brunch
매거진 금융보안 NW보안운영

금융회사 네트워크 보안(IDS/IPS)

침입탐지/차단솔루션

by bit
May 27. 2021

네트워크 보안의 두 번째는 IDS/IPS이다. 각각 Intrusion Detection System, Intrusion Prevention System의 약자다. 차이점은 탐지만 하느냐, 차단까지 하느냐이다. 미리 정의된 룰이 맞으면 차단이 되는데 Flooding부터 CVE(Common Vulnerabilities and Exposure)까지 여러 공격을 탐지/차단 가능하다.

IDS는 HIDS(Host-Based IDS), NIDS(Network-based IDS)로 구분해서 볼 수 있다.


금융회사가 금융보안원의 회원사인 경우 금융보안원의 통합보안관제 서비스를 받고 있을 것이다. IDC센터 내에 TAP장비와 IDS를 설치하여 금융회사의 DMZ로 인입되는 트래픽을 모니터링하다가 위협이 탐지되면 보안담당자에게 연락을 줄 것이다.


IDS/IPS는 패킷 안에 있는 패턴을 읽어서 공격인지 아닌지 탐지를 하게 된다. 요청 패킷 안에 cmd 명령어가 있는지 등을 확인한다. Snort라는 오픈소스 솔루션도 활용이 가능하니 참고하면 좋을 것 같다.

WAF에서 탐지되는 공격들이 IDS/IPS에서 탐지되기도 한다.


국내 IDS/IPS 장비의 단점은 SSL로 암호화되어있는 패킷을 검사하지 못한다는 점이다. 때문에 금융회사가 SSL 통신을 하는 경우 IDS/IPS 만으로 공격 패턴을 잡아낼 수가 없다. WAF처럼 SSL 인증서를 등록해서 암호화 패킷을 까서 보면 되지 않냐고 생각할 수 있겠지만, SSL을 복호화할 때 리소스가 과도하게 소모되기 때문에 해당 기능을 뺀 게 아닌가 라고 필자는 생각한다.



대부분의 통신은 암호화 통신인데 어떻게 탐지/차단 하나요?


SSL 복호화 기능을 지원하는 솔루션을 구성하거나 복호화 전용 솔루션을 활용하는 방법이 있다. 복호화 기능이 탑재된 IDS/IPS도 출시된다 하니 검색해보길 바란다. 참고기사


요즘 클라우드가 대세이다. 그만큼 클라우드의 보안관제에 대해서도 수요가 증가하고 있는데 AWS, Azure, GCP 같은 외산 CSP(Cloud Solution Provider)의 경우 센터 내에 외부 장비 반입이 불가하여 금융보안원의 보안관제를 서비스받기 힘들다.

현재 외산 CSP와 금융보안원과 협의 중인 것으로 알고 있다. SW방식으로 하는 등의 검토를 하고 있을 것이다.



금융보안원 회원도 아니고 외산 클라우드를 사용 중인데 보안관제는 어떻게?


보안 전문업체의 보안관제 서비스를 받으면 된다. CSP내에 관제하는 로그를 수집하는 VM을 구성하고 수집된 로그를 보안 전문업체로 보내서 분석을 진행한다. 공격이 탐지되거나 하면 담당자에게 연락이 갈 것이고 정상여부를 확인하고 상단 장비에서 ACL로 차단하는 등의 작업을 해야 한다.


그럼 보안 전문업체를 통해 관제하면 될 텐데 굳이 외산 CSP는 금융보안원의 관제체계를 구축하는 이유가 뭘까? 금융분야 클라우드 서비스 안전성 평가에 깊이 연관이 있는데, 추후에 클라우드 내용을 다룰 때 이야기하겠다.



유명한 금융사도 아닌데 공격 시도가 너무 많아요. 어떻게 알고 공격하는 거죠?


막상 장비의 콘솔을 보면 생각보다 탐지/차단 로그가 매우 많다. 작은 금융회사여도 많이 탐지될 것이다. 다들 어떻게 알고 공격을 시도하는 걸까? 정답은 두 가지 경우로 나뉜다.


첫 번째는 해외에서 스캐닝을 돌리는 케이스

두 번째는 정상 서비스 트래픽이 공격으로 오탐


스캐닝은 여러 나라에서 다양한 IP로 시도하기 때문에 원천적으로 차단은 어렵다. IDS/IPS 상단 장비에서 특정 IP나 국가를 막던지 무시해야 한다.

오탐하는 경우는 목적지 IP를 확인하여 관련 업무 담당자와 확인하고 예외처리해야 한다. 이러한 작업을 룰 튜닝이라 하는데 수많은 탐지 로그 속에서 실제 공격 시도를 찾기 위함이다. 보통 룰 튜닝을 하게 되면 회사 규모에 따라 다르지만 수개월은 지켜봐야 한다.



IPS로 탐지/차단 둘 다 되는데 왜 IDS를 쓰나요?


IPS는 차단 없는 탐지 모드 설정도 가능한데 왜 굳이 IDS를 쓰는 걸까? 필자는 네트워크 부하 때문이라고 생각한다. 우선 운영방식을 들여다보면 이해가 갈 것이다.


IDS는 탐지용으로 지나가는 패킷을 미러링 해서 탐지하는 구성으로 정상이든 비정상이든 지나가는 패킷에 영향을 주지 않는다.

반면에 IPS는 차단 목적으로 만들어졌기 때문에 인라인 방식이다. 지나가는 모든 패킷을 검사해서 허용할지 차단할지 정하게 되는데 이 부분에서 네트워크 부하가 발생할 수 있다. 오탐이 발생하게 되면 서비스가 불가능해지기 때문에 회사의 영업적인 손실을 초래할 수 있다.

keyword
bit 소속 금융보안담당자 프로필

<금융보안 프로세스 A to Z - 금융회사 보안 담당자가 알려주는 기초에서 실전까지> 저자

구독자 104
매거진의 이전글금융회사 네트워크 보안(FW)