728x90
반응형
SMALL
1. 네트워크 접근 제어 및 전송 보호
VPN (Virtual Private Network)
- IPsec VPN: 네트워크 계층 암호화 터널, 지사 간 연결
- SSL/TLS VPN: 응용 계층, 웹 브라우저 기반 원격 접속
- 목적: 공중망 상에서 안전한 통신 경로 확보
네트워크 접근 제어
- 802.1X: 포트 기반 네트워크 인증 (RADIUS/EAP 사용)
- NAC (Network Access Control):
- 내부 PC의 MAC 주소를 IP 관리 시스템에 등록
- 일관된 보안 정책 적용 (패치, 백신 등 검사)
- 비인가 단말 네트워크 접속 차단
- Port Security: 스위치 포트별 허용 MAC 주소 수 제한/바인딩
IPsec (Internet Protocol Security)
네트워크 계층(Layer 3)에서 동작하는 보안 프레임워크
프로토콜:
- AH (Authentication Header): 인증 + 무결성 (기밀성 ✗)
- ESP (Encapsulating Security Payload): 인증 + 무결성 + 기밀성 (암호화 ○)
운영 모드:
- Transport 모드: 페이로드만 보호, 원본 IP 헤더 유지 (종단 간 통신)
- Tunnel 모드: 전체 IP 패킷 캡슐화, 새 IP 헤더 생성 (VPN 게이트웨이)
프록시 서버 (Proxy Server)
- 기능: 클라이언트 대신 인터넷 서버 접속 (중계 서버)
- 주요 역할:
- 방화벽 기능 (접근 제어, 콘텐츠 필터링)
- 캐시 기능 (자주 요청되는 콘텐츠 저장, 속도 향상)
- 익명성 제공 (클라이언트 IP 은닉)
- 유형: Forward Proxy, Reverse Proxy
2. 침입 탐지·차단 및 경계 방어
방화벽 (Firewall)
- 기능: 네트워크 간 전송 정보 선별, 허용/차단 규칙 적용
- Network Firewall (L3/L4): IP·포트 기반 패킷 필터링
- Application Firewall (L7): 애플리케이션 계층 프로토콜·콘텐츠 제어
- 배치: 내·외부 네트워크 경계
웹 방화벽 (WAF; Web Application Firewall)
- 목적: 웹 기반 공격 방어 전용 (웹서버 특화)
- 방어 대상: SQL Injection, XSS, CSRF 등 웹 공격
- 배치: 웹서버 앞단
IDS (Intrusion Detection System) - 침입 탐지 시스템
- 기능: 비정상적인 사용·오용을 실시간 탐지 (경고만 발생, 차단 ✗)
- NIDS: 네트워크 패킷 분석 (SPAN/TAP 포트 사용)
- HIDS: 호스트 내부 파일·로그·레지스트리 모니터링
탐지 방식:
- 이상 탐지 (Anomaly Detection):
- 정상 행위 패턴 학습 후 벗어나는 행위 탐지
- 오탐률 높음 (정상을 123으로 정의하면 나머지 전부 탐지)
- 미지의 공격 탐지 가능
- 오용 탐지 (Misuse Detection / Signature-based):
- 알려진 공격 패턴(시그니처) 매칭
- 오탐률 낮음 (123만 공격으로 정의)
- 신종 공격 탐지 불가
IPS (Intrusion Prevention System) - 침입 방지 시스템
- 기능: 방화벽 + IDS 결합, 탐지 즉시 차단
- 배치: 인라인(inline) 방식, 트래픽 경로 상에 위치
- 특징: 실시간 차단, 오탐 시 정상 트래픽도 차단 가능 (정책 튜닝 필수)
3. 통합 보안 관리 및 자동화
ESM (Enterprise Security Management)
- 기능: 다양한 보안 장비(방화벽, IDS/IPS, VPN 등)의 로그·이벤트 통합 관리
- 목적: 중앙 집중식 보안 관제, 정책 일관성 유지
- 특징: 실시간 모니터링, 상관 분석, 대시보드 제공
SIEM (Security Information & Event Management)
- 기능: ESM의 진화형, 빅데이터 수준의 보안 데이터 장시간 심층 분석
- 특징:
- 인덱싱 기반 고속 검색
- 실시간 상관 분석 + 장기 보관·분석
- 위협 인텔리전스 연계
- 컴플라이언스 리포팅
- 예시: Splunk, IBM QRadar, ArcSight
SOAR (Security Orchestration, Automation and Response)
- 기능: 보안 오케스트레이션, 자동화 및 대응을 통해 IT 시스템 보호
- 주요 역할:
- 보안 이벤트 자동 대응 (플레이북 기반)
- 여러 보안 도구 통합·연계 (오케스트레이션)
- 반복 작업 자동화 (티켓 생성, 차단, 격리 등)
- 인시던트 대응 시간 단축
- 차이점: SIEM(탐지·분석) + 자동 대응·조치
- 예시: Palo Alto Cortex XSOAR, Splunk Phantom
보안 모니터링 도구
- Nmap: 포트 스캐닝·서비스 탐지 도구 (네트워크 매퍼, 취약점 점검용)
4. 데이터 보호 및 격리
DLP (Data Loss/Leakage Prevention)
- 목적: 내부 정보의 외부 유출 차단
- 기능:
- USB/외장 매체 제어 (읽기만 허용, 쓰기 차단)
- 이메일 첨부파일 검사·차단
- 클라우드 업로드 통제
- 출력/화면 캡처 제어
- 예시: USB 연결 시 USB→PC는 가능, PC→USB는 차단
Sandbox (샌드박스)
- 기능: 응용 프로그램을 가상 환경에서 독립적으로 실행
- 목적:
- 의심스러운 파일·프로그램 안전 분석
- 악성코드 행위 관찰 (시스템 영향 차단)
- 제로데이 공격 탐지
- 활용: 이메일 첨부파일, 다운로드 파일 검사
- 예시: Cuckoo Sandbox, 브라우저 샌드박스
5. 금융 보안
FDS (Fraud Detection System) - 이상금융거래 탐지 시스템
- 목적: 전자금융거래의 이상 거래(부정거래) 탐지 및 차단
- 탐지 대상:
- 비정상 로그인 패턴 (위치, 시간, 기기)
- 이상 거래 금액·빈도
- 계정 도용 시도
- 기술: 머신러닝, 행위 분석, 규칙 기반 탐지
- 활용: 은행, 카드사, 핀테크 서비스
6. 무결성 검증 및 포렌식
파일 무결성 모니터링
- Tripwire (FIM): 중요 파일/설정의 해시 베이스라인 생성 후 변경 감지
- 목적: 무단 변조·백도어 설치 탐지
호스트 보호
- HIPS (Host-based IPS): 호스트 레벨 행위 차단·정책 시행 (실행 제어, 프로세스 감시)
7. 메모리 보호 및 취약점 방어
스택 보호 기법
- StackGuard/Canary: 스택 리턴 주소 앞에 카나리 값 삽입, 오버플로우 시 감지·차단
- 목적: 버퍼 오버플로우 공격 방어
메모리 보호 기술
- DEP (Data Execution Prevention): 데이터 영역 코드 실행 방지
- ASLR (Address Space Layout Randomization): 메모리 주소 랜덤화로 공격 난이도 증가
8. 접근 제어 및 인증 강화
통합 인증
- SSO (Single Sign-On): 한 번 인증으로 여러 시스템 접근
- IdP (Identity Provider): 중앙 인증 서버 (SAML, OAuth 등)
다요소 인증
- MFA (Multi-Factor Authentication): 2가지 이상 인증 수단 결합
- OTP (One-Time Password): 일회용 비밀번호 (시간/횟수 기반)
- FIDO2: 생체인증·하드웨어 키 기반 표준
9. 기만 기술 및 위협 인텔리전스
허니팟/허니넷
- HoneyPot: 공격자 유인용 가짜 시스템
- HoneyNet: 여러 허니팟으로 구성된 네트워크
- 목적: 공격 패턴·기법 수집, 실제 시스템 보호
위협 인텔리전스
- Threat Intelligence Platform: 외부 위협 정보(IOC, TTP) 수집·공유·분석
- 활용: 선제적 방어, 보안 정책 강화
10. 네트워크 장비 보안
스위치 보안 기능
- ACL (Access Control List): 트래픽 허용/차단 규칙
- Storm Control: 브로드캐스트·멀티캐스트 폭주 억제
- BPDU Guard: STP 토폴로지 공격 방지 (비정상 BPDU 차단)
- DHCP Snooping: 비인가 DHCP 서버 차단
- Dynamic ARP Inspection: ARP Spoofing 방지
728x90
반응형
LIST