![[오늘의 운세] 5월 30일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/30/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
정보화시대, 가장 큰 화두이자 과제는 바로 ‘보안’이다. 얼마 전 사회적으로 큰 파장을 몰고왔던 현대캐피탈의 대량 정보유출, 농협중앙회의 해킹사건은 이 같은 점을 단적으로 보여준다. 멀리 갈 필요도 없다. 우리는 매일을 스팸 문자와 메일로 싸우고 있다. ‘보안’은 그야말로 네트워크 시대의 풀어야 할 숙제다.
이 때문에 많은 공공기관과 대기업, 개인은 보안에 철저하기 위한 노력 중이다. 현재 가장 일반적으로 알려진 것이 침입 차단 시스템인 IPS다. IPS는 스팸 문자를 발신번호로 지정해 그 번호로 오는 문자를 차단하는 것과 같이 IP를 기반으로 패킷의 헤더만으로 차단시키는 시스템이라 할 수 있다.
IPS는 방화벽을 우회 공격 패킷을 막기 위해 개발됐지만 문자열 시그너처 방식을 사용해 하나의 문자열 시그너처로는 하나의 공격만을 1:1로 탐지하기 때문에 빈틈이 많은 것이 사실이다. 특히나 요즘처럼 각종 변형된 수법의 해킹이나 공격에는 한계가 있다.
문자열 시그너처는 공격 패킷에서 반복적으로 사용되는 코드를 추출한 것으로서, IPS는 이 문자열 시그너처들을 별도의 목록에 등록해 놓고, 같은 문자열 시그너처를 포함한 패킷이 들어오면 공격으로 간주하여 차단한다. 예를 들어 대리운전 스팸 문자를 막기 위해 “대리운전”이라는 문자를 스팸 문구 목록에 등록하는 것과 같다.
문제는 한 개의 문자열 시그너처가 표현할 수 있는 공격 패킷의 유형이 한정적이라는 것이다. 공격에 사용된 코드가 조금만 바뀌어도 공격으로 판정하지 못한다. “대♡리운전”처럼 변형된 형태를 전혀 다르다고 인식하는 것이다.
뿐만 아니라 문자열 시그너처는 표준방식이 아니므로 생성 방식이 개발 회사마다 조금씩 다르고 쉽게 공격 당할 것을 염려하여 공개를 꺼려한다. 이로 인해 새로운 공격에 대한 차단목록을 개발회사에 요청하여 차단목록을 생성, 배포 받아서 제품 업데이트를 진행해야 하므로 업데이트 과정이 어렵다는 단점도 있다.
이에 따라 최근 변형 공격을 문법체계로 표현해 막아주는 ‘PCRE’가 기존 보안제품의 단점을 보안하는 대안으로 떠오르고 있다. PCRE란 UTM이 트래픽을 처리하는 과정에서 패킷을 모니터링하며 실시간으로 트래픽을 분석하고 IP네트워크상에서 침입탐지의 패턴을 분석하는 일종의 패턴룰이다.
PCRE는 많은 엔지니어들에게 익숙한 펄(Perl) 기반 정규표현식으로 펄 스크립트 언어와 호환되는 방식의 정규표현식 확장 문법을 제공하고 있어서, 널리 쓰이는 오픈 소스 침입 탐지 시스템인 스노트(Snort) 에 채택되어 사용되고 있다.
PCRE는 다양한 문자열을 비교적 쉬운 문법을 기반으로 표현하기 때문에 하나의 PCRE 패턴으로 다수의 변형된 공격을 탐지해 막아낼 수 있다. “대★리운전”을 방어할 수 없던 문자열 시그니처에 비해 PCRE패턴은 “대.*리운전”으로 표현한 뒤 각종 변형 공격을 손쉽게 방어할 수 있는 것이다.
PCRE 패턴은 공통된 문법체계를 따라 IPS 공급회사에만 의존하지 않고 제3의 전문 기관이나 국가 기관으로부터도 PCRE로 표현된 공격 목록을 제공받을 수 있기 때문에 지속적인 업데이트가 가능하다. 문자열 시그너처 IPS의 경우 제품 개발사가 다르면 업데이트 받기가 어렵거나 별도의 변환 작업을 거쳐야 하지만 PCRE는 제한 없이 빠르고 정확하게 업데이트를 받을 수 있다.
하지만 PCRE의 단점도 간과할 수 없다. PCRE는 무한개의 변형 문자열을 탐지해야 하므로 검색을 위한 연산이 쉽지 않고 다수의 PCRE 탐색의 경우에 성능 저하가 심각해 실제 망에서 운영하기 곤란한 것이 현실이었다.
최근 10년 동안 네트워크 보안 분야를 선도해왔던 보안 솔루션 전문업체 인프니스는 위와 같은 기존 IPS의 문제점을 모두 해결한 PCRE 기반 공격 탐지를 지원하는 Soligate UTM 시리즈를 출시해 호응을 얻고 있다. 인프니스의 다양한 기술력이 접목된 Soligate UTM으로 그 동안의 초보적 방식인 문자열 시그너처 기반 보안제품 시대가 막을 내리게 됐다.
Soligate UTM 시리즈는 별도의 가속 하드웨어를 사용하지 않고, 변형하거나 축약하지 않은 PCRE 패턴을 1,000개 이상 높은 성능으로 지원한다. 다량의 PCRE 패턴으로 다수의 공격 패킷을 동시에 검색하면서 높은 성능을 유지하는 인프니스의 비결은 다수의 PCRE 패턴을 동시에 탐색하는 혁신적인 기술 개발 때문이다.
인프니스의 한 관계자는 “패턴을 변형, 축약하는 등의 편법이 아니라 탐색의 새로운 기술 개발을 통한 것이므로 탐지 기능에는 영향을 미치지 않으면서 성능을 극대화했다”고 밝혔다.
<이 기사는 본지 편집 방향과 다르며, 해당기관에서 제공한 보도 자료입니다.>
