(주)인프니스, 네트워크 보안시장에서 요구되는 새로운 보안제품 선보여
우리나라 네트워크 보안체제에 비상이 걸렸다. 방화벽의 우회 공격 패킷을 막기 위해 IPS(Intrusion Prevention System)를 개발하고 공공기관이나 기업들이 많이 사용하고 있지만, 그 한계성을 들어냈기 때문이다.
IPS는 문자열 시그너처(Signature)로 판단하기 때문에 공격을 식별하는 방식에서 근본적인 한계가 있다. 문자열 시그너처는 공격 패킷에서 반복적으로 사용되는 코드를 추출한 것으로, IPS는 별도의 목록에 등록해 놓고 같은 문자열 시그너처를 포함한 패킷이 들어오면 공격으로 간주하여 차단한다. 즉, 신용대출 문자를 막기 위해 ‘신용대출’이라는 문자를 스팸 목록에 등록하는 것과 같다.
한 개의 문자열 시그너처가 표현할 수 있는 공격 패킷의 유형이 한정적이기 때문에 공격에 사용된 코드가 조금만 바뀌어도 공격으로 판정하지 못하게 된다. ‘신용대출’이라는 문자를 스팸 목록에 등록해 놓아도, ‘신♡용대출’ 문자는 막지 못한다는 것이다.
이처럼 문자열 시그너처 기반 IPS는 변종 공격이나 디도스(DDoS) 공격에 취약하다는 그 한계를 가진다.
이러한 문제점을 해결하기 위해 새로운 차단목록을 업데이트하는 방법이 있지만, 표준방식이 아니라서 개발사가 다를 경우 호환성 어려움으로 업데이트가 어렵다. 이에 문자열 시그너처 기반의 IPS 한계를 극복하기 위해 다수의 변형된 공격을 탐지할 수 있는 PCRE가 새로운 대안으로 떠오르고 있다.
PCRE(Perl Compatible Regular Expressions)는 이론적으로 무한의 변종 패킷을 방어할 수 있다. 예를 들어 ‘대♡리운전’과 같은 변종 공격을 방어하고 싶다면, ‘대.*리운전’으로 표현하면 된다. 이렇게 하면 ‘대’와 ‘리’ 사이에서 이루어지는 어떠한 변종 공격이든 모두 방어할 수 있게 된다. 또한 지속적인 업데이트가 간편하다는 장점도 가지고 있다.
하지만 PCRE도 연산이 쉽지 않고, 다수의 PERE 탐색의 경우 성능저하가 심각하다는 문제점을 가지고 있다. PCRE 패턴이 최소 500개 이상 탑재되어야 하지만 100개의 PCRE 패턴만 탑재된 경우가 많고 이 경우 성능이 급격히 감소한다. 이러한 성능저하를 막기 위해 PCRE 패턴을 변형하거나 축약하는데 이럴 경우 미탐지율이 높을 뿐만 아니라 고가의 전용 하드웨어 가속기를 사용해야 하기 때문에 고가의 추가비용이 필요하다.
최근 보안 솔루션 전문업체 ㈜인프니스가 선보인 PCRE 기능을 완벽하게 지원하는 ‘Soligate UTM 시리즈’는 이러한 문제점들을 해결하고 있어 주목 받고 있다. ‘Soligate UTM 시리즈’는 변형하거나 축약하지 않은 PCRE 패턴을 높은 성능으로 1,000개 이상 지원할 뿐만 아니라 별도의 하드웨어 가속기를 사용하지 않아도 돼서 가격까지 매우 합리적이라고 할 수 있다.
㈜인프니스 관계자는 “Soligate UTM 시리즈는 패턴을 변영하거나 축약하는 편법이 아닌 탐색의 새로운 기술 개발을 통해 성능을 극대화했다”며, “네트워크 보안시장에서 요구되고 있는 새로운 보안체계에 부응할 것이라고 확신한다”고 밝혔다.
