침입 예방 시스템이란?
대규모로 자동화된 IPS 솔루션은 다른 보안 디바이스나 제어에 도달하기 전에 악의적인 활동을 필터링합니다. 이는 보안 팀의 수동 작업을 줄이고 다른 보안 제품이 더 효율적으로 작동하도록 합니다.
IPS 솔루션은 취약점 익스플로잇의 탐지와 예방에도 매우 효과적입니다. 취약점이 발견되면 보안 패치가 적용되기 전에 익스플로잇의 기회가 발생합니다. 침입 예방 시스템은 이러한 유형의 공격을 빠르게 차단하는 데 사용됩니다.
IPS 어플라이언스는 2000년대 중반에 스탠드얼론 디바이스로 처음 구축 및 출시되었습니다. 이 기능은 차세대 방화벽뿐만 아니라 통합 위협 관리(UTM) 솔루션에도 통합되었습니다. 차세대 IPS 솔루션은 현재 클라우드 기반 컴퓨팅과 네트워크 서비스에 연결되어 있습니다.
침입 예방 시스템의 작동 방식
IPS는 소스와 대상 사이의 네트워크 트래픽 흐름에 직접 인라인으로 배치됩니다. 이 점이 그 이전 모델인 침입 탐지 시스템(IDS)과 IPS를 구분 짓는 요소입니다. 반대로, IDS는 트래픽을 스캔하고 위협에 대해 다시 보고하는 수동 시스템입니다.
이 솔루션은 일반적으로 방화벽의 바로 뒤에 배치되어 네트워크로 진입하는 모든 트래픽 흐름을 분석하고 필요한 경우 자동 조치를 취합니다.
이러한 조치에 해당되는 것은 다음과 같습니다.
- 관리자에게 알림 전송(IDS에서도 동일)
- 악성 패킷 삭제
- 소스 주소에서 트래픽 차단
- 연결 재설정
- 향후 공격 예방을 위해 방화벽 구성
인라인 보안 구성 요소로서 IPS는 다음 기능을 수행할 수 있어야 합니다.
- 네트워크 성능 저하를 예방하기 위해 효율적으로 작동
- 익스플로잇이 실시간에 가깝게 발생하기 때문에 빠르게 작동
- 정확한 탐지와 대응으로 위협과 오탐(예: 합법적인 패킷을 위협으로 잘못 읽음) 제거
이를 성공적으로 수행할 수 있도록, 익스플로잇을 찾고 네트워크를 무단 액세스로부터 보호하는 데 사용되는 여러 기술이 있습니다. 예를 들면 다음과 같습니다.
- 시그니처 기반 탐지는 각 익스플로잇의 코드에서 고유하게 식별 가능한 패턴(또는 시그니처)의 사전을 기반으로 하는 탐지 방법입니다. 익스플로잇이 발견되면 계속 증가하는 시그니처 사전에 해당 시그니처가 기록 및 저장됩니다. IPS의 시그니처 탐지는 두 가지 유형으로 나눌 수 있습니다.
- 익스플로잇 대상 시그니처는 특정 익스플로잇 시도의 고유한 패턴을 트리거하여 개별 익스플로잇을 식별합니다. IPS는 트래픽 스트림에서 익스플로잇 대상 시그니처와 일치하는 것을 찾아 특정 익스플로잇을 식별할 수 있습니다.
- 취약점 대상 시그니처는 표적이 되는 시스템의 근본적인 취약점을 대상으로 하는 더 폭넓은 시그니처입니다. 네트워크는 이러한 시그니처를 통해 미확인 공격으로부터 보호받게 됩니다. 오탐 리스크 또한 증가합니다.
- 이상 기반 탐지는 네트워크 트래픽의 샘플을 무작위로 가져와 사전 계산된 기준 성능 수준과 비교합니다. IPS는 트래픽 활동이 기준 성능의 매개변수 외부에 있을 경우 조치를 취합니다.
- 정책 기반 탐지는 시스템 관리자가 조직의 보안 정책 및 네트워크 인프라를 기준으로 보안 정책을 구성합니다. 정의된 보안 정책을 어기는 활동이 발생할 경우 알림이 트리거되고 관리자에게 전송됩니다.
침입 예방 시스템의 유형
다양한 목적으로 구축될 수 있는 여러 유형의 IPS 솔루션이 있습니다. 예를 들면 다음과 같습니다.
- 네트워크 기반 침입 예방 시스템(NIPS) - 모든 네트워크 트래픽을 모니터링하고 위협을 스캔하도록 전략적 지점에 설치됩니다..
- 호스트 침입 예방 시스템(HIPS) - 엔드포인트에 설치되고 해당 시스템에서만 인바운드/아웃바운드 트래픽을 살펴봅니다. HIPS는 종종 NIPS와 결합되어 위협에 대한 최종 방어선 역할을 합니다.
- 네트워크 동작 분석(NBA) 네트워크 트래픽을 분석하여 특이한 트래픽 흐름을 탐지하고 새로운 멀웨어나 제로데이 취약점을 찾아냅니다.
- 무선 침입 예방 시스템(WIPS) Wi-Fi 네트워크에서 무단 액세스를 스캔하고 모든 무단 디바이스를 제거합니다.
침입 예방 시스템의 이점
침입 예방 시스템은 다음과 같은 많은 보안 이점을 제공합니다.
- 비즈니스 리스크 감소 및 추가 보안
- 공격에 대한 더 우수한 가시성으로 보호 기능 강화
- 높아진 효율성으로 모든 트래픽에서 위협 검사
- 취약점 및 패치 관리에 필요한 리소스 절감
IPS의 중요한 기능
IPS는 가장 위협적이고 지능적인 몇 가지 공격을 예방하는 데 핵심 역할을 하는 도구입니다. 선택한 IPS에서 다음 기능을 찾아볼 수 있습니다.
- IPS 취약점 보호
애플리케이션 취약점은 침해, 감염 및 랜섬웨어의 공격 주기에서 보편적인 첫 단계입니다. 매년 보고되는 취약점 수는 계속해서 늘어나고 있는 반면, 적은 취약점 하나만 확보해도 기업 내부에 대한 액세스할 권한을 확보할 수 있습니다.
Apache Struts, Drupal, 원격 액세스, VPN, Microsoft Exchange, Microsoft SMB, 브라우저 및 IoT 시스템과 같은 애플리케이션 내 치명적인 취약점은 여전히 기업을 상대로 가장 많이 시도되고 익스플로잇되는 취약점입니다.
취약점 익스플로잇과 RDP 침해는 공격자가 기업에 액세스하여 랜섬웨어 공격을 실행하는 가장 기본적인 두 가지 방법입니다. 따라서 취약점 보호는 보안에 필수적입니다.
- 안티 멀웨어 보호
스트림 기반 스캔 엔진이 알려진 멀웨어와 해당 멀웨어의 알려지지 않은 변종을 탐지한 후 이를 빠른 속도로 인라인으로 차단합니다. IPS와 안티 멀웨어 보호는 하나의 서비스로 여러 위협 벡터를 해결합니다. 이것은 레거시 공급업체로부터 개별 IPS 제품을 구매하고 유지하는 것보다 편리한 대안입니다.
- 포괄적 C2(Command-and-Control) 보호
초기 감염 후 공격자는 은밀한 C2 채널을 통해 호스트 시스템과 통신합니다. C2 채널은 추가 멀웨어를 제거하고 추가적인 지침을 발표하고 데이터를 훔치는 데 사용됩니다.
암호화되거나 모호한 트래픽뿐만 아니라 Cobalt Strike와 같은 도구 세트의 사용이 증가하면서, 공격자가 완전히 사용자 지정 가능한 C2(Command-and-Control) 채널을 만드는 것이 더 쉬워졌습니다. 이러한 채널은 기존의 시그니처 기반 접근 방식으로는 차단할 수 없습니다.
따라서 IPS 솔루션에는 알려지지 않은 C2를 인라인으로 차단하고 예방하는 기능을 반드시 포함해야 합니다. 또한 IPS 솔루션은 다음 항목에 의해 침해당한 시스템에서의 아웃바운드 C2 통신을 탐지 및 차단해야 합니다.- 알려진 멀웨어 제품군
- 웹 셸
- 원격 액세스 트로이 목마
- 자동 보안 조치
보안 운영 팀은 잠재적 감염을 제어하기 위해 신속히 조치 및 격리하고 정책을 시행할 수 있어야 합니다. 여기에는 자동 다단계 인증(Multi-Factor Authentication)과 같은 강력한 보안 정책과 제어가 포함됩니다.
- 폭넓은 가시성과 세분화된 제어
인시던트 대응 팀은 어떤 시스템이 공격을 받고 있는지, 그리고 어떤 사용자가 잠재적으로 감염되었는지 즉시 확인할 수 있다는 이점이 있습니다. 이것은 IP 주소를 기반으로 한 추측보다 훨씬 더 효율적입니다. 애플리케이션과 사용자에 대한 정책 주도권을 IT와 보안 스태프에게 부여하면서 네트워크 보안 정책 생성과 관리가 대폭 간소화됩니다.
- 일관되고 단순화된 정책 관리
포괄적인 보안을 위해 최신 분산형 네트워크는 다음 전반에 대한 일관된 정책이 필요합니다.- 기업 경계
- 데이터센터
- 퍼블릭 및 프라이빗 클라우드
- SaaS 애플리케이션
- 원격 사용자
- 자동 위협 인텔리전스
양질의 위협 인텔리전스를 생성하고 사용하는 것도 중요하지만 이 인텔리전스를 자동으로 보호로 전환하는 것은 필수 사항입니다. 최신 IPS는 공격 속도를 따라잡으려면 위협 인텔리전스를 자동으로 활용할 수 있어야 합니다.
회피형 위협 탐지를 위한 딥 러닝
점점 증가하는 정교하고 회피적인 위협으로부터 보호하기 위해 침입 예방 시스템은 인라인 딥 러닝을 구축해야 합니다. 인라인 딥 러닝은 탐지를 대폭 개선하고, 시그니처에 의존하지 않고도 이전에 볼 수 없었던 악성 트래픽을 정확히 식별합니다.
딥 러닝 모델은 여러 레이어의 분석을 거쳐 수백만 개의 데이터 지점을 밀리초 안에 처리합니다. 이러한 정교한 패턴 인식 시스템은 비교할 수 없는 정확성으로 네트워크 트래픽 활동을 분석합니다. 또한 이러한 시스템은 오탐(false positive)이 거의 없이 알려지지 않은 악성 트래픽을 인라인으로 식별할 수 있습니다. 이러한 추가적인 지능형 보호 레이어는 민감한 정보를 더욱 강력하게 보호하고 조직을 마비시킬 수 있는 공격을 예방합니다.
보안 인프라 내 IPS 솔루션의 작동 방식에 대한 자세한 내용을 확인하려면 이 백서를 확인하세요. Intrusion Prevention에 대한 Palo Alto Networks의 접근 방식
침입 예방 시스템 FAQ
Q: 가장 대표적인 유형의 두 가지 침입 예방 시스템은 무엇인가요?
A: 침입 예방 시스템에는 악의적인 활동을 탐지하기 위한 여러 방법이 있지만 가장 흔하게 활용되는 두 가지 주요 방법은 시그니처 기반 탐지와 통계적 이상 기반 탐지입니다.
Q: IPS 시스템 사용의 이점은 무엇인가요?
A: IPS를 사용하면 악의적인 활동을 식별하고, 탐지된 위협을 기록 및 보고하며, 심각한 피해를 입히기 전에 위협을 차단하기 위한 예방적 조치를 취할 수 있습니다.
Q: IPS에 방화벽이 필요한가요?
A: 네. IPS는 방화벽이 수행하지 못한 보안 허점을 메워주기 때문에 부분적으로 필요합니다. 침입 예방 시스템은 악의적인 범죄자가 시스템에 피해를 입히기 전에 이를 탐지하고 액세스를 거부하도록 설계되었습니다. IPS는 필요한 추가 보안 레이어를 제공하는 차세대 방화벽의 필수 요소입니다.