[보안] 정보보호 시스템에는 어떤 것들이 있을까?(방화벽, NAT, IP, VPN, Application 보안)
정보보호 시스템
정보보호 시스템이란 무엇인가요?
정보통신망을 통해 수집, 저장, 검색 및 송수신되는 정보의 훼손, 변조, 유출 등을 방지하기 위한 기술이나 장치.
침입차단시스템, 침입방지시스템 등의 정보보안 시스템과 개인정보 암호화, 모니터링 시스템 등 개인정보보호시스템을 포함합니다.
아래는 GPT를 이용하여 최대한 잘 보이도록 제작했습니다.
1. 방화벽(Firewall)
방화벽은 네트워크 보안을 위해 미리 정의된 규칙(Rule)에 기반하여 Inbound 및 Outbound 네트워크 트래픽을 모니터링하고 제어하는 장치입니다. 방화벽은 출발지와 목적지의 IP 주소와 포트를 기반으로 규칙을 설정하며, 이를 통해 인가된 트래픽만 허용하고 비인가 트래픽은 차단합니다.
방화벽의 기능
- 네트워크 보호: 원치 않는 트래픽으로부터 네트워크를 보호합니다.
- 악성코드 차단: 사전 프로그래밍된 규칙에 따라 들어오는 악성코드를 차단합니다. 이러한 규칙은 네트워크 내의 사용자가 특정 사이트나 프로그램에 접근하는 것을 방지할 수 있습니다.
- UTM으로의 발전: 오늘날의 방화벽은 정책 관리, 라우팅, NAT, VPN, IPS, DDoS 방어, 그리고 애플리케이션 보안 기능을 통합하는 UTM(통합위협관리, Unified Threat Management)으로 발전하고 있습니다.
NAT(Network Address Translation)
NAT는 사설 네트워크의 IP 주소를 공인 IP 주소로 변환하는 기능을 담당합니다. 이를 통해 내부 네트워크의 IP 주소를 숨김으로써 보안을 강화하는 역할을 합니다.
- 사설 IP(Local IP): 일반 가정이나 회사 내에 할당된 네트워크의 IP 주소를 의미합니다.
- 공인 IP(Public IP): ISP(인터넷 서비스 제공자, 예: KT, SKT, LG 등)에서 제공하는 IP 주소를 의미합니다.
VPN(Virtual Private Network)
VPN은 사용자가 마치 사설 네트워크에 연결된 것처럼 인터넷에 접근할 수 있도록 하는 인터넷 보안 서비스입니다. VPN을 사용하면 사용자와 내부 네트워크 사이의 데이터를 암호화하여, 해커가 중간에서 데이터를 가로채더라도 내용을 확인할 수 없도록 보호합니다.
VPN의 종류
- IPsec VPN: IPsec 프로토콜을 사용하여 보안을 강화한 VPN입니다.
- SSL VPN: SSL(보안 소켓 계층)을 사용하여 웹 브라우저를 통해 안전한 연결을 제공하는 VPN입니다.
애플리케이션 보안(Application Security)
애플리케이션 보안은 네트워크 상에서 특정 웹사이트나 애플리케이션에 대한 접근을 제어하는 기능입니다.
예를 들어, 불건전한 사이트를 URL 방식으로 차단하거나, 특정 애플리케이션 또는 도메인에 대한 접근을 제한할 수 있습니다.
2. IPS(침입방지시스템)
악성 트래픽을 식별하고 사전에 차단할 수 있도록 도와주는 보안 시스템.
악성트래픽을 검사 → 탐지 → 차단
실무에서 어떻게 사용되나요?
실무에서 IPS는 내부 네트워크 중에서 방화벽 다음에 위치해있습니다.
*방화벽에서 미처 처리하지 못한 비인가 트래픽에 대하여 시그니처 패턴 방식으로 2차 보안기능을 수행하고,
시그니처는 제조사의 업데이트 서버를 통하여 최신 공격에 대한 시그니처를 배포습니다.
시그니처? 시그니처 패턴?
*시그니처란 알려진 공격 행위. 또는 악성 활동의 특성을 식별하기 위해 사용되는 고유현 데이터 패턴.
*시그니처 패턴이란 특정 공격이나 악성 행위를 식별하는 데 사용되는 일련의 시그니처(특정 데이터 패턴, 코드, 행동양식 등)
방화벽에서 미처 처리하지 못한 트래픽?
방화벽은 주로 IP, PORT, 프로토콜 등의 기준으로 트래픽을 필터링하지만, IPS는 이보다 더 깊은 분석을 수행하여 트래픽이 실제로 악성인지 여부를 판단한다.
3. IDS (침입 탐지 시스템, Intrusion Detection System)
IDS는 네트워크나 시스템에서 발생하는 비정상적인 활동을 탐지하고 경고를 발생시키는 보안 시스템입니다. IDS는 네트워크 트래픽이나 시스템 로그를 모니터링하여, 미리 정의된 공격 패턴이나 비정상적인 행동을 식별합니다.
IDS와 IPS의 차이
IDS와 IPS는 모두 네트워크 보안에서 중요한 역할을 하며, 유사한 기술을 사용하지만, 그 역할과 배치 방식에서 차이가 있습니다.
1. 배치 방식
- IDS: IDS는 오프라인 또는 네트워크 경로 외부에 배치됩니다. IDS는 네트워크 트래픽의 사본을 받아 분석하며, 실제 데이터 흐름에 영향을 주지 않습니다. 이 때문에 IDS는 네트워크 성능에 영향을 미치지 않고 비정상적인 트래픽을 탐지할 수 있습니다.
- IPS: IPS는 **인라인(In-line)**으로 배치되며, 실제 네트워크 트래픽이 IPS를 통해 직접 전달됩니다. IPS는 실시간으로 트래픽을 모니터링하고, 정책에 위배되는 트래픽을 차단할 수 있습니다.
2. 기능과 역할
- IDS: IDS는 탐지에 중점을 둡니다. IDS는 비정상적인 활동이나 알려진 공격 패턴을 발견하면, 관리자에게 경고를 보내거나 로그에 기록합니다. 그러나 IDS는 탐지된 공격을 차단하거나 중단할 수 없습니다. 이는 관리자가 상황을 분석하고 후속 조치를 취할 수 있도록 하는 역할을 합니다.
- IPS: IPS는 탐지와 예방을 동시에 수행합니다. IPS는 비정상적인 트래픽을 식별하면, 즉시 차단하고 후속 조치를 자동으로 수행할 수 있습니다. 이는 실시간으로 네트워크 보안을 강화하는 데 중요한 역할을 합니다.
3. 트래픽 처리 방식
- IDS: IDS는 네트워크 트래픽의 사본을 분석합니다. 원본 트래픽은 중단 없이 목적지로 전달되며, IDS는 이를 모니터링하여 잠재적인 위협을 탐지합니다. 이는 네트워크 성능에 영향을 주지 않지만, 공격을 막기 위한 직접적인 조치는 수행하지 못합니다.
- IPS: IPS는 실제 트래픽을 처리합니다. 네트워크를 통과하는 모든 데이터는 IPS를 거치며, IPS는 정책에 따라 트래픽을 허용하거나 차단합니다. 이 방식은 네트워크 성능에 영향을 미칠 수 있지만, 실시간으로 보안을 적용할 수 있습니다.
4. 웹 방화벽(Web Firewall)
WAF(Web Application Firewall, 웹방화벽)는 크로스-사이트 스크립팅(XSS), SQL injection 및 Cookie poisoning과 같은 다양한 애플리케이션 레이어 공격으로부터 웹 애플리케이션을 보호합니다. 앱에 대한 공격은 보안 침해의 주요 원인으로, 중요한 데이터에 대한 관문 역할을 하게 됩니다. 적절한 WAF를 마련하면 시스템 보안 침해를 통해 데이터를 유출시키려는 공격을 막아낼 수 있습니다.
출처:https://www.f5.com/ko_kr/glossary/web-application-firewall-waf