[보안] 보안 솔루션의 종류 (1)

 

 해커들의 공격이 점점 정교하고 악의적으로 발전하면서 이를 막기 위한 보안 기술과 솔루션도 끊임없이 진화하고 있다. 다양한 보안 솔루션은 각기 다른 공격 유형과 범위를 방어할 수 있도록 설계되며, 새로운 보안 장비가 출시되더라도 기존의 장비를 대체하기보다는 상호 보완적으로 작동한다. 이러한 이유로 보안 분야는 IT의 다른 분야에 비해 훨씬 복잡한 구조를 가지고 있다.

 

 

특히 데이터 센터와 같은 환경에서는 네트워크 보안을 위해 여러 보안 장비가 단계적으로 배치된다. 예를 들어, DDoS 방어 솔루션, 방화벽(Firewall), 침입 방지 시스템(IPS), 웹 애플리케이션 방화벽(WAF) 등이 인라인으로 연결되어 각기 다른 유형의 위협을 차단한다. 단일 장비로 모든 공격을 방어하기는 어려우므로, 각 장비의 고유한 기능을 활용해 다층 방어 전략을 구현하는 것이 핵심이다.

 

이를 통해 네트워크 환경의 보안을 강화하고, 잠재적인 위협으로부터 보다 안전한 시스템을 구축할 수 있다.

 

1. DDoS(Denial of Service)방어 장비

 

 DDoS(Denial of Service) 공격은 특정 시스템이나 네트워크의 서비스 가용성을 방해하기 위한 공격 기법이다. 초창기 DoS 공격은 단일 출발지에서 이루어졌기 때문에 IP 주소 기반 탐지와 차단으로 방어가 가능했다. 그러나 탐지를 회피하고 빠르게 공격 효과를 내기 위해 다수의 봇(Bot)을 활용한 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격이 등장하면서, 방어가 더욱 어려워졌다.

 

 DDoS 방어 장비는 이러한 공격을 차단하기 위해 설계된 보안 솔루션으로, 특히 데이터 센터 네트워크의 내부와 외부 경계에서 볼류메트릭 공격(Volumetric Attack)을 완화(Mitigation)하는 데 사용된다. 볼류메트릭 공격은 대량의 트래픽을 발생시켜 네트워크 회선의 대역폭을 소진시키는 방식으로, 데이터 센터의 네트워크를 마비시키는 것을 목표로 한다.

 

 이러한 장비는 공격 트래픽을 네트워크 회선 외곽에서 차단하기 위해 ISP와 데이터 센터를 연결하는 네트워크의 가장 바깥쪽에 배치된다. 이를 통해 대규모 트래픽 공격이 데이터 센터 내부로 유입되기 전에 방어할 수 있어, 네트워크 자원의 안정성을 보장한다.

 

2. 방화벽(Firewall)

 방화벽(Firewall)은 네트워크의 4계층에서 동작하며, 패킷 필터링 기능을 통해 네트워크 트래픽을 제어하는 보안 장비이다. 이 장비는 3계층(IP)과 4계층(TCP/UDP) 정보를 기반으로 설정된 정책을 확인하여, 해당 정책에 부합하는 트래픽을 허용(Allow)하거나 차단(Deny)한다.

 

 방화벽은 일반적으로 네트워크 보안 체계에서 DDoS 방어 장비 바로 뒤에 배치되며, 비교적 간단한 작동 방식과 높은 성능으로 네트워크 보호를 지원한다. 특히, 최신 고성능 방화벽은 ASIC(Application-Specific Integrated Circuit)이나 FPGA(Field-Programmable Gate Array)와 같은 전용 하드웨어 칩을 사용하여 데이터 처리 속도를 가속화한다. 이러한 설계는 대규모 트래픽을 처리해야 하는 데이터 센터 환경에서도 안정적인 성능을 제공한다.

 

 결과적으로 방화벽은 네트워크의 첫 번째 방어선을 구성하며, 기본적인 트래픽 제어와 보호 기능을 수행하는 중요한 보안 장비이다.

 

3. IDS(Intrusion Detection System), IPS(Intrusion Prevention System)

 IDS(침입 탐지 시스템)와 IPS(침입 방지 시스템)는 방화벽으로 탐지 및 방어하기 어려운 다양한 애플리케이션 공격을 차단하기 위해 설계된 보안 장비이다. 과거에는 IDS와 IPS가 별도로 구분되었으나, 최근에는 이러한 역할을 통합하여 IPS로 통칭하는 경우가 많다.

 

 IDS와 IPS는 제조사나 위협 인텔리전스(Threat Intelligence) 서비스 제공업체로부터 제공받은 공격 데이터베이스(Signature)를 기반으로 동작한다. 네트워크로 유입된 패킷이 이 데이터베이스와 일치하는 공격 패턴을 보일 경우, 장비는 해당 트래픽을 차단하거나 모니터링 후 관리자에게 알림을 전송해 즉각적인 대응이 가능하도록 한다.

 

 기존 IPS는 주로 블랙리스트 기반의 방어 방식으로 알려진 공격만 차단했지만, 최근에는 프로파일링 기반 방어 및 애플리케이션 컨트롤(Application Control) 기능이 추가되면서 화이트리스트 기반 방어도 가능해졌다. 이를 통해 선택적으로 애플리케이션 공격을 방어하고, 더욱 정교한 보안 환경을 구축할 수 있다.

 

 또한, 데이터 센터의 보안 요구가 증가함에 따라 방화벽과 IPS의 기능을 결합한 DCSG(Data Center Security Gateway) 장비가 주목받고 있으며, 이와 관련된 시장이 빠르게 성장하고 있다.

 

4. WAF(Web Application Firewall)

 WAF(Web Application Firewall)는 웹 서버를 대상으로 한 공격을 방어하기 위해 설계된 전용 보안 장비이다. HTTP, HTTPS와 같은 웹 프로토콜을 다루는 공격에 특화되어 있으며, IDS/IPS보다 범용성은 낮지만 웹 프로토콜에 대해서는 더 정밀한 방어를 제공한다.

 

WAF는 다양한 형태로 제공된다.

• 전용 네트워크 자입
• 웹 서버의 플러그인
• ADC 플러그인
• 프록시 장비 플러그인

 WAF는 IPS에서 방어하기 어려운 회피 공격(Evasion Attack) 을 효과적으로 차단한다. IPS는 패킷 단위로 데이터를 처리하지만, WAF는 프록시 서버처럼 패킷을 데이터 형태로 조합해 분석하고 처리한다. 이를 통해 공격자가 회피 공격을 수행하기 어렵게 만들며, 다양한 고급 기능을 수행할 수 있다.

• 민감 데이터가 포함된 트래픽의 일부를 수정하거나 제거
• 공격 트래픽에 대한 방어와 동시에 공격자에게 통보

 반면, IPS는 특정 공격을 차단할 수는 있지만 데이터 조작이나 세부적인 조치를 수행하기 어려우며, 전체 공격 트래픽에 대해 일괄 차단하는 방식을 따른다.

 

 WAF는 이러한 특성을 통해 웹 애플리케이션에 특화된 보안 레이어를 추가하며, 데이터 유출 방지와 세밀한 공격 대응에 중요한 역할을 한다.

 

 

5. 샌드박스

 과거의 해커들은 목표 시스템에 직접적으로 공격을 가하는 방식을 주로 사용했다. 이는 방화벽이나 기타 보안 장비를 뚫고 목적지에 도달하는 간단한 방법이었으나, 당시에는 이를 방어할 장비나 솔루션이 충분히 발달하지 않았기 때문이다.

 

 하지만 보안 기술이 발전하면서 해커들이 직접적인 공격으로 목표를 침투하기가 점점 어려워졌다. 이에 따라 해커들은 보안 장비를 우회하고 기존과는 다른 방식으로 공격 목표를 달성하기 위해 새로운 전략을 개발했다.

 

 이 중 하나는 우회 공격 기법으로, 공격자가 목표 서버를 직접 공격하지 않고 악성 코드를 관리자 PC에 심어 그 PC를 제어하는 방식이다. 공격 방식은 다음과 같다.

악성 코드 유포	관리자에게 악성 코드가 포함된 이메일을 발송하거나, 낚시성 링크와 파일을 통해 다운로드를 유도함 유명 웹사이트에 악성 파일을 업로드해 사용자가 이를 실행하도록 유도함
악성 코드 감염	영화 파일, 유틸리티 등 정상 파일에 악성 코드를 삽입함 사용자가 이를 실행하면 PC가 감염됨
C&C 서버 통제	감염된 PC가 해커의 C&C(Command & Control) 서버로 연결됨 방화벽에서는 정상적인 통신으로 보이기 때문에 탐지가 어려움.

 

이러한 공격이 점차 발전하면서 지능형 지속 위협(Advanced Persistent Threat, APT) 및 지능형 표적 공격(Advanced Target Attack, ATA) 형태로 변화했다. 이를 막기 위해 다양한 Anti-APT 솔루션이 개발되었으며, 샌드박스는 그중 대표적인 방어 장비이다.

 

• 샌드박스의 역할

가상 실행 환경 제공	가상 운영체제에서 의심 파일을 실행해 행동을 관찰.
악성 코드 탐지	파일의 행동을 분석하여 악성 여부를 판별.
보안 솔루션 보완	기존 보안 장비가 탐지하지 못하는 회피 공격을 차단.

※ 참고: 악성 코드 추세 최근 악성 코드의 추세는 매우 정교하고 빠르게 발전하고 있다. 많은 악성 코드가 다크웹에서 판매되거나 코드가 공개되어 쉽게 재사용되고 있으며, 이는 보안 시스템의 탐지를 회피하는 데 유리하게 작용한다. 또한, 악성 코드들은 짧은 기간 내에 다양한 변종이 등장하여 기존의 보안 장비들로는 탐지하기 어려운 상황을 만들어낸다. 이들은 종종 암호화 또는 난독화 기법을 사용해 탐지와 분석을 방해하며, 공격이 장기간에 걸쳐 여러 단계를 거쳐 이루어지는 경우가 많다. 따라서 단순히 파일의 존재를 탐지하는 것만으로는 충분하지 않으며, 파일이 실제로 실행된 후 그 행동을 모니터링하는 것이 매우 중요하다. 이를 통해 악성 코드의 은밀한 트릭이나 패턴을 식별하고, 더 효과적으로 차단할 수 있다. 특히, APT(지능형 지속 위협) 공격과 같은 고도화된 공격은 하나의 보안 장비나 솔루션만으로는 방어하기 어렵다. 이런 공격에 대응하기 위해서는 다양한 보안 장비와 솔루션들이 상호 협력하여 다층적인 방어체계를 구축해야만 공격을 탐지하고 방어할 수 있다.

 

6. NAC(Network Access Control)

 NAC는 네트워크에 접속하는 장비를 제어하고, 인가된 사용자만 내부망에 접근할 수 있도록 설계된 기술이다. 네트워크 접속 시 승인되지 않은 사용자의 접근을 차단하며, 승인 실패 시에도 접속이 불가능하도록 제어한다.

 

 이 기술은 내부망 보안을 강화하기 위해 개발되었다. 아무리 내부 PC를 잘 관리하고 보안 패치를 적용하더라도 외부 장치가 내부망에 접속하면 보안 사고나 악성 코드 전파가 발생할 가능성이 있었다. NAC는 이러한 문제를 방지하여 네트워크 접속 장치의 신뢰성과 보안을 보장한다.

 

7. IP 제어

IP 제어 솔루션은 NAC와 기술적으로 유사하지만 다른 목적을 가지고 개발되었다. 금융권에서 고정 IP 사용 권고 지침이 내려오면서, IP를 추적하고 관리할 수 있는 솔루션의 필요성이 대두되었다. IP 제어 솔루션 기능은 다음과 같다.

• IP 할당 및 추적: 네트워크 내 모든 IP를 관리하고 기록
• 비인가된 IP 차단: 할당되지 않은 IP는 네트워크 사용을 제한

이 솔루션은 네트워크 자원 관리와 보안 사고 추적을 효율적으로 지원하며, 국내 환경에서 특히 많이 사용된다.

 

8. 접근 통제

 접근 통제 솔루션은 운영자가 서버, 데이터베이스, 네트워크 장비에 직접 접근하지 않도록 제어하고, 작업 이력을 추적 및 감사할 수 있도록 설계되었다. 이는 관리자가 작업 내역을 추적하기 어렵고 권한 관리가 분산되는 문제를 해결하기 위한 도구이다.

 

 

- 접근 통제의 기본 구성:

• 모든 서버 접근은 배스천 호스트(Bastion Host)를 통해서만 가능.
• 서버의 방화벽은 배스천 호스트에서 출발한 통신만 허용.
• 배스천 호스트에서 작업 이력 감사 및 보안을 강화.

- 현대적인 접근 통제 솔루션의 추가 기능

• 작업 이력 저장 : 윈도우 환경에서 화면 레코딩 및 CLI 환경에서의 키 입력 저장
• 명령어 제한 : 사용자 권한에 따라 실행 가능한 명령어를 제한.
• 감사 로그 기록 : 서버 접근 및 작업 내역을 세부적으로 저장.

이러한 솔루션은 보안, 감사, 그리고 문제 발생 시 빠른 대응을 가능하게 한다.

 

9. VPN(Virtual Private Network)

 VPN은 사용자가 공용 네트워크를 통해 내부 네트워크에 안전하게 연결할 수 있도록 지원하는 기술이다. 사용자 기반 VPN 서비스를 제공하는 장치를 VPN 장비라고 하며, 과거에는 전용 하드웨어가 사용되었지만 현재는 대부분 방화벽이나 라우터에 VPN 기능이 통합되어 제공된다.

 

 

- VPN의 주요 유형

• IPSec VPN: 주로 네트워크 간 연결(예: 지사 간 네트워크 연결)에 사용
• SSL VPN: 사용자 기반의 내부 네트워크 접속에 주로 사용

 VPN은 보안 채널을 통해 데이터를 암호화하여 전송함으로써 공용 네트워크를 통한 안전한 연결을 보장한다. 이는 원격 근무, 지사 연결, 모바일 기기 연결 등 다양한 환경에서 널리 활용된다.