일상처럼 써보는 경험 이야기 (정보보호)

장비에 대해 기회도 많이 접하고 다뤄본것도 많다고 생각하지만

세상은 넓어서 조금 더 발전해야 하는거 같다는 느낌은 언제나 받고 있음.

내가 많이 부족하기도 하고, IT쪽 업무를 하는 이상 최신 트렌드에는 매우 민감하게 반응해야 하는게 맞다고 생각한다.

누군가에게는 기회이기도 하고, 다른 누군가에게는 미래에 1도 도움이 안될 수 있는 내가 하는 업무에 대하여 나는 전반적으로 만족하는 편이다.

 

정보보호장비도 최신 트렌드에 맟춰서는 아니지만 남들보다 좋은 장비를 쉽게 접하고 써볼 수 있는 기회도 많을 뿐더러, 많은 장비를 다뤄보았다. 심심하니 한번 기술해보도록 하자~

 

정보보호장비 : 

1. SIEM(Splunk) : splunk라는 회사에서 만든 제품으로, 서버 및 정보보호장비에 대한 로그 연동으로 실시간으로 수집하여 분석할 수 있게 해주는 솔루션 장비

2. Anti-DDoS : DDoS 및 DoS에 대한 초동차단 장비, 은행 등에 대용량 트래픽에 대한 차단과 DDoS 방어선 운영으로 DNS에 대한 URL을 우회시켜 방어하는 장비, 라우터 아래 거의 최상단에 위치하고 있음

3. IPS : Prevention 방지 시스템으로, 시그니처(패킷)을 보고 악성행위에 대하여 탐지 및 차단, Snort룰을 기본으로 적용하고 있음

4. IDS : Detection 탐지 시스템으로, IPS에서 차단기능이 없다. IPS와 비교하였을때 기업에서 어떤 방식으로 시그니처를 탐지하고 효율성이 있는지에 따라 사용방법이 다르다고 생각한다. 대부분 IPS는 인라인 방식으로 차단까지 하지만, IDS는 미러링 방식으로 실질적으로 패킷이 지나가는 곳에 위치 시키지 않는다. 장애가 날 시에는 IDS보다 IPS가 위험. 그래서 사용환경과 방법에 따라 다르다고 생각함.

5. F/W : 방화벽이라고 부르며, IP에 대한 차단 및 접근제어 기능을 대부분 설명하고 있다. IP에 대하여 정책으로 차단 및 허용을 할 수 있는 장비이며, 출발지(sip), 목적이(dip), 포트(port) 등으로 정책을 설정하여 운영한다.

방화벽이 여러개면 화이트리스트, 블랙리스트 방식으로 각각 운영하여 조금 더 안정된 체계를 구현할 수 있다.

6. WAF : Web에 대한 URL로 탐지 및 차단이 가능하다. URL 뒤에 메소드를 보고 /etc/passwd등에 대하여 관리자 외 침입이 된다면 악성행위로 판단되는 것처럼 탐지 및 차단이 가능하다.

7. MDS : APT(지능형 지속공격)에 대한 탐지와 차단을 하는 장비이다. 최근 트렌드를 지나가긴 했지만 아직까지도 예전처럼 아무나 걸려라~ 하는 공격이 아닌 주 타켓을 잡고 그에 대하여 공격하는 지능형 공격이 많이 발생되고 있다. 현재 이 장비에 대해서는 많이 사용을 해보진 않았으나, 메일체계에 대한 첨부파일을 대부분 확인하여 샌드박스방식으로 한번 실행해보고 악성행위라고 판단시에 차단을 하여 침입을 못하게 한다.

8. NAC : Network Access Control, '낙' 이라고도 하며 기업이나 사내 인트라넷 망에 접속하는 모든 PC와 장비에 대한 접근 설정이 가능하다. 한마디로 기업에 PC는 NAC 정책을 무조건 받는다고 생각하면 된다. MAC과 IP로 접근을 통제하고 계정을 만들어서 계정 접속시 해당 PC나 VDI가 MAC값과 일치해야 접속을 가능하게 한다. 또한 필수프로그램 (예. 크롬, 백신 등)을 설치해야 사내 인트라넷망을 접속할 수 있게 설정한다. end 포인트 보안

9. Secuve(서버보안) : Linux, SunOS, Solaris 등 다양한 서버를 한눈에 관리를 하게 해주는 프로그램이다. 주 기능으로는 서버 계정 관리 및 패스워드 변경, 패스워드 기간 설정 등이 있고 서버에 대한 버전과 기타 설정 등으로 접속 여부 확인과 서버에서 history명령어 처럼 과거 명령어를 어떤 사용자가 어떻게 입력했는지 추적조사가 가능하다. 포렌식으로 추적할 시 유용하다고 생각한다.

10. DB접근제어 : DB는 매우 중요하다. Database에 대한 접근을 관리해주는 프로그램이다. 데이터베이스는 DBMS처럼 시스템 관리자를 설정해 놓는데 이런 관리하는 관리자만 접속이 가능하게 설정한다. 계정별로 설정을 다르게 하여 어떤 사용자는 1만 접속가능, 어떤 사용자는 1, 2만 접속가능 이렇게 설정을 하여 안전한 보안관리를 하게 한다.

11. VPN : Virtual Private Network 가상사설망이라고도 하며, 내가 사내인트라넷망을 이용하고 싶은데 밖에서 접속이 안되니 가상으로 망을 설정하여 계정 접속 시 내부 사용자처럼 이용이 가능한 서비스 및 장비이다. 최근 코로나로 인하여 가정에서 원격근무가 많아져 침해에 대한 보안이슈로 많이 거론되고 있는 추세이다.

 

서버 모니터링 장비 및 이벤트 분석 장비

제니퍼 : 제니퍼 회사에서 만든 프로그램으로 서버에 대한 인스턴스별로 쓰레드 관리나, Heap, 메모리, 사용자 등을 전반적으로 볼 수 있는 유용한 프로그램이다. 버전별로 다르긴하나, 기능은 비슷하고 어플리케이션 사용 및 사용자가 어디 서버에 어디 URL에 접속했는지도 볼수가 있어서 매우 좋다.

자원모니터링 시스템 : 운영관리자동화시스템 에서 한 종류이며 자산으로 서버나 네트워크 장비를 등록하면 (SMS Agent를 서버에 실행시킴) 자산에 대한 OS, 구성정보, 네트워크 이더넷 포트 정보등에 대하여 확인이 가능하고 백업에 대한 주기도 확인이 가능하다.

홈페이지내에서 명령어 실행으로 기본적인 정보나 패스워드 변경도 가능하여 유용한 프로그램이다.