# 핵심 사이버 보안 도구: 방화벽, IDS/IPS, DLP, SIEM
방화벽, 침입 탐지 및 차단 시스템, DLP, SIEM은 기업 네트워크를 보호하는 필수 스택을 구성합니다. 이 도구들은 트래픽을 필터링하고, 이상 징후를 감시하며, 프로토콜 계층 전반에 걸쳐 데이터 유출을 방지합니다. 중급에서 고급 사이버 보안 전문가를 위해 이들의 원리, 유형, 실제 활용 사례를 자세히 살펴보겠습니다.
방화벽: 상태 비저장형에서 차세대까지
방화벽은 라우터 뒤 네트워크 경계에 위치하며, 로컬 네트워크와 인터넷 간 모든 트래픽을 제어합니다. 기본 정책은 "명시적으로 허용되지 않으면 모두 차단"입니다. 규칙이 없으면 접근 자체가 불가능하죠.
상태 비저장형 방화벽은 소스 IP, 소스 포트, 목적지 IP, 목적지 포트 같은 규칙에 따라 각 패킷을 독립적으로 검사합니다. 연결 맥락을 무시하므로 송수신 트래픽에 대칭 규칙이 필요하고, 규칙 수가 폭증하면 확장이 어렵습니다.
상태 검사형 방화벽은 연결 상태 테이블을 유지해 복귀 트래픽을 자동 허용합니다. L4(전송 계층)에서 작동하며 애플리케이션 계층 공격은 놓칩니다.
NGFW(차세대 방화벽)은 패킷 페이로드까지 깊이 분석합니다:
- 포트와 무관하게 앱 식별(예: 443 포트로 텔레그램 사용).
- 도메인 단위 차단.
- 바이러스 백신, 샌드박스, IPS/IDS 통합.
예시: 유튜브와 온라인 쇼핑몰 차단으로 업무 외 트래픽을 줄여 성능 향상.
IDS/IPS: 침입 탐지와 차단
IPS(침입 차단 시스템)는 인라인 배치로 방화벽 뒤에서 트래픽을 통과시키며, 악성 트래픽을 실시간 차단하고 보안 팀에 알립니다.
분석 방법:
- 시그니처 기반: 데이터베이스와 매칭(바이트 시퀀스, 해시, SQL 인젝션). 파편화된 패킷을 먼저 재조립.
- 이상 기반: 정상 트래픽 기준 수립(예: 업무 시간대 입출균형). 편차 차단, 하지만 오탐지 위험.
- 휴리스틱: 의심스러운 행동 규칙(무차별 대입 로그인, DNS 플러드).
IDS(침입 탐지 시스템)는 스위치 SPAN 포트로 트래픽 복사본을 분석해 알림만 생성, 차단은 하지 않습니다. 오탐지가 운영을 방해할 수 있는 핵심 구간에 적합.
DLP: 데이터 유출 방지
DLP(데이터 유출 방지)는 네트워크 트래픽과 엔드포인트 활동을 스캔해 민감 데이터 유출을 감지합니다. 이메일, 웹 업로드, 메신저 앱, USB, 프린터, 클립보드, 스크린샷 등을 모니터링합니다.
탐지 방법:
- 정규식 패턴: 여권, 주민번호, 신용카드 매칭(숫자를 문자로 바꾸면 우회 쉬움).
- 디지털 지문: 참조 문서 해시, 이름 변경이나 사소한 편집에 강함.
- 언어 분석: "영업 비밀" 같은 키워드.
- 라벨: "기밀" 표시.
- 행동 기반: 이상 행동(예: 회계사가 자정에 고객 DB 복사).
DLP 유형:
| 유형 | 배치 | 장점 | 단점 |
|-----|------------|------|------|
| 엔드포인트 (소프트웨어) | 기기 에이전트 | 로컬 활동(USB, 프린터) 포착 | 자원 소모 크고 모든 기기에 설치 필요 |
| 네트워크 | 네트워크 가장자리 | 모든 사용자(모바일 포함) 커버, 에이전트 불필요 | 순수 로컬 행동 누락 |
SIEM과 샌드박스: 로그 집계와 위협 격리
SIEM(보안 정보 및 이벤트 관리)은 모든 보안 도구 로그를 수집해 사건 상관 분석으로 인시던트를 탐지하고 중앙 모니터링을 제공합니다.
샌드박스는 의심 파일이나 트래픽을 가상 환경에 격리해 행동 관찰(예: 랜섬웨어). 종종 NGFW에 내장.
주요 요약
- 경계에서 방화벽은 필수; 앱 계층(L7) 검사를 위해 NGFW 선택.
- 적극 차단은 IPS 인라인, 모니터링은 IDS 패시브.
- DLP는 시그니처와 행동 결합; 필요에 따라 엔드포인트 또는 네트워크 선택.
- SIEM과 샌드박스로 전체 위협 가시성 완성.
— Editorial Team
아직 댓글이 없습니다.