HOME > Customer Service > 테마테크
제 목 [보안]IDS의 한계
작성일 2003-05-20 조회수 9751
 

IDS제품은 기업이 침입을 탐지할 수 있도록 지원하는 것은 분명하지만, 공격이 증가함에 따라, 그 한계점이 보다 분명하게 드러나고 있다.

 

 

탐지는 가능하지만 방지는 불가능

nIDS는 네트워크로부터 따로 떨어져 있기 때문에 트래픽에 영향력을 행사하기 어렵다.
따라서 진행중인 공격을 중단시키거나 최소한 진행 속도를 늦출 수 있을 정도의 능력은 없다. 뿐만 아니라 매우 높은 경보 오류율을 감안할 때 경보의 정확성이 보장되지 않는 한 그 누구도 nIDS에 데이터 패킷 드롭을 맡기려 하지 않을 것이다.
따라서 공격을 직접 확인하는 작업이 반드시 필요하다.

 

 

해결까지 오랜 시간 소요

수동 개입의 필요성 그리고 엄청난 양의 데이터에 대한 세밀한 검사로 인해 침입 이벤트 시작에 대한 대응 시점이 늦춰지게된다.
위에서 언급한 바와 같이 취약성의 윈도를 최소화하기 위해서 즉각적인 조치가 요구된다.

 

 

과도한 로그 데이터

IDS는 모든 공격을 적극적으로 저지하지 못하기 때문에 비정상저이거나 의심스러운 네트워크 활동에 대한 수많은 리포트를 생성해야 한다.
네트워크 보안 관리자는 많은 시간을 들여 이들 로그뿐만 아니라 네트워크 트레이스 추적 및 기타 진단 메소드를 검토함으로써 실태 파악 및 조치 여부에 대해 판단해야 한다.
IDS 벤더의 자체 MSP(Managed Service Provider) 운영을 통해 문제 정도를 나타낼 수 있다. 한 벤더의 경우 3개월 동안 2,100만개의 경보를 발령했으나 실제 공격이 일어난 사례(문제 해경을 위한 후속 조치를 요구하는)는 1,442건에 불과한 것으로 나타났다.

 

 

경보오류

IDS를 운영해본 사람이라면 누구나 시스템이 진행 중인 침입이 보고된 처음 몇 차례는 초긴장 상태에 돌입했다가 그 이벤트가 양성인 것으로 판명됐을 때 허탈해 했던 경험을 모두 갖고 있을 것이다. 결국 나중엔 경보가 발령되어도 늑장 대응을 하게 되고 종국에는 귀찮은 것으로 치부하기도 한다.

nIDS는 단순히 양성 트래픽을 공격으로 잘못 판단하기도 하다(판정오류).
그러나 종종 이런 실수는 문제가 제기된 패킷을 검사하고 IDS가 잘못 판단했다는 결론을 내리기까지 많은 시간을 요구하게 된다.
또한 IDS의 서명과 일치하는 특정 트래픽 패턴을 식별했지만 그 패턴은 특정 해당 기업에서는 정상적인 패턴으로 판명되기도 한다(판정오류).
이러한 경보로 인해 네트워크 관리자는 권한이 있는 트래픽임에도 불구하고 공격으로 오인됨으로써 그 트래픽을 잠정적으로 중단시킬 수 있다.

더욱 심각한 경우, 경보 오류로 인해 사람들이 실제 침입상황에 대해 둔감해지게 된다. 2002년 네트워크 퓨전 월드 리포트는 ‘실제 공격이 발생할 때, 일부 (IDS) 제품은 오류 경보 리포트를 과도하게 발행함으로써 실제 공격을 놓치기 쉽다’고 결론을 내렸다.

 
이전 글 : [보안]슬래머 웜은 총알탄 바이러스
다음 글 : [보안]보안 침입 유형
            
 (주)에프네트 | 대표이사:전한일 | 사업자등록번호:116-81-69230 | 서울시 구로구 구로동 222-14 에이스하이엔드 2차 4층