보안 인프라 정리
UTM
UTM은 Unified Threat Management 의 약자로 통합 보안 장비 또는 통합 위협 관리 시스템을 의미함. 모든 트래픽의 앞단(인터넷과 내부망 사이)에 위치하여 방화벽, IPS, VPN, 웹 필터링 등 다양한 보안 기능을 수행하며, 외부로부터 유입되는 모든 트래픽을 가장 먼저 통제한다.
보통 하나의 장비 또는 플랫폼 안에서 다양한 보안 기능을 통합 제공하는 올인원 보안 장비를 뜻한다.
일반적으로 포함하는 기능
| 보안기능 | 설명 |
|---|---|
| 방화벽 | L3 ~ L4 기반의 기본 네트워크 접근 제어 |
| IPS/IDS | 침입 탐지 및 차단 시스템 |
| 안티바이러스/ 안티멀웨어 | 유입되는 트래픽에 포함된 악성코드 탐지 및 차단 |
| VPN(IPSec/SSL) | 안전한 원격접속 기능 |
| 웹 필터링 | 악성 URL 차단, 비업무 사이트 차단 등 |
| 스팸 필터링 | 이메일 보안 |
| QoS | 네트워크 트래픽 품질 관리 |
| Application Control | 애플리케이션 레벨 제어 및 모니터링 |
SSL 가시화
SSL 가시화는 조직 내부 네트워크를 흐르는 암호화된 SSL/TLS 트래픽을 복호화하여 보안 장비들이 내용을 검사할 수 있도록 만드는 기술이다. HTTPS나 TLS 기반의 트래픽이 늘어나면서 보안 장비(Firewall, IPS, DLP 등)는 암호화로 인해 내부 패킷을 분석할 수 없는 한계가 생겼고, 이로 인해 SSL 가시화가 필수 보안 기술로 부상했다.
SSL 가시화 장비가 필요한 이유
| 항목 | 설명 |
|---|---|
| 보안 장비의 가시성 확보 | 암호화된 상태로는 악성코드 탐지, 데이터 유출 방지 불가 |
| 암호화된 위협 내용 | HTTPS 기반의 악성 파일, Command & Control(C2), 데이터 유출 트래픽 탐지 |
| 규제 대응 | 개인정보보호법, 산업보안 규정 등에서 암호화된 트래픽에 대한 보안 요구 증가 |
SSL 가시화 동작방식
1
2
3
4
5
6
7
8
9
[클라이언트]
↓ HTTPS
[SSL 가시화 장비 (복호화)]
↓ 평문
[IPS / DLP / APT 등 보안 장비]
↓ 평문
[SSL 가시화 장비 (재암호화)]
↓ HTTPS
[웹 서버]
- 클라이언트 요청 수신 (HTTPS)
- SSL 가시화에서 복호화 수행
- 복호화된 평문 트래픽을 보안 장비로 전달
- 검사 후 다시 암호화해서 서버로 전송
IPS
IPS란 Intrusion Prevention System의 약자로 네트워크에 대한 악의적인 접근이나 비정상적인 트래픽을 실시간으로 탐지하고, 차단까지 수행하는 보안 장비이다. 방화벽은 정책에 따라 트래픽을 허용/차단하는 역할이라면, IPS는 트래픽 내용까지 분석하여 알려진 공격(Signature) 또는 비정상 행위(behavior)를 실시간으로 탐지하고 막는 역할을 한다.
IPS의 핵심 기능
| 기능 | 설명 |
|---|---|
| 패킷 심층분석 | 트래픽의 페이로드(내용)까지 검사하여 악성 코드나 공격 패턴 탐지 |
| 시그니처 기반 탐지 | 알려진 공격 패턴에 기반하여 공격 여부 판단 |
| 비정상 행위 탐지 | 정상적인 패턴과 다른 이상 행동을 탐지 |
| 자동 차단 | 탐지된 공격에 대한 자동으로 트래픽 차단 |
| DoS/DDoS 대응 | 대량의 요청으로 인한 서비스 마비를 사전 탐지 및 차단 |
| Zero-day 대응 | 대량의 요청으로 인한 서비스 마비를 사전 탐지 및 차단 |
WAF
WAF는 Web Application Firewall의 약자로 Layer 7에서 동작하는 방화벽으로, HTTP/HTTPS 요청의 내용(body, query string, header 등)을 분석해서 악의적인 요청을 필터링한다.
WAF의 주요 기능
| 보안기능 | 설명 |
|---|---|
| SQL Injection 차단 | 쿼리문에 악의적 SQL을 삽입하는 공격을 탐지하고 차단 |
| XSS(Cross Site Scripting) 방어 | 스크립트 삽입을 통해 사용자 브라우저를 공격하는 시도를 막는다. |
| CSRF(Cross Site Request Forgery) 탐지 | 사용자의 의지와 무관한 요청을 유도하는 공격을 방지 |
| 파일 업로드 필터링 | 악성 토드나 실행 가능한 파일의 업로드를 차단 |
| URL/메서드 접근 제어 | 특정 URI나 HTTP 메서드(GET/POST 등)에 대한 접근을 제한 |
| 봇 트래픽 차단 및 CAPTCHA 적용 | 자동화된 봇의 접근을 탐지하여 차단하거나 CAPTCHA로 검증 |
| Rate Limiting | 특정 시간 내 요청 횟수를 제한하여 DoS 공격이나 과도한 트래픽을 제어 |
| OWASP Top 10 보안 위협 대응 | 웹 보안의 대표적인 위협 10가지를 사전에 차단 |