국방망 IDS – 3 2003/12/28 231
국방망 IDS에 대한 고찰(끝)
http://www.dapis.go.kr/journal/200205/j108.html
(3) 통계적 접근방식을 이용한 포트스캔 탐지
포트스캔 탐지의 경우에 기존의 RTSD나 일반 침입탐지 시스템에서 필요 이상의 많은 오탐이 발생되어 탐지된 결과에 대한 정확성이 결여되는 단점이 있다. 이러한 단점을 보완하기 위해서 침입탐지 에이전트에는 네트워크 패킷의 IP주소, 포트, 플래그 등의 정보를 통계화하여 다음과 같이 탐지하게 된다.
즉, 위의 조건을 모두 만족하고 〈그림 1〉의(나)∼(라)의 형태일 경우 스캔일 확률은 거의 없으므로 위 조건에 만족하지 않는 패킷들의 집합은 스캔으로 판단한다.
〈그림 1〉은 네트워크 패킷 집합들의 특성을 나타내는 단적인 예로 (가)분산형의 경우 스캔일 확률은 95% 이상이며, (나)와 (다)의 경우는 플래그에 따라 스캔일 확률이 2% 미만이거나 85% 이상이다. 마지막으로 (라)의 경우는 목적지 주소의 변화가 없으면 스캔일 확률은 3% 미만이며, 목적지 주소의 변화도가 심하면 스캔일 확률은 98% 이상이라는 것이 시험운영 과정에서 증명이 되었다.
또한 정상적인 서비스에서 발생될 수 없는 패킷조합 등을 위의 과정에 추가하여 침입에 대한 탐지성능을 향상시켰다.
(4) 네트워크 모니터링을 위한 패킷 처리
대용량의 트래픽에서 현재의 네트워크 상황을 효율적으로 모니터링하기 위해서 에이전트에서는 IP주소의 일부분을 기준으로 배열과 동적 리스트(dynamic list)를 생성하며, 생성된 자료 저장소에 실시간으로 네트워크 패킷에 대한 정보와 트래픽량을 계산하여 저장한다. 이렇게 산출된 현황정보는 관리서버에 전송되어 네트워크 트래픽 감시를 가능하게 해준다.
(5) 침입탐지 시스템 자체에 대한 보호 기능
(가) 비인가자 접근통제 : 정상적인 서비스, 관리자, 관리서버를 제외한 기타 네트워크 패킷의 침입탐지 시스템에 대한 접근 차단
(나) 임의 IP주소 변경 또는 IP주소 도용에 대한 탐지 및 차단
(다) 고의적인 대규모 네트워크 해킹에 대한 방어 기능에 대한 대비책으로 〈그림 2〉와 같은 자료구조를 이용하여 안정적이며, 효율적인 탐지기능을 제공한다.
(6) 네트워크 통신 장애 및 시스템 오류에 대한 자동 백업 및 복구 기능
(7) IPC(Inter Process Communication) 기법을 통해 〈그림 3〉과 같이 다중 프로세스(탐지기능, 통신제어, 고속메일 전송, 시스템 관리)간의 효율적인 기능 분배 및 안전성 확보
그 외에도 기존의 정보통신 보호시스템이 높은 사양의 서버와 전문성 및 시간적인 소요를 요구하는 반면, 육군에서 개발한 침입탐지 에이전트는 대다수의 운영체제(유닉스, 리눅스, 윈도 계열) 및 낮은 사양의 장비에 손쉽게 설치되어, 적은 예산과 짧은 시간으로도 광범위한 활용과 확대가 가능하게 되었다. 〈그림 4〉는 에이전트용 침입탐지 시스템의 설치 화면이다.
4. 침입탐지 시스템 개발 효과
본 시스템의 개발에 따른 기대효과는 네트워크 및 서버에 접속을 시도하는 내·외부 침입자에 대한 효율적인 감시 및 통제가 용이하며, 해당 시스템 구매 및 운영에 소요되는 막대한 국방예산 절감효과가 기대된다. 특히 군 자체적으로 관련 기술을 축적함으로써 장차 예상되는 다양한 형태의 침입행위에 대한 탐지체계 구축이 가능하며, 미래 사이버전에서 보다 적극적으로 대응할 수 있는 자생력을 강구하였다는데 더 큰 의미를 부여한다.
가. 직접적인 효과
(1) 완벽한 정보자산 보호(내·외부 침입자 감시 및 통제) 가능
(2) 관련 시스템 구매 및 운영유지를 위한 소요예산 절감 기대(육군 여단급 이상 적용시 약 107억원 절감)
(3) 다양한 서버 및 네트워크 운영환경에 광범위하게 확대 적용가능
나. 간접적인 효과
(1) 사이버전에 대처할 수 있는 군 기술력 축적
(2) 해킹 기술발전에 따른 즉각적인 유지보수 체계 구축 가능
(3) 전군적인 침입탐지 및 즉각적인 대응 가능
5. 제한사항 및 향후 발전과제
가. 제한사항
육군 침입탐지 시스템은 설계 단계에서부터 유지보수에 대한 사항을 최대한 고려하여 개발되었으나, 정보통신 보호시스템의 특성상 개발 및 유지보수에 대한 전문인력의 확보와 관심이 지속적으로 이루어지지 않을 경우 시스템의 생명주기는 제한적일 수밖에 없으며, 새로운 침입패턴에 대한 연구와 자료 수집을 게을리 할 경우 침입탐지에 대한 신뢰성은 시간이 흐를수록 낮아지게 될 것이다. 또한 시스템의 효과적인 사용을 위해서는 운용요원의 자질 향상과 교육이 필수적이다.
그리고 자체 개발된 침입탐지 시스템이 대외적인 신뢰성을 얻기 위해서는 기능과 안정성에 대한 일정규격 이상의 인증 절차와 충분한 보완 절차를 거쳐야 할 것으로 판단된다. 그러나 위와 같은 제한사항에도 불구하고 육군에서 자체 개발한 침입탐지 시스템은 앞에서 언급한 바와 같이 개발 과정에서 축적된 기술력과 향후 기대되는 파급효과를 고려했을 때에 획기적이며 긍정적인 결과가 도출될 것으로 판단된다.
나. 향후 발전과제
개발 및 시험운영 과정에서 지속적으로 제기되었던 문제는 침입탐지에 대한 오탐률을 축소시키는 문제였다. 침입탐지의 오탐은 본 시스템뿐만 아니라 모든 상용 침입탐지 시스템에서 발생되는 것이다. 탐지과정에서 폴스 네거티브(False Negative:실제 침입을 탐지 못하는 경우)는 이론적으로나 시험운영상에서 0%에 근접시킬 수 있다는 것이 확인되었으나, 폴스 포지티브(False Positive:침입이 아닌 행위를 침입으로 인식하는 경우)는 네트워크의 트래픽 특성상 현재 알려져 있는 이론이나 기술력으로는 0%에 근접하기 어렵다는 것이 확인되었다. 그러나 보안전문가들이 동일한 침입탐지 시스템을 사용할 경우 일반 서버관리자보다 폴스 포지티브를 현격히 줄일 수 있다. 이는 전문적인 풍부한 경험이 침입탐지 시스템 운영에 반영된 결과이기 때문이다. 따라서 기존의 침입탐지 기법에 통계적인 접근방식이나 인공지능 기법을 적용할 경우 일반 서버관리자가 운영하더라도 보안 전문가가 운영하는 것과 같은 결과를 얻을 수 있으리라 판단되며, 현재 육군에서는 이에 대한 연구와 개선 방안이 상당수준 접근된 상태이다.
이와 같은 알고리듬 측면의 개선과 함께 제한사항에서도 언급한 바와 같이 시스템의 대외적인 신뢰성 확보를 위해서 국가정보원이나 기무사령부 등 전문기관을 통한 성능 및 안정성에 대한 인증을 획득할 수 있도록 준비하고 추진해 나갈 예정이다.
맺 음 말
지금까지 군사보안이 곧 국가안보와 직결되는 군의 정보보호 체계를 보다 효율적으로 운영 관리하기 위하여, 사·여단급 이상 야전부대의 다양한 전산운영 환경을 극복할 수 있도록 육군 전산소에서 자체 개발한 침입탐지 시스템에 대하여 고찰하였다.
이제 우리 군도 21세기 군 정보화·과학화라는 시대적 소명에 부응하여 막대한 국방예산을 투자하여 정보 인프라를 구축 중에 있으며, 이를 이용한 정보자원의 중요성 또한 날로 증대됨에 따라 국방전산망에 대한 정보통신 보호시스템의 요구가 더욱 급증되고 있는 실정이다.
현재 육군이 운용중인 정보통신 보호시스템은 중요 정보자료를 보호하고 각종 침해사고에 대응하기에는 매우 소극적이고 미흡한 것임을 인정하지 않을 수 없다.
그러나 금번 육군에서 군 자체 기술인력으로 독자 개발한 침입탐지 시스템(IDS)을 통하여 우리 군이 정보보호 체계 분야에 대한 연구개발을 보다 활성화할 수 있는 기틀을 마련하였다고 할 수 있다. 또한 최신 개발기법에 의한 기술축적을 통해 군사적 측면에서의 자주적인 정보기술 구현능력을 구축하고 군 전산운영 환경에 적합한 최적의 소프트웨어 개발능력을 강화할 수 있는 계기를 마련하는데 큰 도움이 되었다고 판단한다.
오늘날의 정보기술 발전은 컴퓨터 기술의 빠른 발전과 더불어 가히 혁명적이라 할 정도로 급격한 변혁을 예고하고 있다.
옛말에 `구슬이 서말이라도 꿰어야 보배’라는 말이 있듯이 현재 우리 군의 침입탐지 시스템이 아무리 우수하다 하더라도 급변하는 정보기술 발전추세에 부응한 새로운 보안환경 변화에 유연하게 대처하지 못한다면 한갓 사상누각(沙上樓閣)에 불과한 것임을 명심하고 누군가 항상 깨어 있어야 한다는 시대적 사명감으로 해당 시스템을 꾸준히 연구 발전시켜 그 독창성과 운영 효율성이 지속될 수 있도록 노력해야만 한다.