다양한 보안 솔루션들이 차세대를 표방하며 진화하고 있다. 레거시 IPS(Intrusion Prevention System, 침입방지시스템)도 새로운 보안 위협에 대한 탐지 및 차단은 물론 정밀한 분석까지 가능한 차세대 IPS로의 변화가 요구된다. 이러한 요구사항을 충족시키기 위해 안랩은 최근 차세대 침입방지 솔루션인 안랩 AIPS(Advanced IPS)를 선보였다. 안랩은 안랩 AIPS를 통해 더욱 강력해진 위협 탐지와 빅데이터 처리 엔진 기반의 정밀하고 유연한 위협 분석, 그리고 뛰어난 가시성과 사용 편의성을 제공하여 고도화된 네트워크 보안 위협에 대응하고자 한다. 

 

다양화·고도화되는 네트워크 보안 위협으로 인한 IPS의 한계

인공지능과 클라우드, 5G는 4차 산업혁명과 디지털 트랜스포메이션을 대표하는 기술들로, 네트워크 환경을 빠르게 변화시키고 있다. 우리 주변에서 손쉽게 IoT 기기들을 찾을 수 있게 되었으며, 인공지능이 탑재된 가전제품과 자율 주행 차량이 등장했다. 그리고 수많은 기업들의 자산과 서비스가 클라우드 환경으로 이전되고, 5G 상용화로 트래픽 규모가 나날이 증가하고 있다. 이러한 네트워크의 변화와 더불어, 신기술들이 보안 위협과 융합되기 시작하면서 수많은 신종, 변종 위협이 생겨나고 있다. 최근 네트워크 보안 위협은 기존의 공격 방식이나 감염 경로가 달라 대응에 어려움을 겪고 있으며 많은 피해가 발생하고 있다. 이처럼 네트워크의 변화와 함께 고도화되고 있는 보안 위협에 대응하기 위해서는 보안 기술의 진화가 필요하다. 레거시 IPS 또한 지능화되고 다변화하고 있는 보안 위협을 대응하는게 한계가 있어 차세대 IPS로 변화의 필요성이 대두되었다.

 

차세대 침입방지 솔루션 안랩 AIPS

최근 안랩은 레거시 IPS의 한계를 극복한 차세대 IPS 솔루션인 안랩 AIPS(Advanced IPS)를 출시했다. 안랩 AIPS는 진화한 탐지 엔진과 안랩의 광범위한 위협 대응 인프라를 기반으로 하는 정교한 시그니처로 수많은 위협을 탐지하고 차단한다. 뿐만 아니라 네트워크 풀스택(Full-Stack)을 커버하는 다양한 탐지 필터, 암호화 트래픽과 악성 파일의 탐지 및 추출, 트래픽 자동 학습 등 차세대 기능을 적용하여 변화하는 위협에도 지능적으로 대응할 수 있다.

 

또한 안랩 AIPS는 정확도를 높인 위협 탐지 차단 기능과 더불어 안랩의 독자 기술로 개발된 빅데이터 처리 엔진을 기반의 모니터링, 대시보드, 통계 분석 등을 통해 보안 이벤트를 보다 신속하면서도 직관적이고 유연하게 확인하고 대응할 수 있다. 특히 자사의 네트워크 통합 보안관리 플랫폼인 안랩 TMS 및 다른 보안 솔루션들과의 연계를 통해 더욱 강력하고 지능적인 위협 탐지와 풍부한 위협 분석을 기대할 수 있다.

 

더욱 강력해진 네트워크 위협 탐지 엔진

DPI(Deep Packet Inspection) 기술을 통해 패킷의 페이로드를 분석하는 IPS 제품은 악성 트래픽의 탐지와 차단이 가장 핵심이다. 특히, 진화하고 있는 보안 위협에 대응할 수 있도록 다양한 종류의 트래픽에 대한 탐지 엔진과 기능을 제공해야 한다. 강력한 위협 탐지 엔진을 탑재하고 있는 안랩 AIPS는 네트워크 풀스택(FullStack) 위협을 탐지한다. 고속 패턴 매칭을 기반으로 비정상 IP/MAC 기반의 제어, 비정상 프로토콜의 차단, 임계치를 기반으로 하는 행위 기반 탐지 및 애플리케이션 제어 등 레이어2부터 레이어7에 대한 탐지가 가능하다. 안랩 AIPS는 네트워크 전반에 걸쳐 탐지와 차단 기능을 제공하기 때문에 단순히 취약점을 이용한 공격뿐만 아니라 스캔(SCAN) 공격, 플러딩(Flooding) 공격, 변조된 IP를 통한 우회 공격 등 다양한 보안 위협에 대해 대응할 수 있다. 

 

그리고 최근 보안 위협의 주를 이루는 멀웨어 공격에 대응하기 위해서 야라(YARA) 엔진을 적용했다. 이를 통해 악성파일을 탐지하고, 추가 분석을 위한 탐지된 악성파일을 추출할 수 있다. 또한 HTTPS와 같이 암호화 트래픽에 대한 가시성 확보를 위해 SSL 트래픽 검사 기능도 제공한다. 더불어 자사의 안랩 TMS와 연동하면 다수의 안랩 AIPS로부터 수집된 정보들을 머신러닝 기반으로 정밀한 분석이 가능하다.

 

빅데이터 처리 엔진으로 향상된 로그/이벤트 처리 및 분석

안랩 AIPS는 빅 데이터 처리 엔진을 적용했다. 이를 통해 대용량의 보안 이벤트를 빠르게 수집하고 정규화하여 원하는 정보에 대한 상세 검색과 보고서 생성이 편리하다. 또한, 메모리 및 스토리지 등 시스템 리소스의 효율성을 개선하여, 저사양의 장비에서도 고효율을 보장한다. 이처럼 안랩 AIPS는 빅데이터 처리 엔진을 통해서 성능과 효율성을 바탕으로 보다 향상된 로그 처리 및 분석이 가능하다는 것이 큰 장점이다. 

 

[그림 1]은 안랩 AIPS의 통합 로그를 보여주는 관리자 인터페이스다. ‘통합 로그’ 메뉴를 통해 안랩 AIPS로 유입된 트래픽에 대한 탐지 및 차단 결과와 시스템에서 발생한 모든 로그 현황을 한 눈에 확인할 수 있다. 그리고 상세한 검색을 원할 시에는 검색 조건을 선택하는 간편 검색과 사용자가 원하는 검색값을 직접 입력하는 ‘상세 검색’ 기능을 이용할 수 있다. 특히, 상세 검색은 검색 조건들을 AND/OR/NOT으로 조합할 수 있어 사용자에게 더욱 유연한 검색 환경을 지원한다.

 

[그림 1] 안랩 AIPS의 통합 로그 기능

 

안랩 AIPS는 통합 로그 외에도 트래픽 로그, 탐지/차단 로그, 시스템 로그 메뉴를 제공한다. 트래픽 로그 메뉴는 유입된 모든 트래픽에 대한 처리 결과를, 탐지/차단 로그 메뉴는 [그림 2]와 같이 설정된 정책을 기반으로 탐지 또는 차단된 로그 현황을, 시스템 로그는 설정, 업데이트, 관리자 등 시스템과 관련된 모든 로그를 보여준다. 세 가지 로그는 개별 메뉴로 확인할 수 있을 뿐만 아니라, 다양한 추가 검색 조건을 조합하여 유용한 결과를 얻을 수 있다.

 

[그림 2] 안랩 AIPS의 탐지/차단 로그 기능 및 상세 로그 조회

 

사용자 중심의 다양하고 유연한 이벤트 통계

네트워크 보안 위협에 대한 정밀하고 유연한 분석을 위해서 안랩 AIPS는 기본적으로 제공하는 사전 정의된 (Predefined) 통계 규칙 외에 사용자가 원하는 Top 규칙과 추이 규칙을 생성할 수 있다. 벤더에서 제공하는 통계 규칙만으로는 관리자들이 실질적으로 원하는 통계 및 위협에 대한 분석 결과를 도출하기 쉽지 않다. 안랩 AIPS는 이러한 문제점을 보완하고자 사용자 중심의 유연한 사용자 정의(Customize) 기능을 제공한다.

 

안랩 AIPS에서는 총 세 가지의 통계 메뉴를 제공한다. 먼저, ‘Top 통계’ 메뉴는 통계 기준과 여러 개의 통계 속성들을 조합하여 가장 많이 검색된 로그의 순위 정보를 확인 할 수 있다. ‘추이 통계’ 메뉴는 여러 개의 통계 속성을 이용해서 검색된 로그의 시간별 추이 정보를 보여준다. 그리고 통계 결과를 그래프로 보여주기 때문에 통계의 전체적인 흐름과 급증/급감과 같은 이상 현상을 쉽고 빠르게 파악할 수 있다. 마지막으로 ‘기준별 추이 통계’ 메뉴는 Top 통계와 추이 통계를 결합한 형태로, 통계 기준과 통계 속성을 통해 가장 많이 검색된 로그를 시간별 추이 정보로 나타낸다. 검색된 로그들에 대해 Top 통계와 추이 통계를 한 번에 확인할 수 있는 장점이 있다. 또한 각 항목에 대한 합계, 평균, 최대, 최소 등의 다양한 수치를 함께 제공해, 보다 정밀한 이벤트 분석이 가능하다. 통계 메뉴 역시 간편 검색과 상세 검색을 지원한다.

 

[그림 3] 안랩 AIPS의 통계 기능 

 

안랩 AIPS의 가장 큰 차별점으로 드릴다운(Drill-down) 기능을 꼽을 수 있다. Top/추이 통계에서 통계 기준이나 속성들에 대해 추가적인 검색이 가능하여 원하는 정보를 손쉽게 찾아볼 수 있다. 이러한 통계 검색 기능은 추가적인 연관 통계 검색으로 위협에 대한 정밀한 분석과 추적을 가능하게 하며, 끊김 없는 드릴다운(Drill-down)과 연결 기능으로 사용자 중심의 편리한 인터페이스를 제공한다.

 

[그림 4] 위협에 대한 정밀 분석 및 추적을 위한 드릴다운(Drill-down)

 

뛰어난 가시성과 높은 자유도를 제공하는 대시보드

IPS에서 위협에 대한 탐지/차단만큼 중요한 것이 정보 가시성을 제공하는 것이다. 수많은 로그와 이벤트 중에서 원하는 정보를 쉽고 빠르게 파악할 수 있어야 위협에 대한 대응 시간을 줄일 수 있다. 안랩 AIPS는 뛰어난 가시성과 높은 자유도의 대시보드 및 위젯을 제공하여, 관리자가 원하는 정보만으로 구성된 대시보드를 통해 직관적으로 정보 확인이 가능하다.

 

안랩 AIPS에서는 사전 정의된(Predefined) 통계 규칙 또는 사용자 정의 통계 규칙을 통해 수집된 정보를 대시보드와 위젯으로 만들 수 있다. [그림 5]와 같이 대시보드는 기본 제공되는 사전 정의된 패널과 사용자 정의 패널로 구분된다. 사용자 정의 패널은 사용자 정의 위젯으로 구성이 가능하며, 사용자 정의 위젯은 통계 규칙을 기반으로 생성된다. 위젯은 그래프, 지도, 표, 숫자 등 총 8가지 형태로 생성이 가능하며, 크기나 위치를 자유롭게 조정할 수 있기 때문에, 사용자가 원하는 구성, 원하는 형태로 대시보드를 만들 수 있다.

 

사용자에게 높은 자유도를 제공하면서, 동시에 뛰어난 정보 가시성으로 쉽고 직관적인 정보 확인이 가능한 것은 안랩 AIPS만의 특장점이라고 할 수 있다.

 

[그림 5] 안랩 AIPS의 대시보드와 사용자 정의 위젯 생성

 

안랩은 중소규모 네트워크 환경을 위한 안랩 AIPS 2000/4000부터 대규모 사업장을 위한 안랩AIPS 10000까지의 제품 라인업을 갖춰, 고객사의 네트워크 환경에 적합한 다양한 모델을 제공한다.