인생은 아름다워

얼마 전 한 신문에서 최신 신종 웜과 관련된 기사를 접한 적이 있다. 그 웜은 사용자 주소록에 있는 e메일 주소로 웜에 감염된 e메일을 발송하는 것이었다.

최근에는 유명 축구선수 데이비드 베컴의 사진만 열어봐도 감염되는 웜이 나오고 있다. 갈수록 웜의 위력은 강해지고 있다는 얘기다. 그에 따른 피해도 크게 늘고 있는 상황이다.

이런 이유로 새로운 보안 위협에 대응할 수 있는 다양한 제품들이 선보이고 있다. 웜에 대응하는 제품중 주목받고 있는 것은 침입방지시스템(IPS)과 바이러스월이다.

고객들은 각자 회사의 네트워크 사정과 필요에 따라 두 제품을 취사선택할 수 있다.

그런데 두 제품을 놓고 많은 고객들이 혼동하는 것 같다. 어떤 제품이 회사 사정에 맞는 제품인지는 전문가가 아닌 이상 제대로 구별하기가 쉽지 않은 것도 사실이다.

두 제품은 외부의 침입을 차단해주기도 하지만 내부에서 감염된 컴퓨터가 외부를 다시 공격하는 2차 감염도 막아준다. 외부에 존재하는 선의의 사용자를 보호하자는 의미도 포함돼 있다는 얘기다.

그러나 비슷해 보이는 IPS와 바이러스월은 각각의 특성을 갖고 있다. 강점에서도 차이가 있다.

바이러스월과 IPS의 차이를 논하기 위해서는 먼저 컴퓨터 시스템을 파괴하는 악성프로그램인 바이러스와 웜이 어떻게 다른지 살펴보는 것이 좋겠다.

바이러스는 컴퓨터 프로그램이나 실행 가능한 부분을 변형하여 자기 자신 또는 자신의 변형을 복사하는 방법으로 컴퓨터 내에 침투, 자료를 손상시킨다. 또는 다른 프로그램들을 파괴해 작동할 수 없도록 한다.

웜은 바이러스와는 좀 다른 형태로 가장 큰 차이점은 감염 대상이 존재하느냐 존재하지 않느냐 하는 것이다. 웜은 다른 파일을 감염시키지 않고 독립적으로 존재한다.

따라서, 웜은 웜 파일만 삭제하면 치료가 되기 때문에 치료가 쉬운 편이다.반면 바이러스는 실행 파일 및 데이터파일을 수정하기 때문에 감염된 파일을 원래 파일로 복구해야 한다.

이러한 악성 프로그램들은 e메일과 OS 및 응용프로그램 취약점 그리고 네트워크를 통해 감염된다.

IPS와 바이러스월간 차이를 설명한다고 해놓고 느닷없이 웜과 바이러스의 차이를 설명한 것은 여기에 두 제품간 차이가 있다고 보기 때문이다.

바이러스월은 바이러스 백신 엔진을 이용, 네트워크를 통과하는 콘텐츠중 바이러스나 웜 등 악성 프로그램을 검사하는 방식을 취하고 있다. IPS에 비해 보다 정교한 치료 및 차단 기능을 제공한다. 웜은 차단만 하지만, 바이러스나 트로이목마에 대해서는 차단과 치료 기능을 모두 제공한다.

이를 감안하면 바이러스월은 각종 악성코드에 대한 종합적인 대책을 세울 수 있는 솔루션으로 볼 수 있다.

반면 IPS는 네트워크상의 패킷을 검사한 뒤 이를 탐지하고 차단할 수 있는 메커니즘을 채택하고 있다. 네트워크 패턴만 보고 유해 트래픽이나 웜인지 여부를 검사하기 때문에 바이러스월에 비해 속도가 빠르다.

IPS는 서비스거부공격(Dos)이나 웜 등을 차단하는데 강점을 보이고 있다. 웜이외에 바이러스나 트로이목마에 대해서는 방어 능력을 갖고 있지 않다. 웜 차단에 있어서도 바이러스월보다 속도는 빠르지만 정교함은 떨어진다.

현재 각 제품들의 단점을 보완하기 위해 바이러스월은 IPS 강점을 보강하고 IPS도 바이러스월의 강점을 보강하는 흐름이 형성되고 있다. 그러나 하나로 통합된 완벽한 솔루션이 존재하기는 어려운 실정이다.

두 제품을 동시에 도입한다면 금상첨화다.

그러나 비용 부담이 생기는 만큼 IPS나 바이러스월 도입시 그 제품의 특징을 꼼꼼하게 따져보는게 필요할 듯 싶다. 악성코드에 대한 전반적인 대응 능력을 강화해야 하는데도, 웜만을 차단하는 IPS를 선택하는 상황을 막으려면 말이다.

출처 : http://blog.naver.com/kongyj70?Redirect=Log&logNo=50011708568

1. 방화벽은 FireWall 이라고 하죠.

국어 사전적의미

방화―벽 (防火壁) [명사] 불이 번지는 것을 막기 위하여 건물의 내부 같은 데에 설치한, 내화 구조(耐火構造)의 벽.

그런데 컴퓨터 네트웍에서 보안 방지로 차용하여 사용하는 말입니다.

간단히 패킷필터링, 프락시 필터링 방식이 있는데, 최근엔 혼용하여 사용합니다.

패킷필터링은 IP 등의 접속을 막는것이고, 프락시 필터링은 어플리케이션 필터링을 하는거죠.

2.IDS 침입 탐지 시스템의 약어입니다.

사전적의미

침입 탐지 시스템 [ 侵入探知-, intrusion detection system ]
컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템. 침입 차단 시스템만으로 내부 사용자의 불법적인 행동(기밀 유출 등)과 외부 해킹에 대처할 수 없으므로 모든 내·외부 정보의 흐름을 실시간으로 차단하기 위해 해커 침입 패턴에 대한 추적과 유해 정보 감시가 필요하다.
 
 즉 유해 패킷패턴을 실시간으로 들여다보는거죠. 엄청 로드 걸리겠죠?

3.IPS 침입 방지 시스템의 약어입니다.

사전적의미

침입 방지 시스템 [ 侵入防止-, intrusion prevention system ]
네트워크에서 공격 서명을 찾아내어 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션. 수동적인 방어 개념의 침입 차단 시스템이나 침입 탐지 시스템(IDS)과 달리 침입 경고 이전에 공격을 중단시키는 데 초점을 둔, 침입 유도 기능과 자동 대처 기능이 합쳐진 개념의 솔루션이다. 또한 해당 서버의 비정상적인 행동에 따른 정보 유출을 자동으로 탐지하여 차단 조치를 취함으로써 인가자의 비정상 행위를 통제할 수 있다.
 
보통 침입탐지로 알려진 침입에 대하여 차단하는 솔루션이라 할 수 있죠. 즉 탐지 내용을 방화벽에 전달하여 위험요소 연결을 차단하는 보안제품을 말합니다.

출처 : 네이버 지식IN