해킹공격을 막을 수 있는 IPS를 알아보자!

 

오늘의 주제는 해킹공격을 막을 수 있는 IPS를 알아보자! 입니다.

IPS란 Intrusion Prevent System으로 침입방지시스템을 의미합니다.

실제로 IPS에 정교한 패턴 규칙을 등록한다면 (알려진) 취약점 공격들을 잘 잡아내는 편이죠.

어느 보안장비에서나 마찬가지이지만, 알려지지않은 취약점공격인 제로데이 공격을 막을 방법은 없습니다.

(만약 있다면 알려주세요....)

 

그러므로 IPS를 효과적으로 운영하기 위해서는  발표된 취약점들을 연구하고

탐지 규칙(룰)들을 지속적으로 업데이트해야 합니다.

 

 

IPS에서 탐지 규칙을 생성할 때는 위와같은 snort rule이라는 것을 사용하는데요.

프로토콜, 출발지IP, 출발지포트, 목적지IP, 목적지포트, 외 데이터 패턴을 이용하여 탐지할 수 있습니다.

 

예를 들어 우리 웹서버에 취약점이 존재하는 페이지가 있다고 가정해보죠.

물론 취약점이 있다면 삭제하거나 패치하는게 일반적이지만, 운영 상의 문제로 삭제도 안되고, 

패치도 안된다는 상황에서는 IPS에 룰을 추가하여 취약점이 존재하는 파일에 접근 시 탐지, 차단하도록 정책을 추가할 수 있습니다.

 

IPS는 웹 취약점 공격들을 대부분 잘 잡는 편이지만, 반면에 단점도 가지고 있습니다.

공격 데이터들을 인코딩하는 식으로 탐지 우회가 가능합니다.

아무래도 패턴기반으로 탐지하는 시스템이기 때문에 패킷을 일부 변경함으로 탐지가 안되기도 합니다.

 

게다가 IPS의 버전에 따라 적용할 수 있는 패턴들이 제한적입니다.

제 경험을 생각해보면 제가 근무하는 곳의 IPS 버전이 낮아 지원하는 snort 규칙들이 제한적이어서

최근 업데이트되는 규칙들을 못넣는 경우가 굉장히 많았습니다.

(IPS 룰을 한번에 3천개 이상 넣던 때가 기억나는 군요...)

 

 

물론 최신IPS를 사용하면 좋겠지만 예산 문제상 구IPS를 쓰는 것 같습니다... 

아무래도 IPS, 웹 방화벽 외에 보안장비를 여러개 쓰고, 침해시도가 일어나지 않으니

기업 입장에서는 새로운 장비를 구입할 예산을 잘 안주는 것 같기도 합니다.

 

그래도 보안에서 IPS가 중요하지 않다!는 아닙니다.

현재 IPS는 중요한 역할을 하고 있고 미래에도 할 거라고 생각합니다.

만약 미래에 IPS가 없어지는 날이 온다면, 이미 IPS 기능을 대체하는 다른 이름의 장비가 있어서 일겁니다.