국방망 IDS 2003/12/28 270
http://www.dapis.go.kr/journal/200203/j120.html
서 론
정보기술(IT)의 발전은 18∼19세기 산업혁명과 비견될 만큼 매우 획기적인 것으로 간주되고 있으며, 특히 물리적 공간을 초월한 사이버 공간이라는 새로운 개념을 탄생시킨 네트워크에 대한 기술발전은 가히 혁명적이라 할 정도로 비약적인 발전을 거듭하고 있다. 이와 같은 네트워크 체계와 정보기술의 발전은 21세기에 들어오면서 `사이버 공간의 글로벌화’라는 개념으로 발전되어 전 세계를 시간과 공간을 초월한 단일 체계로 묶고 있으며, 이를 통한 무한한 변화와 새로운 가능성을 창출해 나가고 있는 등 그 영역이 점차 확대되어 디지털 혁명의 근간이 되고 있다.
첨단 정보 및 전자·통신 기술의 발달은 사회 각 분야의 변화를 선도해 가는 원동력이 되고 있으며, 군사 분야에서도 네트워크를 통한 사이버전이 전쟁의 승패를 좌우할 수 있는 핵심 요소로 부각되어 새로운 전쟁의 패러다임을 가시화시키고 있다. 이에 따라 미국을 비롯한 세계 각국은 정부 차원의 특수부대를 창설하여 사이버전의 전사인 사이버전사(Cyber Soldier)를 양성, 배치하여 사이버전에 대비하고 있다. 우리 군도 사이버전에 대비하여 21세기 전장에서 생존성과 작전의 효율성을 보장받을 수 있는 정보보호체계를 구축 중에 있으며, 이의 일환으로 각종 정보통신 보호시스템과 신기술을 도입하는 한편, 자체 대응능력 향상과 기술력 확보를 위해 전문인력을 양성하고, 조직을 신설하였으며, 끝임 없는 연구와 각종 모의 훈련에 심혈을 기울이고 있다.
정보보호체계는 크게 분류하여 탐지(Detection), 차단(Prevention), 대응(Response)으로 나뉘어져 있으나, 지금까지는 외부의 알려진 침입에 대한 차단을 중심으로 불균형적인 형태로 운영되고 있다. 그러나 정보기술의 발전은 그 순기능뿐만 아니라 정보유출·파괴·변조 등의 역기능을 내포하기 때문에 이러한 정보화의 역기능에 보다 능동적이고 적극적으로 대처하기 위해 신속히 탐지하고 대응할 수 있는 정보보호 관련 기술의 연구개발 및 첨단기술의 도입이 절실히 요구되고 있는 실정이다.
한국정보보호진흥원이 발표한 96∼01년까지의 연도별 해킹사고 변화<표-1>에 의하면 실질적인 통계가 이루어진 97년도부터 해킹사고가 매년 급격히 증가하고 있다는 것을 알 수 있다.
이러한 이유로 각종 침입행위를 능동적으로 탐지, 보고, 대응하는 정보통신 보호시스템인 침입탐지 시스템의 필요성이 대두되었다. 이러한 침입탐지 시스템은 침입을 즉각적으로 탐지하고 이에 대처하기 위한 신기술이며, 전산 시스템과 네트워크를 감시해 사용자의 불법적인 행동이나 네트워크의 패킷 탐지를 수행하는 정보통신 보호시스템이다.
본 론
1. 침입탐지 시스템에 대한 이해
가. 침입탐지 시스템 정의
침입(Intrusion)에 대한 기본 개념은 1980년에 앤더슨(Anderson)이 “비인가된 자가 정보에 접근하거나 정보 조작, 또는 시스템을 무기력화 하기 위한 고의적이면서도 불법적인 시도의 잠재 가능성”이라고 규정하였다. 그 후 1987년 데닝(Denning)은 침입탐지 시스템(IDS:Intrusion Detection System)을 “컴퓨터 시스템 또는 네트워크 상에서 의심스러운 행위를 감시하므로서 허가되지 않은 사용자가 불법으로 접속하여 정보를 조작, 오용 및 남용 등의 불법 행위들을 조기에 발견하고 이에 대한 대응을 실시간에 처리할 목적으로 하는 시스템”으로 정의하고 있다.
즉, 침입탐지 시스템은 특정 시스템에 불법적으로 접속하여 정보를 임의 변경 또는 삭제하거나 서비스를 제공할 수 없도록 마비시키려는 시도를 탐지하고 침입에 따른 위험 요소를 사전에 알리며 그에 따른 대응(침입차단, 경로추적, 사후조치 등)을 할 수 있는 기능을 제공해 주는 일련의 시스템을 말한다.
기존의 네트워크 보안을 담당하던 침입차단 시스템(Firewall)을 건물의 담이나 경비원에 비유한다면 침입탐지 시스템은 허가 받지 않은 자가 정상적으로 문을 통해 들어오지 않고 담을 넘어 오거나 다른 문을 경유해 건물에 침입하는 행위 및 침입 후 자행하는 모든 행위를 통제실에서 감시할 수 있는 감시카메라라고 할 수 있다.
〈표-1〉 연도별 해킹사고 변화
연 도 96년 97년 98년 99년 00년 01년
해킹사고 147 64 158 572 1,943 5,333
증가율(%) – -44% 247% 362% 340% 274%
나. 침입탐지 시스템의 분류
탐지하는 자료의 출처를 기준으로 침입탐지 시스템을 분류하면 시스템 로그정보와 감사자료 등과 같은 시스템 내부 정보를 토대로 침입을 판단하는 호스트 기반의 침입탐지 시스템(host-based IDS)과 네트워크 상의 패킷 정보나 트래픽 등을 분석하여 침입 유무를 판단하는 네트워크 기반의 침입탐지 시스템(network-based IDS)으로 구분할 수 있으며, <표-2>와 같이 침입을 판단하는 방법에 따라 분류하면 이미 알려진 침입 패턴들에 대한 정보를 기준으로 탐지하는 오용 탐지방식(misuse detection)과 정상적일 때의 상태를 기준으로 비정상 유무를 판단하여 탐지하는 비정상적 탐지방식(abnormal detection)으로 구분할 수 있다. 또한 이러한 방식들을 두 개 이상 혼합한 형태인 혼합 탐지방식(hybrid detection) 등도 있다.
쿠머(Kumar)의 논문에는 비정상적 탐지방식에 대하여 다음과 같이 정의했다. “비정상적 탐지는 정상적이거나 허용되는 범위내의 행위를 정량화하여 흔하지 않은 비일상적인 행위를 잠재적인 침입으로 알려주는 것이다.”
〈표-2〉 탐지방법에 따른 침입탐지 시스템의 분류 오용탐지
방 식 ●조건부 확률을 통해 특정 이벤트가 침입할 확률을 계산하는 방법
●전문가 시스템을 이용한 방법
●상태 전이도(state transition diagram)을 이용한 방법
●패턴 매칭(Pattern matching)을 이용한 방법
●사용자 키 스토로크(key-stroke)를 기반으로 한 방법
비정상적
탐지방식 ●통계적인 자료에 근거한 방법으로 통계적으로 처리된 과거 경험자료의 통계치를
기준으로 하여 특별한 행위이거나 통계 분포치를 벗어나는 것을 탐지
●특징 추출에 의존한 방법으로 경험적인 침입탐지 측정도구와 침입예측 및
분류 가능한 침입탐지 도구를 이용하여 탐지
●예측 가능한 패턴 생성에 의한 방법으로 이벤트간의 상호관계와 순서를 설명하고
각 각의 이벤트에 시간을 부여하여 기존에 설정된 침입시나리오를 비교하여 탐지
다. 침입탐지 시스템의 요구사항
침입탐지 시스템은 그 성능 및 동작의 안정성을 위해 다음과 같은 사항이 요구되며, 육군의 침입탐지 시스템 또한 아래의 사항을 만족할 수 있도록 설계하여 개발하였다.
① 지속적으로 동작해야 한다. 관리자의 개입 없이도 탐지기능을 잃지 않고 침입을 탐지할 수 있어야 한다 ② 결함포용(Fault tolerant) 능력을 갖춰야 한다. 시스템 충돌(crash)에 의해 재시작되었을 때, 침입탐지 시스템은 이전상태로 동작될 수 있어야 한다 ③ 침입탐지 시스템 자체가 튼튼해야 한다(resist subversion). 침입탐지 시스템도 공격을 당할 수 있으므로 공격자의 변화시도를 스스로 모니터하고 탐지할 수 있는 능력을 지녀야 한다 ④ 시스템의 정상적인 운영에 가해지는 부하를 최소화 해야한다 ⑤ 모니터링되는 시스템의 보안정책에 따라 환경을 설정할 수 있어야 한다 ⑥ 시스템의 변화나 사용자 행위의 변화에 적응할 수 있어야 한다 ⑦ 새로운 응용프로그램이 추가되거나 사용자들의 업무가 바뀌었을 경우 등 환경 변화에 능동적으로 대처해야 한다 ⑧ 정상 상태로부터의 변화를 탐지해야 한다. 알려진 방법만을 탐지하는 것은 부족하므로 정상상태로부터의 변화를 알아내어 비정상 침입, 알려지지 않은 침입도 탐지할 수 있어야 한다 ⑨ 시스템이나 네트워크의 사용 패턴에 따라 손쉽게 적용할 수 있는 등 사용자설정(Customizing)이 쉬워야 한다.
위의 요구사항 이외에도 모니터링되는 시스템과 해킹의 위협이 증가함에 따라 다음과 같은 특징이 요구되기도 한다.
① 많은 수의 호스트를 모니터하면서도 적절하고 정확한 방식에 따라 결과를 제공할 수 있도록 계량화할 수 있어야 한다.
② 어떠한 이유로 침입탐지 시스템의 몇 가지 요소가 정지해도 나머지 요소에 최소한의 영향을 주어야 한다.
③ 탐지를 위한 규칙의 변화를 위해 재착수(restart)와 같은 방법이 없이 재구성할 수 있는 동적인 재구성(Dynamic reconfiguration)을 제공해야 한다.
2. 육군 침입탐지 시스템 개발 개념
육군의 침입탐지 시스템은 네트워크 기반의 침입탐지 시스템으로서, 국방 정보통신시스템에 대한 불법적인 접속이나 해킹 등의 침해 사고를 실시간 탐지하고 능동적으로 대응함으로써 주요 군사자료 및 비밀자료의 대외유출을 사전에 예방하여 정보보호 체계를 굳건히 하는데 중점을 두고 추진하였다.
가. 개발배경
육군에서 지금까지 운영되고 있는 정보보호 체계는 일반적으로 해킹의 사전 단계인 스캔공격을 탐지하는 `실시간 스캔탐지시스템’(RTSD:Real Time Scan Detection)과 전산시스템의 취약점 분석을 위한 `Secu Dr’ 및 시스템의 서비스 통제를 위한 `TCP Wrapper’와 같은 정보통신 보호시스템들을 기반으로 하고 있으며 부분적으로 침입차단 시스템 및 기타 정보통신 보호시스템들을 운영하고 있으나, 그 탐지의 영역이 제한적이며 새롭게 부각되고 있는 침입 패턴들에 대해 탐지하고 대응하는 것이 미흡할 뿐만 아니라 침입행위에 대한 사후 검토 수준(로그 분석 등)에 국한된 관리 체계로서 주로 관리자의 관리 경험과 수작업에 전적으로 의존하는 한계를 가지고 있다. 또한 현재 각 제대별로 설치된 다기종 서버 및 다양한 네트워크 환경에 새로운 정보통신 보호시스템을 도입할 경우, 운영체제나 네트워크 환경이 상이하여 적용범위가 제한적이며 반드시 적용해야 할 시스템의 경우 해당 시스템의 정상적인 운영을 위해서 막대한 예산을 들여 기존의 서버 및 네트워크 환경을 교체하거나 개선해야 하는 문제점들을 내포하고 있다.
또한 정보전을 대비해야 하는 우리 군은 상용화된 정보통신 보호시스템을 단순히 도입하여 운영하는 차원에서 벗어나 군사적인 활용을 위한 첨단기술을 도입하는 등 자체 기술력 확보에 집중투자를 하여 업체 의존적인 기술체계를 극복하여야 사이버전에서 군이 주체가 되는 정보보호 체계를 구축할 수 있으며, 미래의 사이버전에서 생존할 수 있을 것이다.
이에 따라 육군은 네트워크의 내·외부 침입자에 의한 침입행위를 실시간으로 탐지하고 이를 침입차단 시스템과 연동하며, 서버 관리자에게 경보할 뿐만 아니라 다수의 침입탐지 시스템을 통합 관리 및 관제할 수 있는 자동화된 정보통신 보안시스템을 군 자체 기술력에 의해 개발함으로써 관련된 S/W의 획득에 소요되는 국방예산 절감은 물론 각종 침입에 대한 자료를 수집하여 분석하고 이에 대응할 수 있는 기술력을 보유할 필요가 있게 되었다.
나. 개발·운영 범위
육군의 침입탐지 시스템은 현재 네트워크가 구축되어 있는 사·여단급 이상 야전부대를 대상으로 각급 부대에 탐지 에이전트를 설치하고, <그림 1>과 같이 중앙의 관제센터에서 통합 관리할 수 있는 관리서버를 별도로 운영하여 상급 제대에서 하급제대의 탐지자료와 탐지 에이전트를 관리하고 통제하는 계층형 구조로 운영하여 군 조직의 특성에 부합되는 통합 관제체계로 확대 적용할 예정이다.
다. 시스템 구성 및 운영 개념
본 시스템은 탐지 에이전트와 관리서버로 구성되어 있으며, 탐지 에이전트는 <그림 2>와 같이 해킹시도를 탐지하기 위해 네트워크 트래픽에서 감사자료인 패킷을 수집하여 필터링함으로써 침입여부를 판단하며, 네트워크 감시를 통해 네트워크의 상태 및 네트워크에서 소통되는 모든 패킷을 확인할 수 있다. 또한 이러한 침입상황 및 네트워크의 사용현황을 실시간으로 관리자 및 관리서버에 보고하는 역할을 수행한다.
관리서버의 역할은 <그림 3>과 같이 탐지 에이전트로부터 보고 받은 정보들을 실시간으로 종합하여 각종 보고서 및 감시현황을 관리자에게 제공해 주며, 관리자의 조작을 통해 다수의 탐지 에이전트를 원격으로 관리(침입패턴의 데이터베이스 갱신, 수정된 시스템 패치, 환경 설정)해주는 역할을 수행한다.
라. 시스템 특징
육군 침입탐지 시스템은 군 전산환경이 직면하고 있는 제한 사항(다양한 기종의 서버운영, 보안이 요구되는 네트워크 환경, 유지보수, 전문인력, 예산확보 등)을 극복하기 위해 기존의 타 시스템과 차별화 하여 개발하였으며 주요 특징은 다음과 같다.
① 군 환경에 적합하도록 시스템 구축.
(가) 다양한 전산환경인 네트워크, 운영체제 등 지원.
(나) 시스템의 원격 배포 및 군자체 기술력에 의한 유지보수가 기능함으로써 S/W 생명주기 연장.
② 탐지 에이전트 및 관리서버 운영을 위한 H/W가 워크스테이션급 이상의 장비체계가 아닌 펜티엄급 PC 환경에서도 운영 가능토록 구현.
③ 네트워크 모니터링 및 침입차단 등의 다양한 기능을 지원.
④ 비 전문인력의 사용을 고려한 구현.
(가) 시스템 설치 및 구축 용이.
(나) 운영체제에 관계없이 동일한 인터페이스 제공.