Red Hat Enterprise Linux 3: 보안 가이드
이전		다음

9장. 침입 탐지

소중한 재산은 도난당하거나 파기되지 않도록 잘 보호해야 합니다. 일부 가정에서는 강도가 들지 못하게 하고, 만일 도둑이 침입한 경우에는 경비 업체에 알리고 심지어 집에 불이 나면 주인에게 경고해주는 알람 시스템이 설치되어 있습니다. 이러한 대응 체계를 갖추어야 가족과 집의 안전을 보장할 수 있습니다.

이와 같은 동일한 대응 체계가 컴퓨터 시스템과 데이터에도 적용되어야 합니다. 인터넷은 개인 정보에서 재정 정보에 이르기까지 다양한 정보 교환을 용이하게 해주었습니다. 하지만 그와 동시에 다양한 위험 요소를 발생시켰습니다. 악의를 가진 사용자와 크래커는 패치되지 않은 시스템이나 트로이 목마 프로그램이 깔린 시스템 또는 비보안 서비스를 실행 중인 네트워크와 같은 취약 시스템을 목표로 삼고 공격합니다. 보안 침입 사고가 발생시 바로 시스템 관리자와 보안팀 구성원에게 통지하여 그들이 보안 위협에 실시간으로 대처할 수 있도록 해주는 알람이 필요합니다. 침입 탐지 시스템은 이러한 경고 시스템으로 설계되었습니다.

9.1. 침입 탐지 시스템이란

침입 탐지 시스템 (IDS)이란 시스템과 네트워크 작업을 분석하여 권한이 없는 사용자가 로그인하거나 악의성 작업이 있는지 찾아내는 활성 프로세스 또는 장치를 말합니다. IDS가 예외적인 작업을 찾아내는 방법은 다양합니다; 그러나 모든 IDS의 궁극적인 목적은 침입자가 시스템 자원에 심각한 손상을 끼치기 전에 범인을 찾아내는 것입니다.

IDS는 시스템 공격, 오용이나 침입을 방지합니다. 또한 네트워크 활동을 감시하고 네트워크와 시스템 설정에 취약점이 있는지 확인하며 데이터 무결성을 분석하는 등의 다양한 작업을 수행할 수 있습니다. 여러분이 사용하시는 탐지 방법에 따라서 IDS를 사용함으로서 여러가지 직접적인 혜택과 간접적인 혜택을 받으실 수 있습니다.

9.1.1. IDS 유형

우선 IDS란 무엇인지, 그리고 어떠한 기능을 제공하는지를 이해하셔야 컴퓨터 보안 정책에 어떠한 유형의 IDS를 사용하는 것이 적합한지 결정하실 수 있습니다. 이 부분에서는 IDS와 관련된 개념과 각 IDS 유형의 기능 및 여러가지 탐지 기술과 도구를 한개의 패키지로 사용하는 혼성 IDS의 출현에 대하여 설명해 보겠습니다.

일부 IDS는 지식 기반 (knowledge-based)으로서 흔히 발생하는 보안 공격 데이터베이스를 사용하여 침입이 발생하기 전에 보안 관리자에게 먼저 알려줍니다. 다른 행동상의 특징을 기반으로한 (behavioral) IDS는 모든 자원 사용 유형에서 예외적인 증상을 추적합니다. 일반적으로 이러한 예외적인 증상은 악의성 행동이 일어나고 있다는 신호입니다. 일부 IDS는 독립형 서비스로서 백그라운드에서 작업들을 수동적으로 청취하고 있으며 외부에서 의심이 가는 패킷이 들어온다면 기록하기 시작합니다. 어떠한 IDS는 강력한 침입 탐지 도구 세트를 만들기 위하여 관리자의 직감과 경험에 표준 시스템 도구와 수정된 설정 및 자세한 로그 기록 기능을 결합하였습니다. 여러 다양한 침입 탐지 기술을 평가해봄으로서 여러분의 기업체에 맞는 적절한 기술을 찾는데 도움이 됩니다.

이전	처음으로	다음
칩입과 보안 사고 대응	위로	호스트 기반 IDS