|
네트워크 행위 분석툴이 제로데이 위협을 차단할수 있다
끊임없는 감시체계, 2차 침투 차단
네트워크 트래픽을 감시하고 비일상적이거나 의심스러운 행위가 발견되면 실시간 경보를 발행하는 보안 병기고에 새로운 무기가 생겼다.
미국 IT 전문지 네트워크 월드는 최근 ‘네트워크 행위 분석툴이 제로데이 위협을 차단할수 있다’고 보도해 보안전문가들의 관심을
불러 모았다.
네트워크 행위 분석 툴(NBA Network Behavior Analysis tools)은 단순히 기존의 정책과 알려진 서명에
기초한 공격을 감지하고 차단하는 침입 감지 및 방어 시스템(IDS/IPS)을 강화하는 방화벽과 같은 전략적 보안 제품이 남긴
공백을 채워준다. 제로데이 공격을 예측하는 NBA툴은 스팸 봇으로 드러나 클라이언트 기계와 인터넷에 연결하려는 민감한 정보가
있는 서버에 대해 네트워크 트래픽을 끊임없이 감시하고 분석한다.
예를 들어 PC 한대가 웜에 감염돼 포트 스캐닝 트래픽의 홍수가 갑자기 흘러나올 경우 NBA는 PC의 특정한 바이러스에 관계없이
IT 직원에게 경고 할 수 있다. 또 한 서버의 IP주소가 기업 외부의 알려지지 않은 IP 주소와 연결되는 것도 감지할 수 있다.
올해 4월 이 기능을 도입한 에어트랜항공사는 NBA의 덕을 톡톡히 보고있다. 에어트랜은 55개의 공항과 소수의 구내 작업을
지원하는 광범위한 네트워크를 가지고 있다. 초기 NBA 도입은 PCI 데이터 보안 표준의 컴플라이언스 때문이었지만 지금은 오히려
회사의 보안 방어의 효과적인 증축으로 이용되고 있다. 실제로 에어트랜이 누군가 컴퓨터를 통해 원거리 해킹을 시도하는 것을
NBA를 통해 감지했는데 이전에는 추적할 수 없었던 것으로 밝혀졌다.
그러나 이러한 NBA 툴에도 문제점은 있다. 이 시스템은 적법 행위가 효과적인 모델이 되지 않는 한 높은 양성 오류로 고생할 수
있다. 네트워크 행위 모형화에 영향을 줄 수 있는 요소는 가능한 행위의 수, 이벤트 타입의 수, 환경과 네트워크 행도의 강도,
불법 행위의 신뢰도, 사용자의 기술과 경험을 포함한다.
하지만 미국내 보안업계에서는 이같은 오류는 모든 솔루션이 거쳐야 할 과정이라며 NBA의 향후 시장 전망을 긍정적으로 내다봤다.
미국 보안 전문기업인 가트너의 폴 프록터 부사장은 “NBA는 침입 감지시스템, 침입 방지시스템, 방화벽과 같은 정책-서명 기반
포인트 솔루션과 감지를 위한 별도 설정이 돼 있지 않아 위협을 놓치는 보안 정보가 남긴 빈틈을 메운다”며 “앞으로 2010년까지
지속적인 기능 성장에 대한 요구가 있을 것으로 예상된다”고 말했다.
[배군득 기자(boan3@boannews.com)]
출처 : 보안뉴스
| 