시큐아이, 변화무쌍한 보안 위협 선제 대응…차세대 IPS는 선택 아닌 필수!!

하성진 시큐아이 개발팀장
<하성진 시큐아이 개발팀장>

“비대면 업무 환경이 급속히 퍼지고 주요 자산을 겨냥한 고도 공격이 증가하는 IT 환경에서 기업이 보안 위협에 효과적으로 대응하기 위해선 대용량 트래픽 처리가 가능하고 알려지지 않은 위협도 대응 가능한 '차세대 침입방지시스템(IPS)'이 필수입니다.”

하성진 시큐아이 개발팀장은 “기존 IPS는 시스템 성능 부족, 보호 대상 확대, 신종 위협 증가 등 세 가지 원인으로 인해 네트워크를 타고 유입하는 고도화된 대용량 위협으로부터 기업 자산을 지키는 데 한계에 봉착했다”며 이같이 말했다. 실시간 선제 대응이 가능한 위협 대응 시스템이 필요하다는 것.

-차세대 IPS와 IPS 차이점은.

▲차세대 IPS는 갈수록 진화하는 보안 위협을 방어하기 위해 기존 IPS 제품에 지능형지속공격(APT) 보안, 취약점 연계 분석, SSL 복호화 등 다양한 보안 기능을 추가한 제품이다. IPS는 주요 서버의 앞단에 위치해 해커들이 내부 취약점에 접근할 수 없도록 사전에 방어하고 멀웨어, 랜섬웨어 등을 비롯한 악성코드 공격을 탐지·차단한다. 하지만 5G 기반 통신 서비스 확산, 사물인터넷(IoT) 기기 확대 등으로 네트워크망을 통해 유입되는 보안 위협이 고도화되고 대용량화되면서 기존 IPS 제품은 위협을 분석하고 차단하는 데 버거운 상황에 놓였다.

-기존 IPS는 구체적으로 어떤 한계에 봉착했나.

▲우선 시스템 성능 부족을 손꼽을 수 있다. IPS는 패킷 내의 공격 패턴을 분석해 보안 위협을 탐지한다. 이 과정에서 많은 양의 CPU와 메모리 자원을 소비한다. 보안 위협이 복잡하고 다양해질수록 트래픽 양이 많아지고 분석해야 하는 패킷 양 또한 증가한다. 결국 패킷을 분석하기 위해선 더 많은 양의 CPU와 메모리 자원이 요구된다. 하지만 기존 IPS는 이러한 대용량 처리를 위한 구조적인 요구를 뒷받침하지 못하는 탓에 처리 속도 성능이 떨어지는 문제점을 안고 있다.

두 번째, 모바일 기기가 다양해지며 네트워크 보안 장비를 통해 보호되는 대상이 서버 인프라 중심에서 IoT·모바일 단말기까지 보호 대상 범위가 갈수록 넓어지고 있다. 또 폐쇄적으로 운영되던 OT망이 점차 IT망과 융합되면서 IT망에 존재하던 보안 위협이 OT망으로 확산하는 추세다. 디지털 트랜스포메이션 확대로 기업의 IT 인프라가 클라우드 인프라로 이동하고 있다. 이러한 상황에서 패킷 내 공격 패턴만을 탐지하는 기존 IPS 제품은 위협을 분석하는 데 한계가 있다.

끝으로 신종 보안 위협이 확대되고 있다. 네트워크를 통해 전파되는 보안 위협의 범위는 비정상 트래픽을 통한 위협 외에도 우리가 사용하는 파일 기반 악성코드를 통한 위협까지도 포함된다. 따라서 악성코드 분석뿐만 아니라 알려지지 않은 위협도 트래픽 분석을 통해 탐지·대응할 수 있어야 한다. 그러나 기존 IPS는 대부분 유해 트래픽에 대한 대응만이 가능할 뿐이다.

-급변하는 보안 위협에 대응하기 위해서 차세대 IPS가 갖춰야 할 조건은.

▲변화무쌍해진 보안 위협에 능동적으로 대응하기 위해선 기업과 기관은 △고성능의 패턴 탐지 △알려지지 않은 위협 대응 △디지털 자산을 효율적으로 보호하기 위한 체계 등 여러 요소를 갖춘 차세대 IPS를 도입해야 한다.

대용량 보안 위협 탐지·차단시에도 성능 저하를 최소화하는 스마트 NIC(네트워크 인터페이스 카드)를 통해 패턴 매칭 부하를 분산하는 구조를 지원, 위협 트래픽을 사전 인지해야 한다. 또 유해 트래픽 탐지뿐만 아니라 네트워크를 통해 전송되는 파일을 식별해 멀웨어·랜섬웨어 등 파일 내부의 악성코드를 탐지해야 한다. 관리자 편의성을 위해 보호 대상을 주기적으로 점검해 취약점을 진단하고 취약점을 연계해 기업 환경에 맞는 맞춤형 보안정책을 제공해야 한다.

안수민기자 smahn@etnews.com