지난 연재(dailysecu.com/news_view.php?article_id=4984)에서 IDS 로그 전수 검사를 통해 룰의 문제점을 찾아 수정함으로써 침입 탐지 정확도를 향상시킨 사례를 살펴봤었다. IDS? 어떤 이는 생소하게 느꼈을 것이고, 어떤 이는 '트렌드에 안 맞게 왠 IDS? 그 구식 보안솔루션 아직도 쓰나?' 라며 의아하게 생각했을지도 모르겠다. 이 시간에는 네트워크 기반의 최초이자 본격 패턴 매치 기반 보안솔루션임에도 '구식'이란 오명을 쓰고 있는 IDS와 핵심 기술인 '패턴 매치 기법'에 대해서 알아보는 시간을 갖겠다.
 
1980년대에 처음 개념이 제시된 침입탐지시스템, 즉 IDS(Intrusion Detection System)는 크게 '비정상 행위'와 '오용 행위' 기반으로 나뉘는 동작 모델을 가지고 있었다.

 
그러나 대부분의 동작 모델은 실험적인 구현 수준을 벗어나지 못했고, 특히 비정상 행위 기반 동작 모델이 정상과 비정상의 구분이란 난제를 쉽게 해결하지 못하면서, IDS는 보안 위협으로 의심되는 문구, 즉 문자열 패턴의 일치 여부를 검사하는 '패턴 매치 기법'을 기반으로 발전하게 된다. 다양한 동작 모델 중에서 패턴 매치 기법이 핵심 기술로 남게 된 이유는 무엇일까?
 
네트워크를 통해 전달되는 데이터는 최종적으로 인간이 식별 가능한 문자나 숫자 등의 ‘기호’로 표현되는 정보를 주고 받으면서 상호 간의 의도했던 의미를 수립하는데, 데이터의 발생 주체가 인간인 만큼 너무나 당연하게도 인간의 의사 소통과 그 성격이 똑같다. '아' 다르고 '어' 다른 인간의 의사 소통처럼, 데이터 역시 표현에 사용된 기호의 성격에 따라 최종 전달되는 정보의 의미가 달라지는 것이다.
 
이러한 배경을 바탕으로 컴퓨터 간에 전달되는 정보의 보안 위협 여부를 판단하기 위해, 트래픽 패킷의 데이터 영역에 사용된 기호를 검사하는 방식은 가장 효과적인 기술로 인정받으면서 자연스럽게 사용자의 선택을 받게 된다.

 
이후, 패턴 매치 기법은 방화벽처럼 IP나 Port 정보 등이 기록된 패킷 헤더만 검사하지 않고 전달되는 정보가 기록된 페이로드까지, 즉 패킷 깊숙한 곳까지 검사한다는 의미에서 'DPI(Deep Packet. Inspection)'란 세련된 이름으로도 불리면서 IDS는 물론 IPS, 웹방화벽, UTM 등등 다양한 네트워크 보안솔루션들의 기반 기술로 자리잡게 된다.
 
참고로 이러한 보안솔루션들은 모두 보안 위협으로 의심되는 문자열 패턴을 사전에 규칙(Rule)으로 정의한 후, 이 규칙을 트래픽 패턴과 비교하는 방식으로 동작하기 때문에 '규칙 기반' 또는 '룰 기반' 보안솔루션으로도 불린다.
 
다양한 보안솔루션들이 각자 기술의 우수성과 차별성을 강조하고 있지만, 사실은 패턴 매치 기법이란 동일 기술을 사용하는, 즉 패턴 매치 룰을 사용하는 룰 기반 보안솔루션임을 알게 되었다. 그렇다면 탄생한 지 30여 년이 지난 지금, 패턴 매치 기법은 침입 탐지라는 본연의 임무를 잘 수행하고 있을까? 다음 시간에는 이 질문에 대한 답을 찾아보겠다.
 
글. <빅데이터 분석으로 살펴본 IDS와 보안관제의 완성> 저자 강명훈 truese@hanmail.net