 위협으로부터도 정보자산을 안전하게 보호 할 수 있도록 개발되어 통합보안으로써의 진면목을 보여주고 있다.

Zero-Day Attack Protection

제로데이 공격은 취약점이 발견되고 나서 패치되기 전까지 윈도우 취약성을 이용하여 공격하는 것을 뜻한다.

2006년에 윈도우 WMF 취약점을 이용한 자동 공격 툴이 공개 되어 큰 문제가 되었으며 2007년 말부터 2008년 까지 arp poisoning을 이용한 악성코드가 발견되고 또 공격에 이용되어 큰 이슈가 되고 있다. 이처럼 제로데이 취약점을 이용한 공격들이 점점 증가하고 있는 것은 예전에는 고가의 툴들이 이제는 간편해지고 강력해진 기능으로 무료로 구하기가 쉽고 exploit 코드를 사고 팔 수 있는 블랙 마켓이 점차 확대 되고 있는 이유다.

때문에 XTM에서는 Black IP List, Hybrid Behavior Analysis(복합 행동 기반 분석), DPI(Deep Packet Inspection)을 이용하여 제로데이 보호를 구현하게 된다. Black IP List는 15분 간격으로 List를 업데이트하여 실시간으로 봇넷에 대한 방어를 제공하게 된다. 이 기술은 사전 방어 및 예방방어 기능을 제공함으로써 웜으로 이용 가능한 취약점이 발생 되었을 경우 원천적으로 위협의 근원을 차단할 수 있다. 복합 행동기반 분석은 ULA(통합로그분석)과 HIPS, Anti-Overflow 기능을 이용하여 로그 시나리오를 분석하여 공격을 예측하며 내부에 감염된 호스트가 발생한다면 격리시켜 피해의 확산을 방지하게 된다.

XTM에 적용된 DPI는 복호화/정규화를 통하여 우회공격을 탐지하고 세션 플로우 컨트롤을 통하여 오탐율을 최소화한다. 제로데이 공격은 그 공격의 특징상 100% 막아내기란 실로 불가능에 가깝지만 XTM Zero-Hour Protection 아키텍처를 통하여 공격을 최소한으로 줄일 수 있다.

끊임없이 변하는 공격에 대응한 취약점 관리

어제 탐지한 공격이 오늘 다른 형태의 공격으로 전환되어 들어올 만큼 공격들이 빠르게 변화하고 있다. 그렇기 때문에 항상 취약점을 분석하여 XTM에서 효율적으로 공격을 차단 할 수 있도록 해야 한다.

FCVE 데이터 베이스는 frsirt, assurent, sophos 등에서 수신된 분석 보고서와 이슈 등을 수집하여 공격 기법 및 대상으로 분류하고 FCVE Web에서 취약성, 악성코드, 제로데이 등으로 구분되어 이름과 위치 기술 설명 등의 상세 정보를 제공한다.

<글 : 최 얼 퓨쳐시스템 기술지원팀 대리(ulnonoz@future.co.kr)>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>