보안관제 3단계 분석

보안관제는,

 

1. 보안 사고의 정황을 파악하고,

2. 증거를 수집하여,

3. 공격 여부를 판단하는 인련의 수사 활동이다.

 

그래서 공격에 대한 심증만을 의미하는 탐지 로그의 분석을 통해 심증을 튓받침하는 물증, 즉 증거를 확보함으로써 공격 여부를 가리는 과정은 보안관제 업무의 핵심이자 필수업무라고 할 수 있다. 그렇다면 보안관제 업무는 어떻게 진해되어야 할까?

경찰의 수사 업무를 떠올려 보면 바로 답이 나온다. 사건이 발생하면,

1. 가해자와 피해자의 관계를 파악하고,

2. 증거를 수집하고

3. 잠복근무 등을 통해 현장 범행을 확인하거나 범인 검거 등을 시도하는 순으로 수사는 진행된다.

 

IDS/IPS 분석 역시 마찬가지이며 크데 3단계로 진행된다.

 

 

단계	목적	판정 기준
1. IP/PORT 간 관계 분석	출발지와 목적지의 IP주소와 포트 간의 관계를 조사함으로써 탐지 로그와 공격 진위를 파악한다	출발/목적지 간 탐지 로그(트래픽) 발생 상황의 정상/비정상 여부
2. 원시데이터(RawData) 분석	1단계에서 공격 여부 파악이 안될 때 원시데이터, 즉 해당 탐지 로그를 발생시킨 원본 패킷을 조사함으로써 해당 탐지 로그의 공격 여부를 파악한다	단방향 원시데이터의 유해성, 즉 원시데이터 표현에 사용된 기호의 유해성 존재 여부
3. 트래픽 로깅 (Traffic Logging) 분석	1~2단계에서 공격 여부 파악이 안 될 때 해당 출발지와 목적지 간에 발생하는 트래픽 원본을 수집하여 송수신 데이터를 검사함으로써 해당 탐지 로그의 공격 여부를 파악한다.	양방향 트래픽 데이터의 유해성 존재 여부

 

보안관제 업무 종사자라면 누구나 공감하겠지만, IDS분석 3단계 중 세 번재 '트래픽 로깅 분석' 단계는 매우 빈번하게 진행되는 작업인 동시에 매우 까다로운 작업이라고 할 수 있다.

 

왜 빈번하게 진행이 될까? 1,2단계에서 공격 여부 파악이 안되는 경우는 물론, 파악되었다고 하더라도 공격 방법 확인 및 공격의 성공 여부, 피해 발생 수준의 확인 등 정밀 분석을 위한 다양한 추가 정보의 수집을 위해 해당 공격을 발생시킨 원본 트래픽이 필요하기 때문이다.

 

까다로운 이유는 무엇일까? 수사관들의 잠복근무를 생각해보자(혹은 영화에서 본듯한..) 범인은 '나 잡아가세요' 하며 기다려주지 않고 티도 잘 안내는 것처럼, 트래픽 역시 '나 빨리 수집하세요' 하며 기다려주지 않는다. 특정 공격을 인지하고 트래픽을 수집하고자 할 때쯤이면 이미 해당 트래픽은 사라지고 없는 경우가 태반이기 때문이다. 그래서 해당 탐지 로그가 발생하는 시점의 트래픽을 수집하는 작업은 매우 어려우면서도 지루하고 고된 작업이 되는 경우가 많다. ........

IDS와 보안관제의 완성 中 Chapter 05 분석 방법론

 

3단계 분석과정은 보안관제의 핵심적인 요약이라고 할 수 있겠다.

물론 실제 업무 사례를 통해 디테일 하게 들어가면 매우 복잡하지만, 큰 그림으로 이렇게 알기 쉽게 설명해준 '빅데이터 분석으로 살펴본 IDS와 보안관제의 완성' 저자 강명훈 님에게 이 자리를 빌어 감사 말씀 드린다.