지난 시간을 통해 패턴 매치 기법의 문제를 해결하지 못하면 IDS, IPS, 웹방화벽 등 어떤 룰 기반 보안솔루션도 무용지물이 될 수 있음을 알게 되었다.
 
룰 기반 보안솔루션이 무용지물이 되면 해당 보안솔루션의 로그를 통합하는 ESM 등 SIEM(Security Information and Event Management) 기반의 소위 통합 보안솔루션도 무용지물이 되고 만다.
 
그렇기 때문에 우리는 패턴 매치 기법의 효과적인 사용 방법을 찾아야 한다. 그리고 그 방법은 결국 공격의 맥락에 가깝도록 룰 패턴을 정교하게 만드는 방법뿐이다. 룰 패턴을 정교하게 만드는 방법은 무엇일까?
 
지난 연재(dailysecu.com/news_view.php?article_id=4984)에서 웹쉘 공격에 사용된 패턴만으로 룰을 만들었음에도 전체 발생량의 80%가 오탐이었던 이유는,
① 패턴 표현에 한계가 있고,
→정상/공격 패턴 모두 26개의 알파벳 범위 안에서 표현된다.
② 네트워크의 특성이 룰에 반영되지 않았기 때문이다.
→네트워크마다 트래픽 발생 양상, 즉 패턴 발생 양상이 달라질 수 있다.
 
룰을 만들 때 알려진 공격 패턴과 함께 그 룰이 적용된 네트워크에서 발생하는 정상 또는 공격 패턴의 특성을 반영하면 패턴 표현의 한계에 의한 오탐을 줄일 수 있다. 지난 연재에서 우리는 ①번 룰을 ②번처럼 수정함으로써 약 80%의 오탐을 줄이는 효과를 경험한 바 있다.
 
①alert tcp any any -> any 80 (content:"?Action="; nocase; pcre:"/?Action=(MainMenu|Show|Course|getTerminalInfo|ServerInfo|Cmd1?Shell|EditFile|Servu|sql|Search|UpFile|DbManager|proxy|toMdb)/i";)
 
②alert tcp any any -> any 80 (uricontent:".asp?Action="; nocase; pcre:"/?Action=(MainMenu|Show|Course|getTerminalInfo|ServerInfo|Cmd1?Shell|EditFile|Servu|sql|Search|UpFile|DbManager|proxy|toMdb)/i";)
 
①번 룰에 의해서 발생한 로그의 전수 검사를 통해 오탐 패턴의 발생 양상을 파악할 수 있었고, 그 발생 양상을 통해 룰의 문제점을 찾음으로써 ②번처럼 수정이 가능했던 것이다.
 
많은 룰 기반 보안솔루션들이 알려진 공격 패턴으로 만들어진 룰을 사용함에도 오탐이 많은 이유는 현장 트래픽의 특성이 룰에 반영되지 않고 있기 때문이며, 결과적으로 알려진 공격임에도 방어에 실패하는 사례는 갈수록 늘고 있다.
 
이런 상황임에도 가끔 알려지지 않은 공격 방어 기술을 강조하는 주장이 제기되곤 한다. 그럴 때마다 필자는 묻고 싶다. 그럼 알려진 공격은?
 
국내외 대다수 룰 기반 보안솔루션들은 기본적으로 2~3천개 내외의 룰을 제공한다. 이 얘기는 대부분의 공격은 이미 다 알려져 있다는 뜻이다. 그리고 알려지지 않은 공격의 대부분은 알려진 공격의 응용, 변형 수준인 경우가 많으며, 기존의 기술 체계를 완전히 벗어난 공격의 가능성은 낮다. 그렇다면 알려진 공격에 대한 방어가 완벽해지면 알려지지 않은 공격 역시 방어할 가능성이 높아지지 않을까?
 
올해에만 시스코(cisco.com)는 인공 지능을 이용해 보안 위협을 탐지하는 소프트웨어 업체 코그니티브 시큐리티(cognitive-security.com)와 사실상 IDS 기술 표준인 Snort 배포를 지원하는 소스파이어(sourcefire.com)를 연달아 인수했다.
 
시스코의 의중은 알 수 없지만 언젠가 문장의 맥락을 이해하고 추론이 가능한 인공 지능 기술이 현실화되면, 패턴 매치 기법은 자동화되고 지능화될 것이다. 그 때가 되면 패턴 매치 기법은 그나마란 꼬리표를 떼고 가장 효율적이고 정확한 보안 기술이 될 것이다.
 
그러나 아직까지는 미국 역시 패턴 매치 기법의 문제를 제대로 해결하지 못하고 있다. 패턴 매치 기법의 올바른 사용을 위해 그리고 알려진 공격의 방어를 위해 로그 전수 검사를 통한 룰 정확도 향상에 관심을 가져야 하는 이유이다.
 
(바쁘신 가운데 패턴매치 기법과 관련 좋은 글을 연재해 주신 강명훈님께 감사드립니다.-편집자 주-)
 
글. <빅데이터 분석으로 살펴본 IDS와 보안관제의 완성> 저자 강명훈 truese@hanmail.net