리눅스마스터1급: IDS (Intrusion Detection System)의 종류

리눅스마스터1급: IDS (Intrusion Detection System)의 종류

중소 규모의 서버에서 리눅스 시스템의 사용이 증가함에 따라 리눅스 시스템을 대상으로 하는 침입 사례도 증가하고 있다.

침입이란 “자원의 무결성(Integrity), 기밀성(Confidentiality), 가용성(Availability)을 훼손시키려 하는 일련의 행동”이라 정의된다.

시스템에 접근한 사용자에 의한 침입을 탐지하는 방법은 오용 탐지(Misuse Detection)와 변칙 탐지(Anomaly Detection) 두 가지로 나누어질 수 있다.

오용 탐지란 이전에 이미 알려진 시스템의 취약점이나 침입 방법을 이용하여 시스템에 침입하는 것을 탐지해 내는 것을 말하며, 변칙 탐지란 기존의 정상적인 행위에서 벗어나는 행위가 있을 경우 이것이 침입인지 아닌지를 결정하는 것을 말한다.

오용 탐지 시스템으로는 COPS, SATAN, STAT, swatch 등이 이미 존재하거나 이들 시스템은 침입이 발생하여도 다음번에 탐지 시스템이 실행될 때까지 탐지가 안 되고 이미 알고 있거나 새로 발견된 시스템의 취약점을 탐지 시스템에게 전달하여야만 그 침입을 탐지해 낼 수 있으므로, 탐지 시스템에 저장되어 있는 것과 다른 방법의 침입이 있을 경우 알아내기가 어렵다는 단점이 있다.

변칙 탐지 시스템으로는 IDES 등이 있으며 IDES의 경우 사용자나 프로그램이 사용하는 CPU, I/O 등 시스템 특성을 기반으로 하기 때문에 서로 다른 시스템에 대해서는 적용하기가 어렵다는 단점이 있다.

또한 쉘이나 프로그램 수준의 침입 탐지 및 방지 시스템의 경우 침입자나 해당 쉘이나 프로그램을 회피하면 그 효용성이 상실된다는 단점을 가진다.

오용 탐지란 이미 알려져 있는 공격 방법을 이용하여 시스템의 취약 부분을 찾아 침입하는 행위를 탐지해 내는 것을 말한다.

기존에 존재하는 오용 탐지 시스템의 경우 직관적이고 사용자가 사용하기 쉽다는 장점이 있으나 모든 사례에 대하여 각각 지정해야 하는 복잡함이 있었다.

예를 들어 네트워크를 통한 침입에 흔히 사용되는 .rhosts에 대한 비합법적인 접근의 경우 sendmail이나 passwd 프로그램의 취약점을 사용하는 등의 침입 방법이 있는데 통상의 오용 탐지 시스템은 이들에 대하여 각각 별개의 정보를 지정하여 주어야 한다.

다시 말해서 sendmail의 취약점을 이용하여 .rhosts에 접근하는 경우에 대비하기 위하여 sendmail의 취약점을 오용 탐지 시스템에 알려주는 것과는 별도로 passwd의 취약점 역시 탐지 시스템이 가지고 있어야 한다는 것이다.

변칙 탐지란 일반적인 행위에서 벗어난 일련의 행위가 발생하였을 때 그러한 행위가 침입인지 정상 행위의 한 부분인지를 판단하는 것을 말한다.

변칙 탐지는 오용 탐지처럼 발생 즉시 알 수 있다기보다 의심스러운 행위가 미리 추출된 정상 행위의 특성에서 얼마나 벗어나 있는지를 통하여 추정할 수 있는 경우가 대부분이다.

침입에 대한 대응 방법은 실시간으로 처리되는 것이 가장 좋다.

침입이 발생하였을 때 그 즉시 침입자에 대하여 대응할 수 있다면(침입자의 움직임을 봉쇄한다던가 극단적으로는 시스템을 셧다운시키는 등) 피해를 최소화할 수 있다.

그러나 오버헤드로 인해 실시간으로 처리가 여의치 않다면 차후에 관리자가 시스템 감사를 통하여 침입 사실을 발견하고 조치할 수 있도록 그 기반이 되는 정보를 기록하는 것이 차선책이라 할 수 있다.

이 경우 관리자는 기록된 정보를 토대로 침입 사실, 침입 방법, 피해 정도 등을 알아내어 같은 방법의 침입이 다시 발생하는 것을 방지하여 더 이상의 피해를 막을 수 있다.