각종 침입탐지시스템(IDS) 중에서 자사 시스템에 적합한 제품을 고르려면 어떻게 해야 하나. 지난 2000년부터 늘어나기 시작한 IDS는 현재 20개. 지난해말 국가정보원으로부터 K4인증을 받은 제품만 7개, 현재 평가를 진행하고 있는 제품도 9개에 이른다. 각 업체마다 자사 제품의 기능적인 우수성과 다양한 지원책 등을 자랑하고 있어 막상 IDS를 도입하려는 업체들은 고민에 빠질 수밖에 없다. 업계 전문가들이 제시하는 ‘IDS의 선택요령’ 10가지를 소개한다.
△폭넓은 고객지원이 가능한가=IDS는 침입탐지 정책을 수립하고 침입탐지 결과를 토대로 침입여부를 확인하고 대처해야 하기 때문에 설치와 운영이 어렵다. 따라서 일부 정보보호 분석가로는 문제해결에 어려움을 겪게 된다. 결국 효과적인 IDS 운영을 위해 판매업체의 지원이 필수적이기 때문에 고객지원체계와 인력이 충분한가를 살펴봐야 한다.
△목적과 환경에 적합한가=IDS는 제품마다 탐지가능한 침입 유형이나 처리성능 등이 다르기 때문에 도입하기 전에 목적과 운영 환경을 명확히 해야 하며 제품이 이에 적합한지를 확인해야 한다.
△다양한 침입탐지가 가능한가=가장 다양하고 많은 침입유형을 탐지할 수 있는 제품을 결정하는 것이 안정적이다. 이를 결정하는 요인으로 침입탐지 룰의 종류와 수다. 또한 도입 목적에 맞는 침입유형을 탐지할 수 있는지도 검증해 봐야 한다.
△오탐률이 낮은가=IDS 운영의 대부분은 침입탐지 결과가 사실인지 확인하는 것이다. 만약 침입탐지를 발견한 결과, 그중 약 5%만이 침입이고 나머지는 잘못 탐지한 것(오탐)이라면 그 제품은 제대로 역할을 못하는 것이다. 각종 응용프로토콜이나 서비스에 맞는 정밀한 해석기능과 IDS 회피(evasion) 공격에 대응할 수 있는 기능을 갖추고 있는지 체크해야 한다.
△침입탐지룰의 업데이트가 신속한가=새로운 침입유형을 탐지하기 위해서는 반드시 ‘침입탐지룰’이나 기능의 업데이트가 필요하다. 지난해 여름에 발생한 ‘코드레드 웜’의 경우 취약점이 발견된 시기와 공격이 활발했던 시기가 몇개월간 차이가 있어 미리 취약점을 대비한 곳은 큰 피해를 입지 않았다. 또한 오래된 취약점은 이미 대부분 패치가 이뤄져 실제 공격이 성공할 가능성이 적으며 이를 탐지하는 것도 큰 의미가 없다.
△환경에 맞는 유연한 설정이 가능한가=제품의 성능이 뛰어나도 모든 운영환경에 최적화되지는 않는다. 환경적인 요인으로 인해 오용탐지가 발생할 가능성도 있다. 따라서 사용자 권한에 따라 침입과 업무 수행을 별도로 분류할 수 있어야 하며 많은 침입탐지룰에 대한 적절한 설정과 정책을 수립하기 위해 룰설명서와 같은 충분한 자료가 제공돼야 한다.
△다양한 침입대응 기능을 제공하는가=IDS가 침입을 탐지했다해도 그 사실을 관리자가 즉시 인지할 수 없거나 침입을 방관하고 있다면 무용지물이 된다. 관리자에게 침입탐지 정보를 즉시 통보하기 위해 핸드폰 알림 등을 지원하는지, 침입세션 차단기능과 같은 능동적 대응이 가능한지를 검증해야 한다.
△침입 재현 기능이 제공되는가=침입 재현 기능은 관리자가 실질적인 대응을 위한 필수적인 기능이다. 침입을 탐지하고 그 사실을 확인했다고 해도 정확한 침입경로나 피해상황을 파악할 수 있어야 향후 대처방안을 결정할 수 있기 때문이다.
△타 시스템과 유기적인 연동이 가능한가=IDS의 침입탐지 결과를 방화벽이나 기타 다른 정보보호시스템과 유기적으로 연동 대응해 보안성을 향상시킬 수 있어야 한다. 또한 전사적인 보안관리가 가능하다면 대규모 정보보호시스템들을 효과적으로 운영할 수 있다.
△자기보호 기능을 가지고 있는가=IDS가 항상 정상적으로 동작하기 위해서는 자체 보호가 필요하다. 실제로 일부 IDS들은 네트워크 상의 해킹 시도는 탐지하지만 정작 IDS 자체에 대한 침입시도에 취약하다. 따라서 IDS의 중요 파일들에 대한 무결성 검사 기능이나 접근제어 기능, IDS가 외부에 노출되지 않도록 하는 ‘스텔스 모드’ 등의 자기보호 기능을 제공하는 제품을 선택하는 것이 좋다.
<서동규기자 dkseo@etnews.co.kr>