문형돈* 강회일** 이동일***

정보화가 급속도로 진전되고 정보통신망에 대한 의존도가 확대됨에 따라 정보시스템의 역기능적 현상 또한 빈번히 발생되고 있다. 이에 정보보호의 중요성이 부각되어 이와 관련된 정보보호제품에 대한 수요도 점차적으로 증가하고 있다. 특히, 네트워크의 보안이 중요한 문제로 대두되면서 방화벽(Firewall)과 더불어 네트워크 보안에 대한 신뢰성을 높이기 위한 침입탐지시스템(IDS: Intrusion Detection System)이 차세대 네트워크 보안 솔루션으로 각광 받고 있다. 그리고, 대부분 수입제품에 의존하던 국내 침입탐지시스템 시장도 최근들어 중소기업 및 벤처기업 등을 중심으로 국산제품이 속속 개발, 제품화되고 있는 추세이다. 따라서, 본 고에서는 침입탐지시스템의 기술 및 시장 동향을 살펴보았다. ▒

I. 서 론

일반적으로 침입탐지시스템은 컴퓨터가 사용하는 자원의 무결성(integrity), 비밀성(confidentiality), 가용성(availability)을 저해하는 행위를 가능한 실시간으로 탐지하는 시스템을 말한다. 최근에 잇따른 주요 인터넷 사이트들의 해킹으로 인해 네트워크 보안이 중요한 문제로 대두되면서 방화벽보다 좀더 신뢰성 있는 네트워크 보안 솔루션을 제시하는 침입탐지시스템이 차세대 보안 솔루션으로 부각되고 있다.

이처럼 침입탐지시스템이 방화벽에 이은 차세대 보안 솔루션으로 부각되는 주된 이유는, 방화벽이 해킹 되었을 경우 이에 따른 피해를 최소화하고 네트워크 관리자 부재시에 시스템 자체적으로도 해킹 등에 대응할 수 있는 보안 솔루션에 대한 요구가 늘고 있는 상황에서 침입탐지시스템이 이 같은 요구를 해결할 수 있는 솔루션이기 때문이다.

따라서 본 고에서는 침입탐지시스템의 기술 및 시장 동향에 대하여 알아보았다.

II. 침입탐지시스템 기술 분류 및 특징

1. 침입탐지 시스템의 분류

침입탐지시스템은 외부침입자뿐만 아니라 내부 사용자의 불법적인 사용, 남용, 오용행위를 탐지하는데 그 목적이 있는데, 미국 COAST(Computer Operations, Audit, and Security Technology)의 분류에 따르면 (그림 1)과 같이 데이터의 소스를 기반으로 하는 분류 방법과 침입의 모델을 기반으로 하는 분류 방법이 있다.

또 다른 분류방법으로는 IBM Zurich Research Lab.의 분류가 있는데 여기서는 침입탐지시스템의 기능적 특성과 비기능적 특성으로 분류하고 있으며, 기능적 특성으로는 침입탐지 방법, 침입탐지시 대응, 감사데이터의 수집 위치에 따라 분류하고 있고, 비기능적 특성으로는 모니터링 수행 빈도에 따라 분류하고 있다.

이 분류는 1999년 4월 ISO/IEC JTC1/SC27 "IT 침입탐지프레임워크" 회의에서 독일 NB(National Body)가 침입탐지 분류 기준으로 제안한 바 있다(그림 2참조)[4].

2. 침입탐지시스템 기술적 구성요소

침입탐지 시스템은 (그림 3)과 같이 크게 데이터수집 단계, 데이터의 가공 및 축약 단계, 침입 분석 및 탐지 단계, 그리고 보고 및 대응 단계의 4 단계 구성 요소를 갖는다.

3. 침입탐지 및 대응 방법

가. 침입탐지 방법

침입탐지에는 두 개의 상보적인 흐름이 있는데, 첫째는 공격에 관한 축적된 지식을 사용하여 어떤 공격을 사용하고 있다는 증거를 찾는 방식이며, 두 번째는 감시중인 시스템의 정상행위에 관한 참조모델을 생성한 후 정상행위에서 벗어나는 경우를 찾는 방식이다.

지식기반 침입탐지(오용탐지) 방법은 알려진 침입행위를 이용하여 침입을 탐지하고, 정해진 모델과 일치하는 경우를 침입으로 간주한다. 이러한 방법에는 전문가시스템(Expert System), 시그너처 분석(Signature Analysis), 페트리넷(Petri-net), 상태전이분석(State Transition Analysis), 신경망(Neural Network), 유전 알고리즘(genetic algorithm) 등이 있다.

그리고, 행위기반 침입탐지(비정상행위 탐지) 방법은 사용자의 패턴을 분석한 후, 입력 패턴과 비교하여 침입을 탐지하는데, 이러한 방법에는 통계적(Statistical) 방법, 전문가시스템(Expert System), 신경망(Neural Network), 컴퓨터 면역학(Computer Immunology), 데이터마이닝(Data Mining), HMM(Hidden Markov Model), 기계학습(machine learning) 방법 등이 있다.

또한, 침입탐지를 위한 분석을 수행하는 방식에 따라 정적 및 동적 침입탐지로 나눌 수 있다. 동적 침입탐지시스템은 시스템에 영향을 미치는 이벤트가 발생하는 즉시 획득함으로써 실시간 분석을 수행하며, 정적 침입탐지시스템은 시스템의 스냅샷을 잡아서 분석한 후 취약한 소프트웨어나 구성오류 등을 찾는다.

나. 침입 대응 방법

침입에 대한 대응 형태에 따라 수동적 대응과 능동적 대응으로 구분되는데, 대부분의 침입탐지 도구는 수동적으로 공격이 발견되면 경보가 생성되지만 공격을 좌절 시키는 대응을 능동적으로 수행하지는 않는다. 이는 침입탐지시스템이 많은 수의 잘못된 경보를 발생시켜 시스템의 가용성을 떨어뜨릴 수 있으므로 일면 타당할 수 있다. 주기적인 분석에 기반을 둔 다수의 침입탐지 tool에는 시스템의 구성에 보안문제가 발생하는 경우 능동적으로 대처할 수 있는 능력이 추가되었고, 이러한 tool들은 취약점을 탐지하고 시스템을 이전상태로 되돌리는 스크립트들을 생성한다.

침입탐지 제품들의 도래와 함께 대응 요소들도 현저하게 증가했는데 RealSecure, Net-Ranger, WebStalker 등은 공격이 행해지고 있는 연결을 끊고 공격이 시작된 호스트로부터의 트래픽을 막거나 방화벽이나 라우터 등의 설정을 변경하는 기능을 포함하고 있다. 최근, 침입탐지시스템이 보다 신뢰할 수 있게 됨에 따라 이러한 순향적인 보안정책은 더욱 활성화되고 있다[5].

4. 침입탐지시스템의 구현 기술

이러한 침입탐지 기술의 구현방법을 고려할 때 다음의 세가지 항목으로 세분화 시킬 수 있다.

- 사후 감사추적에 의한 분석기술(Post-event audit trail analysis)

- 실시간 패킷 분석 기술(Real-time packet analysis)

- 실시간 행위 감시 및 분석 기술(Real-time activity monitoring)

이러한 기술들은 각각 나름대로의 특징과 장단점을 지니고 있으며, 아직까지 한가지 제품에 두 가지 이상의 기술이 고려되어 개발된 사례는 많지 않다.

세가지 기본적인 분류에 의한 구분을 좀 더 세부적으로 살펴보면 다음과 같다[4].

가. 사후 감사추적에 의한 분석기술(Post-event audit trail analysis)

사후 감사추적에 의한 분석 기술은 초기의 전통적인 침입탐지 기술을 의미한다. 이러한 기술은 미리 수행된 의심스러운 행위에 대하여 발생한 자료를 토대로 감사 및 분석이 이루어 지는 형태이며, 상용화된 제품으로는 SAIC의 CMDS 와 TIS의 Stalker가 있다.

나. 실시간 패킷 분석기술(Real-time packet analysis)

불과 수년 전만 하더라도 전반적인 실시간 네트워크 침입탐지 기술은 불가능한 것처럼 여겨졌었다. 이는 시스템의 성능을 저하시킨다는 것이 원인이었는데, 최근에 이르러 이러한 문제가 극복되면서 실시간 탐지에 의한 대처 기술이 침입 탐지 시장의 큰 주류를 이루게 되었다. 실시간 침입 탐지에 의한 방법은 단일 네트워크 세그먼트(link)에 흐르는 패킷을 가로채는 기술이다.

(그림 5)는 패킷 분석에 의한 침입탐지 기술의 전형적인 개념도로, 방화벽 안팎으로 존재할 수 있으며 좀 더 진보된 툴은 여러 곳에 산재해 있는 sniffer 프로그램을 원격으로 관리하여 한가지 콘솔로 관련 정보를 보내주기도 한다. 패킷 분석 침입탐지 방식의 장점은 네트워크방식으로 구현된 공격에 대하여 효과적으로 대처하는 것과 네트워크에 산재해있는 여러 호스트에 모두 설치할 필요가 없는 것이다.

하지만 여기에 아주 큰 단점이 내재해있는데, Link 와 Node로 구성되는 네트워크의 기본정의를 생각해 볼 때 이러한 방식은 Link 상의 트래픽만 모니터할 수 있으며 네트워크의 Key piece인 각각의 Node는 모니터링하지 않는다는 것이다. 즉, 이 기술은 네트워크의 기본정의에서 부분적인 Link만을 수용하는 침입탐지 기술이다.

다음은 패킷 분석 침입탐지 기술의 또 다른 단점을 보여 준다

- 주요한 어플리케이션과 정보 데이터에 대한 대책이 없다

- 패킷 분석 방식은 다음과 같은 전형적인 공격 방식에 속수무책이다

- Sniffer는 각 세그먼트를 모니터할 하드웨어를 필요로 하며 항상 일정한 크기의 트래픽을 유지하는 기능이 필수적이다.

- 암호화된 패킷이 존재할 경우 패킷 내용을 분석할 수 없다.

이미 많은 회사들은 라우터 및 방화벽과 같은 패킷을 분석하고 필터링하는 제품에 상당한 양의 자본을 투자했다. 중요한 것은 이러한 라우터와 방화벽에 의한 추적 감사를 통해서도 패킷 분석 도구에 의한 네트워크 기반의 공격 유형을 상당부분 탐지할 수 있다는 것이다.

다. 실시간 행위 감시 및 분석 기술(Real time activity monitoring)

실시간 침입탐지를 위한 효과적인 방법은 네트워크를 구성하는 여러 가지 시스템과 장치에서 발생하는 보안에 관련된 여러 행위에 대해 모니터링하고 조치하는 것이다. 대부분의 행위 모니터 프로그램이 기본적으로 OS(Operating System)상의 감사 추적 자료를 참조하는 반면에 보다 진보된 툴은 다음 사항까지 참조한다.

- Application, Database, Webserver, Router, Firewall 등에 의한 감사추적자료

- 주요한 파일에 대한 트로이 목마들 또는 비인가된 자료의 변형 감시

- TCP/UDP port의 활성화

- Accept SNMP traps and triggers

- Sending e-mail, beeping pager, notifying console

- Shutting system down

그리고, 행위 감시 프로그램은 단일 시스템과 매니저/에이전트와 같이 두 가지로 분류되는데 먼저, 단일 시스템의 감시 프로그램은 오직 한 시스템에서만 실행된다. 이러한 방식으로 구현된 프로그램은 Win NT 용의 IDI의 Kane Security Monitor와 TIS의 WebStalker가 있는데, 이들은 stand-alone, single-system tool이므로 멀티 플랫폼 환경에서는 유용하지 않다.

그리고, 매니저/에이전트 침입 탐지 프로그램은 전체 네트워크 자원과 시스템을 에이전트로 인식한다. 이러한 에이전트들은 매니저에 접속되며 이들은 침입탐지 콘솔에 다시 접속되어 원격 설치, 업그레이드, 각각의 에이전트를 위한 침입탐지 시나리오 작성, 전체적인 침입 사항관리 등의 작업을 수행한다.

(그림 6)은 매니저/에이전트 구조를 가지는 솔루션의 개념도로써 멀티 플랫폼을 지원한다.

5. 기존 침입탐지시스템 구조 분석

가. NIDES(Next-generation Intrusion-Detection System)

NIDES는 1980년대에 SRI International의 Computer Science Lab.에서 시작된 연구의 결과이다. NIDES는 통계 알고리즘을 이용한 비정상적 행위탐지 기술과 알려진 침입 형태에 대한 전문가 시스템을 적용하는 오용 침입탐지 기술 모두를 이용한다.

NIDES 구조는 클라이언트-서버 모델을 기반으로 하며, NIDES의 분석은 NIDES 호스트라 불리는 곳에서 수행되고, 이는 네트워크를 통해 연결된 많은 호스트들을 모니터링 한다. 모니터링 되는 호스트들은 대상 호스트(target host)라 불리며, 이들의 감사자료는 NIDES 호스트로 수집된다.

NIDES와의 상호 작용은 NIDES 사용자 인터페이스를 통해 수행되며, 사용자 인터페이스는 해당 NIDES 호스트에서 오직 하나만이 동작하고, NIDES는 RPC와 라이브러리 호출 등을 통해 상호 작용하는 몇몇 요소들을 포함하며, (그림 7)은 NIDES의 수행 방식을 보이고 있다.

나. CIDF(Common Intrusion Detection Framework)

CIDF의 시스템은 구성과 정보 표현 및 시스템간의 상호 포용력 여부 등의 다양한 측면이 고려된다. CIDF를 구성하는 각 구성요소 들은 표준 공통 형식인 S-Expressions를 통해서 표현되어지는 일반화된 침입탐지 객체들(GIDOS)을 다루며, 이러한 GIDOS는 침입탐지와 관련된 정보들을 운반한다. 이의 흐름은 (그림 8)에서 점선 화살표로 표시되고 있다.

다. EMERALD(Event Monitoring Enabling Responses to Anomalous Live Disturbances)

EMERALD는 네트워크에 독립적으로 분산되어있는 모니터(distributed surveillance monitor)들을 사용하여 대규모 네트워크에서의 비정상 활동을 감지한다. 또한, 분산환경에서 실용적인 시스템 구현을 위해 기존의 침입 탐지 시스템에서보다 작고 분산적이며 상호 협력적인 구성요소를 채택하였다.

EMERALD의 분석 시스템 계층 구조는 시스템의 가장 하부 층을 이루고, 라우터나 게이트웨이 같은 각각의 컴포넌트들과 Service analysis layer, Domain-wide analysis layer, Enterprise-wide analysis로 이루어진다. 각 Layer에는 해당 layer를 감독, 관리하는 모니터 (EMERALD Monitor)가 있으며, 모니터의 분석 결과는 다른 모니터들과 네트워크를 통해 공유된다(그림 9 참조).

라. GrIDS(Graph Based Intrusion Detection System for Large Networks)

GrIDS의 디자인 목적은 수천 개의 호스트들을 가진 TCP/IP 네트워크 상에서의 행위를 분석하는 것이며, GrIDS의 기본 기능은 개인 호스트 위의 침입탐지보다는 대규모의 침입을 탐지하고 분석하는 것이다(그림 10 참조).

마. AAFID

AAFID 시스템은 기존의 침입탐지시스템에 대하여, 계층적이고 분산된 에이전트 구조를 가짐으로써 하나의 에이전트가 서비스를 중지해도 다른 에이전트들이 수행을 계속할 수 있도록 하며, 각 에이전트들이 독립적으로 수행되므로 전체의 시스템을 다시 시작해야 하는 번거로움을 해결하였다. 또한, 각 계층에 있는 에이전트들은 수집한 정보를 간단하게 정리하여 상위 계층으로 전달하므로 침입자가 오류 데이터를 발생하려는 시도를 할 때 쉽게 감지될 수 있다. AAFID 시스템은 기본적으로 agents, transceivers, monitors 의 세가지 요소로 구성된다(그림11참조).

바. Hummingbird

Hummingbird는 Idaho 대학에서 상호 협력적인 침입탐지 프레임워크을 제공하기 위하여 개발한 시스템으로, 각각의 호스트 또는 호스트의 그룹에 할당된 Hummer agent들을 지니며 각각의 Hummer는 manager, subordinate와 peer 관계를 통하여 시스템 내의 다른 요소들과 상호 작용한다. (그림 12)는 Hummingbird 시스템의 구성 요소간 상호 작용을 보여준다.

III. 침입탐지시스템 개발 동향

현재 침입탐지시스템에 대한 많은 연구들이 비정상적인 탐지기술을 중심으로 이루어지고 있으나, 아직 매우 단순한 오남용 등의 비정상 행위들에 대한 탐지에만 사용되고 있다. 또한, 개별적인 사용자의 행위에 기반한 탐지기술보다는 일반적인 사용시간, 네트워크 접속 수 등이 탐지를 위한 척도로 사용되고 있다[8].

사용자들이 정보보호기술을 사용하는 비율은 (그림 13)과 같으며, 침입탐지시스템의 사용비율이 비교적 높은 편임을 나타내고있다.

또한, (그림 14)에서 보면 향후 1년내 구매 예정인 정보보호 제품 중 3번째로 많은 구매를 계획하고 있는 것으로 나타나고 있다.

이러한 침입탐지시스템은 현재 단순한 시스템 오남용 등의 경우를 탐지하는 형태를 가지고 있으나, 사용자의 정상행위를 모델링하는 신경망 등의 기술이 도입되고 있다. 시스템 보안관리를 위하여 침입탐지시스템의 이용이 확대될 것으로 보이며, 방화벽, Network Address Translation, VPN, User Authentication, Bandwidth Control 등과의 연동도 모색되고 있다.

IV. 침입탐지시스템 시장 동향

침입탐지시스템이 침입차단시스템에 이은 차세대 보안 솔루션으로 부각되고 있는데, 이러한 이유는 침입탐지시스템이 네트워크 관리자를 대신하여 시스템 자체적으로 해킹에 대응하고, 침입차단시스템이 해킹되었을 경우 피해를 줄일 수 있는 솔루션이기 때문이다.

또한, 시장조사 기관인 IDC에 따르면, 전세계 IDS시장이 1999년 9,940만 달러에서 2000년에는 1억 8,350만 달러, 2003년에는 5억 1,810억 달러로, 1999년부터 2003년 까지 평균 51.8% 증가할 것으로 전망되고 있다. 또한, 향후 급격한 시장 성장률을 보일 것으로 예상되고 있으며, 2003년 이후에도 이러한 급격한 증가세는 계속 유지될 것으로 전망되고 있다(표 1 참조)[6, 7].

전문가들은 2000년에는 국내의 침입탐지시스템의 시장이 구체적으로 형성될 것으로 전망하고 있다. 이러한 침입탐지 시스템의 국내외 제품 개발 현황은 다음과 같다.

1. 해외

일반적으로 침입탐지시스템은 방화벽과 같이 단순히 네트워크를 통한 외부 침입을 차단하는 단계를 넘어 외부 침입에 의해 방화벽이 해킹된 후 침입 사실을 탐지해 이에 대해 대응하기 위한 솔루션으로 현재 전세계적으로는 리얼시큐어, ASAX, GrIDS, IDES/NIDES(Next Generation IDES), 넷레인저, 옴니가드, 코트니, 가브리엘, 홉고블린, 넷맨, 세인트, 트립와이어 등 약 70여종의 제품이 있다.

2. 국내

최근 들어 침입탐지시스템의 국산화가 잇따르고 있어, 2000년 상반기부터는 침입차단시스템(방화벽)과 함께 침입탐지시스템이 국내 보안 솔루션 시장을 주도하는 핵심 솔루션으로 자리잡을 전망이다. 그 동안 국내 침입탐지시스템 시장은 외국 제품들의 수입판매에 그쳤으나, 2000년 상반기부터 국산제품이 출시되면 본격적으로 시장이 형성될 전망이다.

이 업체들은 2000년 상반기부터 본격적인 침입탐지시스템 시장이 형성될 것으로 전망하고 있으며, 약 100억 원대 이상의 시장 규모를 보일 것으로 예상하고 있다.[2]

V. 결 론

침입탐지시스템은 오늘날의 복잡해지는 전사적인 네트워크 환경에 있어서 매우 큰 비중을 차지한다. 고전적인 침입탐지시스템은 수동적이며, 사후조치라는 취약성으로 인하여 실제적인 정보보호에 도움을 주지 못하는 실정이기 때문에, 현재 실정에 부합하는 자동화된 침입탐지시스템이 네트워크 환경에서 요구되는 정보보호의 실현을 위해 반드시 필요한 요소로 자리잡아가고 있다. 기존의 제품화된 Stalker, WebStalker, Real Secure등과 같은 기술들은 각각의 특징을 가지고 있지만 사후 감사추적의 특징으로 인해 즉각적인 대응조치가 미약하고, 실시간 패킷 분석의 부분적인 침입 탐지는 아직 전체적이고 포괄적이며 자동적인 침입탐지 기술을 필요로 하는 현재의 네트워크 컴퓨팅 환경에는 취약한 맹점을 가지고 있다.

이러한 침입탐지시스템은 점차 방화벽 이후 차세대 네트워크 보안 솔루션으로 크게 각광 받고 있으며, 다른 보안 시스템들보다 급격한 시장 성장률을 보이고 있다. 국내의 경우 2000년을 정점으로 침입탐지시스템 시장이 크게 확대될 것으로 전망되며, 외국 제품의 판매에서 점차 국산 기술에 의한 제품 출시가 계속될 것으로 전망된다.

따라서, 최근의 해킹 및 정보유출 등에 따른 피해가 잇따르고 있는 시점에서 네트워크 보안의 강화를 위하여 침입탐지시스템의 기술개발이 시급하다.

<참 고 문 헌>