SSL/TLS 인증서를 사용한 웹 패킷의 탐지와 대응은 웹방화벽(WAF) 영역입니다.[1]

 

키워드: NDR, NIPS, ETA, 영구기관

본 내용은 ChatGPT v4와 QnA를 정리한 것으로 ChatGPT v4가 작성한 부분에 있어서 임의 수정된 사실은 없습니다.

 

Q. NDR(Network Detection and Response)에 대하여 설명해 주세요.

NDR(Network Detection and Response)는 네트워크 트래픽을 실시간으로 분석하여 악의적인 활동이나 위협을 탐지하고 대응하는 보안 기술입니다. 이는 조직의 네트워크를 보호하는 데 필수적인 역할을 하며, 다음과 같은 주요 기능을 포함합니다:

1. 트래픽 분석

  • 실시간 네트워크 모니터링: 네트워크 트래픽을 지속적으로 감시하여 비정상적인 패턴이나 이상 행위를 식별합니다.
  • 고급 분석: 기계 학습(ML) 알고리즘과 행동 분석을 활용하여 복잡한 위협을 탐지합니다.

2. 위협 탐지

  • 알려진 위협 탐지: 시그니처 기반 방식을 사용하여 알려진 악성코드나 공격 유형을 탐지합니다.
  • 알려지지 않은 위협 탐지: 이상 탐지(anomaly detection) 및 행동 분석을 통해 새롭거나 알려지지 않은 위협을 식별합니다.

3. 대응 및 완화

  • 자동화된 대응: 위협이 탐지되면, 자동화된 시스템을 통해 즉각적인 대응 조치를 실행할 수 있습니다.
  • 사건 조사: 위협 탐지 후, 상세한 로그 정보와 분석을 제공하여 보안 담당자가 사건을 조사하고 대응할 수 있도록 지원합니다.

4. 통합 및 호환성

  • 기존 보안 인프라와의 통합: NDR 솔루션은 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션, 자동화 및 대응), 그리고 기타 보안 도구와 통합될 수 있어 보안 운영의 효율성을 높입니다.

5. 가시성 및 인사이트

  • 네트워크 가시성 향상: 네트워크 내의 트래픽과 행위에 대한 깊은 가시성을 제공하여 보안 팀이 위협을 더 잘 이해하고 대응할 수 있게 합니다.
  • 보안 인사이트: 보안 담당자가 네트워크 보안 전략을 개선할 수 있도록 도와주는 분석 및 보고 기능을 제공합니다.

NDR은 사이버 보안의 중요한 부분으로, 조직이 지속적으로 변화하는 위협 환경에서 네트워크를 보호하는 데 도움을 줍니다. 이는 네트워크의 모든 측면에서 비정상적인 활동을 식별하고, 신속한 대응을 통해 위협을 완화하는 데 중점을 둡니다.

Q. NDR의 한계에 대하여 설명해 주세요

NDR(Network Detection and Response) 시스템은 다양한 네트워크 위협에 대응하기 위해 설계되었지만, 이 시스템이 가지는 몇 가지 한계점도 존재합니다. 이러한 한계점을 이해하는 것은 조직이 보안 전략을 효과적으로 계획하고, NDR을 다른 보안 솔루션과 통합하여 보안 포스처를 강화하는 데 도움이 됩니다.

1. 암호화된 트래픽의 도전

  • 암호화 문제: 많은 네트워크 트래픽이 현재 암호화되어 있어 NDR 시스템이 트래픽 내용을 직접 분석하는 것이 어렵습니다. 암호화된 트래픽은 악의적인 활동을 숨기는 데 사용될 수 있으며, 이를 해석하기 위해서는 추가적인 복호화 절차가 필요할 수 있습니다.

2. 고급 지속 위협(APT)에 대한 대응 한계

  • 고급 위협 탐지: 고급 지속 위협(APT)과 같은 복잡하고 지능적인 공격은 표준 탐지 메커니즘을 우회할 수 있습니다. APT 공격자들은 종종 정상적인 네트워크 행동을 모방하여 탐지를 피합니다.

3. 데이터의 대규모 처리

  • 성능과 확장성: 대규모 네트워크에서 발생하는 방대한 양의 데이터를 처리하고 분석하는 것은 성능 저하를 초래할 수 있으며, 이는 시스템의 확장성과 효율성에 영향을 줍니다.

4. 오경보와 미경보

  • 오경보(False Positives): NDR 시스템이 정상적인 활동을 잘못 탐지하여 보안 팀에게 잘못된 경보를 발생시키는 경우가 있습니다. 이는 자원의 낭비와 보안 팀의 주의 분산을 초래할 수 있습니다.
  • 미경보(False Negatives): 반대로, 실제 위협을 놓치고 경보를 발생시키지 않는 경우도 있어, 보안 위협이 조직 내부로 침투할 수 있습니다.

5. 복잡한 설정과 관리

  • 구성의 복잡성: NDR 시스템을 효과적으로 구성하고 유지 관리하기 위해서는 전문 지식이 필요합니다. 잘못 구성된 시스템은 보안 효율성을 크게 저하시킬 수 있습니다.

6. 통합과 협업의 필요성

  • 다른 보안 솔루션과의 통합: NDR만으로는 모든 보안 위협을 해결할 수 없으며, 효과적인 보안 포스처를 위해서는 다른 보안 도구와 솔루션(예: EDR, SIEM)과의 통합이 필요합니다.

NDR 시스템의 이러한 한계를 인식하고, 이를 보완하기 위한 추가적인 보안 조치와 전략을 수립하는 것이 중요합니다. 이는 조직의 보안 방어력을 강화하고, 보다 포괄적인 보안 접근 방식을 채택하는 데 도움이 될 것입니다.

Q. NDR이 종래의 NIPS (Network Intrusion Prevention Systems) 개념을 넘어서기 위한 시도로 이해할 수 있지만, NDR의 한계를 해결하는 것은 불가능합니다. NDR은 마치 시집의 시를 읽어 보지 않고, ‘시집의 제목, 두께, 무게, 재질, 작가의 이름’과 더불어 ‘출판 날짜, 판매량, 독자층, 인용된 문헌 등의 외부 정보’로 시의 의미를 판단하려는 시도이기 때문입니다. 비유적으로 올바른 설명일까요?

이 비유는 NDR(Network Detection and Response)의 한계를 설명하는 데 있어서 매우 창의적이고 흥미로운 방식입니다. NDR이 네트워크 트래픽의 외형적인 특성과 패턴을 분석하여 위협을 탐지하고 대응하는 것을 시집의 외적 정보로 시의 의미를 추론하려는 시도에 비유하는 것은, NDR의 한계를 강조하는 데 유용한 방법일 수 있습니다.

이 비유는 NDR이 직면한 몇 가지 핵심적인 도전과제를 강조합니다.

1. 외형적 데이터의 해석 한계

NDR 시스템은 네트워크 트래픽의 ‘외형적’ 특성을 분석하여 위협을 탐지합니다. 이는 시집의 ‘제목, 두께, 무게, 재질’ 등을 통해 시의 내용과 의미를 유추하는 것과 유사합니다. 실제로는 트래픽의 내용이나 의도를 완전히 이해하기 어려울 수 있으며, 이는 암호화된 트래픽이나 고도로 맞춤화된 공격을 탐지하는 데 한계가 있음을 의미합니다.

2. 외부 정보에 대한 의존성

NDR이 ‘출판 날짜, 판매량, 독자층, 인용된 문헌 등의 외부 정보’를 사용하는 것처럼, 네트워크의 행위와 패턴에 대한 외부 데이터와 지식을 활용하여 위협을 분석합니다. 이는 네트워크 안팎에서 수집된 정보를 통해 위협 인텔리전스를 구축하고, 알려진 위협의 시그니처나 행동 분석을 기반으로 위협을 탐지하려는 시도입니다. 그러나 이러한 접근법은 새로운, 알려지지 않은 위협이나 맞춤형 공격을 감지하는 데 제한적일 수 있습니다.

3. 내용의 깊이와 복잡성 이해

비유대로라면, 시집의 실제 내용과 시가 전달하려는 깊은 의미를 완전히 이해하지 못하는 것처럼, NDR도 네트워크 내의 복잡한 상호작용과 의도를 완벽히 파악하기 어려울 수 있습니다. 특히, 고급 지속적 위협(APT) 같은 복잡한 공격은 표준적인 행동 패턴을 모방하거나 미묘하게 변형시켜 NDR 시스템의 탐지를 회피할 수 있습니다.

이러한 비유를 통해, NDR의 한계를 이해하고, 이를 극복하기 위한 다양한 보안 접근법과 솔루션의 중요성을 강조할 수 있습니다. NDR은 보안 포스처의 한 부분일 뿐이며, 조직은 EDR(Endpoint Detection and Response), SIEM(보안 정보 및 이벤트 관리), 인간의 분석가 팀과 같은 다른 보안 메커니즘과 전략을 통합하여 보안 위협에 대한 보다 포괄적인 이해와 대응을 도모해야 합니다.

Q.앞서 NDR을 시(詩)를 이해하는 방법에 비유하였습니다. 이번에는 NDR의 한계를 영구기관(Perpetual Motion Machine)과 비교하여 설명하고자 합니다. 현대 물리학은 영구기관은 불가능하다고 규정합니다. 현대 암호학과 정보보안학에서도 NDR은 불가능한 미션을 수행하는 것으로 이해되었으면 합니다.

NDR(Network Detection and Response)의 한계를 영구기관(Perpetual Motion Machine)에 비유하여 설명하는 것은, 현대 암호학과 정보보안학의 관점에서 NDR이 직면한 본질적인 도전을 효과적으로 설명할 수 있는 방법입니다. 이 비유는 두 분야에서 각각 불가능한 것으로 간주되는 목표를 추구하는 노력의 유사성을 강조합니다.

영구기관과 NDR의 비교

  • 영구기관의 불가능성: 영구기관은 에너지 보존의 법칙을 위배하며, 외부에서 에너지를 공급받지 않고도 무한히 작동하는 기계를 지칭합니다. 현대 물리학은 이러한 기계의 존재를 불가능하다고 보며, 이는 엔트로피 증가의 법칙(열역학 제2법칙)에 기초합니다.
  • NDR의 한계: 비유적으로, NDR이 직면한 도전은 암호화된 네트워크 트래픽 내의 악성 활동을 완벽하게 탐지하고 대응하는 것입니다. 현대 암호학은 데이터의 기밀성을 유지하기 위해 강력한 암호화 방법을 제공하며, 이는 NDR과 같은 보안 시스템이 암호화된 데이터의 내용을 직접 분석하는 것을 매우 어렵게 만듭니다.

유사점과 교훈

  • 이론적 한계의 인식: 영구기관과 NDR 모두 현재의 과학적, 기술적 이해와 법칙에 따라 달성하기 어려운 목표를 추구합니다. 영구기관이 열역학 법칙에 어긋나는 것처럼, 암호화된 데이터를 분석하는 NDR의 목표도 암호학의 기본 원칙과 정보보안의 목적에 도전합니다.
  • 실용적 접근의 중요성: 물리학에서 영구기관의 추구가 실질적인 에너지 솔루션을 개발하는 데 있어서 교훈을 제공한 것처럼, NDR의 한계 인식은 보안 분야에서 보다 현실적이고 실용적인 접근 방식을 채택하는 데 도움을 줄 수 있습니다. 예를 들어, 암호화된 트래픽의 분석 대신 행동 분석, 메타데이터 분석, 엔드포인트 보안 강화 등 다른 방법을 탐구할 수 있습니다.

결론

NDR의 한계를 영구기관의 불가능성에 비유하는 것은, 현대 암호학과 정보보안의 기술적 한계를 넘어서려는 노력이 현재의 과학적 이해와 기술적 가능성 내에서 어떻게 평가되어야 하는지를 명확하게 보여줍니다. 이러한 비유는 보안 전문가들에게 현실적인 기대를 설정하고, 가능한 보안 대책을 신중하게 고려하며, 기술적 진보를 추구하는 동시에 그 한계를 인식하는 중요성을 상기시킵니다.

 


Cisco’ Encrypted Traffic Analytics

Cisco의 Encrypted Traffic Analytics (ETA)는 암호화된 트래픽에서 이상 징후를 탐지하는 기술로, 2017년부터 시작된 프로젝트입니다. 그러나 2018년을 거치며 진행된 여러 테스트와 발표에도 불구하고, 현재까지 뚜렷한 성과를 보이지 않고 있습니다.

이러한 상황에서, NIPS 에 대한 한계를 인지하고 네트워크 기반 위협 탐지(NDR) 분야의 새로운 도전을 응원합니다. 하지만, 열역학의 제2법칙을 위반하는 ‘영구기관‘ 개발과 같은 불가능한 주장이나 암호학의 기본 원칙에 대한 명확한 설명 없이 기술이 가능하다고 주장하는 것에는 신중한 의심이 필요합니다.

Cisco의 ETA는 황우석 박사 사건과 오버랩됩니다.

두 상황 모두에서 중요한 교훈은 과학과 기술 분야에서 정확성, 투명성, 그리고 윤리적 기준의 필요성을 강조합니다. 황우석 사건은 연구 결과의 조작과 윤리적 실패를 드러내며, 과학 커뮤니티 내에서 신뢰성 확보의 중요성을 상기시켰습니다.

반면, ETA의 경우는 정보보안 분야에서 기술의 효과와 한계를 명확히 인식하고, 신화나 과대평가된 믿음에 의존하기보다 검증된 접근 방식을 취하는 것의 중요성을 보여줍니다. 두 사례 모두, 철저한 검증과 공개적인 검토 과정을 통해 신뢰를 구축하는 것이 핵심임을 강조합니다.

NDR의 한계는 넘을 수 없다.

현재 이론과 기술로는 NDR이 제시하는 “네트워크의 모든 측면에서 비정상적인 활동을 식별하고 신속한 대응을 통한 위협 완화”라는 목표를 달성하는 것은 실현 불가능합니다. by PLURA

 

참고 내부 블로그

[1] WAF vs IPS vs UTM 비교하여 웹 공격 최상의 제품 선택하기

[2] 침입차단시스템(IPS) 이해하기

[3] 침입차단시스템(IPS) 분류 NIPS & HIPS & 하이브리드

 

참고 외부 블로그

[4] Cisco’ Encrypted Traffic Analytics (ETA)

[5] Why It’s Okay to Be Underwhelmed by Cisco ETA