보안솔루션 기반 기술, 패턴매칭

IDS는 구식? DPI는 신식?

지난 글에서 IDS 로그 전수 검사를 통해 룰의 문제점을 찾아 수정함으로써 침입 탐지 정확도를 향상시킨 사례를 살펴봤었다. 

IDS? 어떤 이는 생소하게 느꼈을 것이고, 어떤 이는 '트렌드에 안 맞게 왠 IDS? 그 구식 보안솔루션 아직도 쓰나?' 라며 의아하게 생각했을지도 모르겠다. 

이 시간에는 네트워크 기반의 최초이자 본격 패턴매칭 기반 보안솔루션임에도 '구식'이란 오명을 쓰고 있는 IDS와 핵심 기술인 '패턴매칭'에 대해서 알아볼까 한다.

1980년대에 처음 제시된 침입탐지시스템, 즉 IDS(Intrusion Detection System)는 크게 '비정상 행위'와 '오용 행위' 기반으로 나뉘는 동작 모델을 가지고 있었다.

How to reduce false positive?

This is my experience. Following rule is one of the ids rules to detect sql injection.

alert tcp any any -> any 80 (content:"%20and%20"; nocase; http_uri;)

That rule made 6,078 logs for a week. Is it attack if the pattern matches all? Strings '%20and%20' is the just part of URI(Uniform Resource Identifier).

It means pattern of rule is possible to be pattern of attack. But matching patterns is not an unconditional attack. So you must analyze entire log messages including rule pattern. 

By the way, Even though you analyze one log for one minute, you can just analyze 1,440 logs for a day. (A day is 1,440 minutes) The entire log analyzing is very difficult.

빅데이터에 의한 보안, 빅데이터를 위한 보안

최근 미국 정부의 대국민 사찰 프로젝트 ‘프리즘‘이 이슈가 되면서 ‘빅데이터’에 대한 우려도 함께 커지고 있다. 빅데이터에 의해 조지 오웰의 소설 ’1984′에 등장하는 ‘빅브라더’가 현실화되는 것 아니냐는 목소리가 높아지고 있는 것이다. 

산업계 전반에서 빅데이터 열풍이 거세지고 있는 현 시점에서 이는 시기적절한 이슈다. 원자폭탄이 핵의 안전한 사용을 위해 다양한 조치를 시도하게된 계기가 됐던 것처럼, 열풍에서 한 걸음 물러서 차분히 빅데이터를 바라볼 수 있는 계기가 되기를 바라기 때문이다.

빅데이터가 2012년에 갑자기 튀어나온 것 같지만, 사실 데이터는 늘상 있어 왔다. 현재 빅데이터 논의의 대부분이 수집, 저장, 처리 기술에 치중해 있지만 빅데이터의 핵심은 데이터를 ‘새롭게 바라볼 때 새로운 가치가 나타난다’는 것이다. 

IDS 로그 분석

룰과 로그

파일 업로드 및 URL 삽입 등을 이용한 웹쉘 공격이 있다. 웹쉘은 웹 기반에서 시스템을 조작할 수 있는 도구의 통칭인데, 2008년 5월 KISA에서 ASP 기반 웹쉘의 실행 여부를 확인할 수 있는 시그니처를 배포한 적이 있다. 

그리고 해당 시그니처를 기반으로 Snort 룰 옵션을 이용하여 다음과 같은 IDS 탐지룰이 만들어진 사례가 있다.

alert tcp any any -> any 80 (content:"?Action="; nocase; pcre:"/\?Action\=(MainMenu|Show|Course|getTerminalInfo|ServerInfo|Cmd1?Shell|EditFile|Servu|sql|Search|UpFile|DbManager|proxy|toMdb)/i";)

보안 사고 재발의 악순환을 막으려면

알고도 당했다는 ‘사이버 6.25′가 발생했다. 곧 국가적 차원의 원인 규명이 시도될 것이다. 그리고 잊혀질 것이다. ’3.20 대란’, ’7.7 DDoS’, ’1.25 대란’, 그 외 셀 수 없는 개인정보 유출 사고들… 많은 보안 사고들이 발생했고, 성공했다. 

그리고 발생한 사고의 원인 규명이 이루어졌다. 소 잃고 원인 규명하고, 또 잃고 원인 규명하고… 사전 예방이 아닌 사고 수습에 집중된 대한민국 사이버 보안의 현주소.

수없이 원인 규명을 하고 있는데 왜 사고는 재발할까? 원인 규명이 원인 규명만으로 끝난 결과 아닐까? 사전 예방이 가능한 사이버 보안 체계를 구축하는데 우리가 놓치고 있는 것이 분명히 있다. 그것은 무엇일까? 답을 찾기 위해서는 먼저 사이버 세계의 구조를 알아야 한다.

빅데이터와 보안

빅데이터? 보안? 

관리 주체의 활용 역량을 초과하는 대량의 데이터, 2012년에 갑자기 등장한 빅데이터에 대한 간단한 정의이다. 구글 등 정말 특별한 역량을 가진 조직만이 접근할 수 있었다던 빅데이터는 왜 갑자기 이슈가 되었을까?

아마도 구글에서 출발한 ‘하둡’ 등의 빅데이터 처리기술이 성숙하면서 기술 벤더들이 제품화에 자신감을 갖게 된 결과일 것이다. 

이러한 배경 속에서 보안 업계 역시 차세대 핵심기술로 빅데이터에 주목하고 있으며, 빅데이터를 앞세운 제품과 기술이 앞 다투어 발표되고 있는 상황이다. 그렇다면 과연 빅데이터는 업계의 주장 또는 희망처럼 차세대 보안을 이끌어갈 핵심기술이 될 수 있을까? 

빅데이터 이전에 먼저 우리는 데이터가 가지는 의미에 대해서 생각해볼 필요가 있다. 위키백과를 보면 ‘아마존(구매 리스트를 이용한 상품 추천)’, ‘구글(검색 기록을 이용한 맞춤 광고)’, ‘대한민국 19대 총선(SNS 메시지를 이용한 여론 분석)’ 등 다양한 빅데이터 활용사례가 나온다.

빅데이터와 보안(slideshare)

빅데이터와 보안 from 미스타 강

보안사고의 이면

보안사고의 이면 from 미스타 강