침입탐지시스템의 기술분류와 특징

방세중
넷시큐어테크놀러지 책임연구원

네트워크의 보안이 중요한 문제로 대두되면서 침입탐지시스템(IDS: Intrusion Detection System)에 대한 관심이 높아지고 있다. 침입탐지시스템은 침입차단시스템과 함께 네트워크의 보안에 신뢰성을 높이는 차세대 네트워크 보안 솔루션으로 과거 수입제품에 의존하던 국내 침입탐지시스템은 정보보호시스템 평가제도로 인해 국내인증을 받은 솔루션이 지난 2001년 하반기부터 나오기 시작했다. 현재는 그 수가 계속 증가함에 따라 관련시장이 확대되어 가고 있는 추세다.

현재 네트워크 보안 솔루션으로 널리 사용되는 침입차단시스템은 기술적인 면을 접어 두더라도 보안상으로 다음과 같은 취약한 상황이 일어날 수 있으며, 이는 일반적인 것이다.

예컨데 어떤 사이트가 웹 서비스를 제공하고 있다면 특정 포트를 외부에 공개할 것이고 동시에 이 포트는 불법침입과 공격에 노출이 된다.

이런 침입을 막기 위해서 관리자는 항상 사용하고 있는 시스템 및 응용프로그램에 대한 취약성 정보를 수집하고 대응을 게을리 하지 말아야 한다.

그러나 이런 일련의 작업들은 많은 노력을 필요로 하는 일이며 잠시라도 게을리 한다면 해당 시스템이나 응용프로그램은 침입차단시스템이 있더라도 취약성에 노출되는 동시에 불법침입의 대상이 된다.

이처럼 침입차단시스템에서 허용된 포트를 이용한 침입이 발생하거나 침입차단시스템이 직접 해킹을 당한 경우에도 그 피해를 최소화하고, 네트워크 관리자가 부재중에도 시스템이 자체적으로 대응할 수 있는 보안 솔루션에 대한 요구가 점차 증대되고 있다. 이를 해결하기 위한 방안으로 침입탐지시스템이 침입차단시스템에 이은 보안 솔루션으로 부각되고 있는 것이다.

침입탐지시스템의 분류

그렇다면 침입이란 무엇인가 일반적으로 침입이란 비인가된 사용자가 자원의 무결성(integrity), 기밀성(confidentiality), 가용성(availability)을 저해하는 일련의 행동들과 보안 정책을 위반하는 행위를 말한다. 또한 침입탐지시스템은 이러한 침입을 가능한 실시간으로 탐지하는 시스템이라 정의할 수 있다.

여기서 무결성이란 권한이 있는 사람만이 자원의 내용을 수정할 수 있어야 한다는 것을 의미하고, 기밀성이란 오직 권한이 있는 사람만이 보호되고 있는 데이터를 볼 수 있어야 하며, 가용성이란 권한을 가진 사람들이 자원을 쉽게 이용할 수 있어야 한다는 것이다.

그런데 이 정의에 따르면 침입탐지시스템은 외부침입자뿐만 아니라 내부 사용자의 불법적인 사용, 남용, 오용행위를 탐지하는데 그 목적을 두고 있는 시스템이며 침입탐지를 수행할 데이터 소스를 기반으로 분류하거나 침입탐지 방법을 기준으로 분류할 수 있다. 그리고 침입탐지시스템을 기능적 특성과 비기능적 특성으로 크게 분류하고 각각 세부적으로 분류하는 방법도 있다.

현재 국내 출시된 침입탐지시스템 분류는 미국 COAST의 분류 방법을 많이 따르고 있다.

대표적으로 한국정보보호진흥원의 침입탐지시스템에 대한 정보보호 평가완료 또는 평가를 진행 중인 제품들은 호스트 기반 또는 네트워크 기반 둘로 크게 나누어 분류할 수 있다.

침입탐지시스템의 구성

침입탐지시스템의 메커니즘을 살펴보면 호스트 또는 네트워크로부터 데이터를 수집하고 이를 침입탐지에 적합하도록 가공 및 축약한 후 이 정보를 가지고 분석단계를 거쳐 침입이라고 판단이 되는 경우 사전에 설정되어진 정책에 따라 보고와 해당 대응행동을 하는 구조로 되어 있다.

네트워크 기반 침입탐지시스템에서 분석 및 침입탐지부분을 자세히 살펴보면 비정상행위 탐지(Anomaly Detec-tion)와 오용 탐지(Misuse Detection)를 볼 수 있는데 이는 침입탐지 기반의 분류이기도 하다.

실질적으로 현재 상용화되어 있는 침입탐지시스템에서 침입탐지 부분은 알려진 공격패턴에 대한 분석을 주로 하며 엄밀히 말해 정상행위 프로파일에 대한 분석은 이루어지지 않고 있다고 할 수 있다.

제공 : DB포탈사이트 DBguide.net