본 논문에서는 기존의 단일 보안 시스템의 Firewall과 IPS 시스템의 문제점 분석을 통하여 통합보안 시스템 강화가 비용 대비 효율적임을 나타내었다. 문제점 분석 결과 Firewall과 IPS 의 처리 시간 지연과 효율성 부재를 나타냈다. 따라서 개별 Firewall과 IPS 시스템과 통합 시스템으로 성능 평가를 하였다. 평가 결과 기존 시스템 보다 제안한 통합보안시스템이 응답 처리 시간에서는 평균 5배 이상 성능을 나타났고, 초당 세션 처리에서도 5배 이상 그리고 CPU 처리 성능에서는 6배의 처리 속도가 우수함을 나타냈다. 또한 여러 보안 정책들을 수용하였고, 유해 트랙픽 처리에서도 높은 성능을 나타났다. 결론적으로 본 논문에서는 통합 보안 시스템이 개별 시스템 강화 보다 경제적 측면, 관리적 측면, 물리적 측면, 시간적 측면, 공간적 측면 등 여러 측면에서 효율적임을 강조하였다.
본 논문에서는 기존의 단일 보안 시스템의 Firewall과 IPS 시스템의 문제점 분석을 통하여 통합보안 시스템 강화가 비용 대비 효율적임을 나타내었다. 문제점 분석 결과 Firewall과 IPS 의 처리 시간 지연과 효율성 부재를 나타냈다. 따라서 개별 Firewall과 IPS 시스템과 통합 시스템으로 성능 평가를 하였다. 평가 결과 기존 시스템 보다 제안한 통합보안시스템이 응답 처리 시간에서는 평균 5배 이상 성능을 나타났고, 초당 세션 처리에서도 5배 이상 그리고 CPU 처리 성능에서는 6배의 처리 속도가 우수함을 나타냈다. 또한 여러 보안 정책들을 수용하였고, 유해 트랙픽 처리에서도 높은 성능을 나타났다. 결론적으로 본 논문에서는 통합 보안 시스템이 개별 시스템 강화 보다 경제적 측면, 관리적 측면, 물리적 측면, 시간적 측면, 공간적 측면 등 여러 측면에서 효율적임을 강조하였다.
This paper showed that the integrated system to fortify security was much more efficient than the respective system through the analysis of problems from Firewall and IPS system in the existing security systems. The results of problem analysis revealed that there were the delay of processing time an...
This paper showed that the integrated system to fortify security was much more efficient than the respective system through the analysis of problems from Firewall and IPS system in the existing security systems. The results of problem analysis revealed that there were the delay of processing time and lack of efficiency in the existing security systems. Accordingly, their performance was evaluated by using the separated Firewall, IPS system, and the integrated system. The result of evaluation shows that the integrated security system this paper suggested is five times faster than the existing one in terms of processing speed of response. This paper demonstrated the excellence of the proposed security system is also more than fivefold in session handling per second and six times process speeding in the CPU processing performance. In addition, several security policies are applied, and it provided a fact that it gave an excellent performance when it comes to protecting from harmful traffic attacks. In conclusion, this paper emphasized that fortifying the integrated security system was more efficient than fortifying the existing one considering in various respects such as cost, management, time, space and so on.
This paper showed that the integrated system to fortify security was much more efficient than the respective system through the analysis of problems from Firewall and IPS system in the existing security systems. The results of problem analysis revealed that there were the delay of processing time and lack of efficiency in the existing security systems. Accordingly, their performance was evaluated by using the separated Firewall, IPS system, and the integrated system. The result of evaluation shows that the integrated security system this paper suggested is five times faster than the existing one in terms of processing speed of response. This paper demonstrated the excellence of the proposed security system is also more than fivefold in session handling per second and six times process speeding in the CPU processing performance. In addition, several security policies are applied, and it provided a fact that it gave an excellent performance when it comes to protecting from harmful traffic attacks. In conclusion, this paper emphasized that fortifying the integrated security system was more efficient than fortifying the existing one considering in various respects such as cost, management, time, space and so on.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
DDos 공격 등 이러한 공격에 대한 대응 방안으로 여러 해결책들이 있을 수 있지만 기존 보안 장비의 노후화와 성능 저하로 해킹이나 DDos 공격에 취약함으로 장비 업그레이드 측면을 고려하였다. 따라서 기존보안 장비의 취약성을 인식하고 새로운 보안 장비로 성능을 강화 시키는 것이다. 보안 장비 강화에 앞서 몇 가지 고려 사항들을 먼저 숙고 해 보아야 한다.
본 논문에서는 단일 기능을 수행하는 보안 장비 구입보다는 복합적인 기능을 지원 할 수 있는 통합 보안 장비가 더 경제성이 있다고 판단한다. 따라서 본 논문에서는 통합 보안장비 구축에 따른 비용 절감과 효율성 측면에서 제안한다. 제안한 통합 보안 시스템을 적용하기 위해 단일 장비 Firewall과 IPS를 대상으로 실험하고, 제안한 통합 장비 시스템으로도 실험하여 효율성을 나타낸다.
특히 DDOS 등 대량접속을 통한 공격은 서버 다운을 유발할 수 있는데 그 원인으로 지연(delay)과 효율성( efficiency)의 부재라 볼 수 있다. 따라서 본 장에서는 기존 보안 시스템의 지연과 효율성의 원인 분석을 하고 그 문제점을 해결하고자 한다.
따라서 이러한 문제들을 해결하기 위해 여러 해결책들을 강구해 보지만 현재 사용 중인 IPS-500 제품의 OS 업그레이드는 이미 중단 되었고, NS-500 제품은 2006년에 생산, 판매가 중단되어 H/W 장애 시 빠른 복구에 어려움과 기술 지원에 어려움이 나타난다. 따라서 이 문제 요소들을 해결하기 위해서는 새로운 시스템을 도입하는 것인데 단일 품목의 보안 기능보다는 가격 대비 성능으로 보았을 때 통합 기능이 있는 통합 보안 시스템을 강화하는 것이 적합하다고 판단하고 제안한다.
장비 구입에 따른 효율성으로서 가격 대비 성능이 얼마만큼 효율성을 갖는지 숙고해 보아야한다. 본 논문에서는 단일 기능을 수행하는 보안 장비 구입보다는 복합적인 기능을 지원 할 수 있는 통합 보안 장비가 더 경제성이 있다고 판단한다. 따라서 본 논문에서는 통합 보안장비 구축에 따른 비용 절감과 효율성 측면에서 제안한다.
본 장에서는 기존 보안 시스템의 보안 장비 강화로서 단일보안 장비 시스템인 Firewall과 IPS보안 장비 시스템 강화를 중점으로 보안 장비 시스템을 분석하고 이에 대한 보강책을 강구하는 방향을 모색 하고자 한다. 특히 DDOS 등 대량접속을 통한 공격은 서버 다운을 유발할 수 있는데 그 원인으로 지연(delay)과 효율성( efficiency)의 부재라 볼 수 있다.
제안 방법
기존 보안 시스템은 [그림 1]와 같이 L사의 단일 보안 시스템으로 도입 시기는 2003년 3월경으로 보안 업체 J사의 NS-500과 IDP-500를 도입하여 운영하고 있는데 그 시스템의 지연과 효율성을 중점적으로 분석하여 나타내고자 한다.
기존 시스템은 [그림 1]에서와 같이 단일 보안 장비로서 도입 시점이 2003년도로 초기 도입 사용 후 7년이 지난 현재의 시점에서 보안 장비 시스템의 성능 평가하기 위해 응답 속도와 초당 처리 세션을 평가해 보기로 한다. 응답 속도 평가 결과 [그림 2]와 같이 나타내었다.
[그림 1]에서는 단일 보안시스템이 도입했을 경우 L사의 경우처럼 방화벽의 DMZ 구간을 만들고 2곳의 Interface에 IPS를 설치하여야 함으로 내부사용자와 외부사용자의 공격에서 서버의 운영이나 전산자원을 보호하게 되는 반면 [그림 4]와 같이 통합 보안의 경우 한 단말에서 각 인터페이스 별로 방화벽 혹은 IPS 단일 정책을 적용하거나 각 인터페이스 별로 적절한 정책을 적용하므로 장비의 효율을 높일 수 있다. 또 다른 방안으로 웜 바이러스나 DDoS 공격 중 단순한 Flooding 공격 같은 경우 CPU자원을 사용하는 것 보다는 ASIC 기반의 단순처리로 해당 세션만 종료하므로 네트워크 전체가 사용하지 못하는 것을 미연에 방지하도록 제안한다. 그리고 효율성의 또 다른 측면으로 단일 제품을 운영함으로써 제품 기술에 따른 습득 시간, 관리 시간, 장애 점검 시간등 유지 보수 및 운영 관리에 대한 비효율성이 나타난다.
본 논문에서는 통합 보안 시스템의 효율적인 보안 정책 관리 모델을 적용하여 비용 절감 및 효율성 측면을 나타내었다. 또한 시스템이 통합 관리가 되면 기능적인 측면에서도 상호 보완이 이루어져 보다 강화된 보안을 유지 할 수 있고, 유지 보수면에서도 상당히 효율적임을 나타내었다.
제안한 방법은 기존 방식에서는 IPS - 방화벽 - IPS 인 경우 3 hop을 경유한다. 이에 비해서 제안한 방안은 1홉으로 네트워크를 구성함으로써 구간의 delay 감소하는 것이다. 또한 이때 통합 보안의 경우 [그림 4]와 같이 한 단말에서 각 인터페이스 별로 방화벽 혹은 IPS 단일 정책을 적용하거나 각 인터페이스 별로 적절한 정책을 적용하므로 장비의 효율을 높일 수 있다.
따라서 [그림 2]에서는 1개의 CPU로 처리함으로 상당한 지연(Delay)이 발생하였던 것을 [그림 5]에서 보는 것처럼 방화벽과 IPS을 통합하고 CPU를 각 특성에 맞게 정책으로 적용함으로써 지연(Delay) 문제를 해결 하였다. 제안한 방법은 기존 방식에서는 IPS - 방화벽 - IPS 인 경우 3 hop을 경유한다. 이에 비해서 제안한 방안은 1홉으로 네트워크를 구성함으로써 구간의 delay 감소하는 것이다.
방화벽과 IPS 시스템을 통합 보안 모델을 구성함으로써 단일 보안 시스템에 비해서 여러 측면에서 효율성이 있음을 나타낸다. 첫 번째로 IPS에 대한 정책으로 [그림 5]와 같이 IPS 내의 CPU 3개를 각각 기능 수행에 따라 분류함으로써 지연(Delay)의 문제를 해결 한다.
성능/효과
또한 통합보안 시스템이 네트워크에서 발생하는 delaly 문제가 해결됨을 볼 수 있었다. 4장의 실험 결과에서 나타낸 것 같이 제안한 시스템으로 평가한 결과 기존 시스템에 비해서 응답 처리 속도에서 평균 5배 이상 성능 향상을 나타내었고, CPU 사용량도 평균 10%로 6배 이상 효율성을 나타내었다. 또한 초당 처리세션에서도 5.
ROI 결과 L기업은 ESM를 적용하여 계산해 보았을 때 연간 138,000,000원 절감할 수 있고, 일일 업무시간 중 4.8 시간을 절약 할 수 있는 것으로 나타난다.
기존 시스템에서의 응답 처리 속도 문제로서 초당 세션 초과에 따른 CPU의 처리속도로 기존 시스템에서는 [표 5]와 CPU 1개로 처리하였는데 제안 시스템에서는 CPU 3개로 처리함으로써 기존 시스템의 평균 60∼70%에 비해서 제안 시스템은 평균 10% 사용을 나타냄으로서 6배의 CPU 처리 성능을 나타내며 [표 5]와 같이 CPU에 따른 사용량 비교를 나타내었다.
[그림 2]에서의 기존 보안 스템의 응답 속도와 제안한 시스템에서의 응답속도는 [표 4]와 같이 기존 시스템의 응답처리 속도는 평균 54인테 비해 제안 통합 시스템은 평균 10ms 내외로 [그림 6]과 같다. 따라서 제안 시스템에서는 처리 속도에 대한 평균 5배 이상의 처리 속도를 나타내어 지연 문제가 해결됨을 나타내었다.
또 다른 평가 결과로서 정책 기능 적용을 [표 6]와 같이 기존 보안 시스템 시스템과 제안 통합 보안 시스템에 대해 방벽 보안정책, DDos공격 차단정책, IPS 보안정책 기능 적용을 내부와 외부, DMZ에 정책적으로 적용한 것을 나타내었다. 결과에서 보는 것과 같이 기존 시스템에서는 미적용 되었던 DDos 공격 차단으로 외부에서 내부도 차단되었고, DMZ로 외부에서 내부로 적용 되었다.
물리적 측면에서 볼 때도 시설 설비 비용 및 공간 확보 등 여러 면에서 경제적인 효율성을 나타내었다. 또한 시간적 측면에서도 각 시스템 유지 관리에 대한 학습과 제어에 따른 시간적 측면 등 많은 경제적 효율성을 나타내었다. 따라서 통합보안 시스템으로 운영할 경우 여러 측면에서 효율성을 나타내었다.
본 논문에서는 통합 보안 시스템의 효율적인 보안 정책 관리 모델을 적용하여 비용 절감 및 효율성 측면을 나타내었다. 또한 시스템이 통합 관리가 되면 기능적인 측면에서도 상호 보완이 이루어져 보다 강화된 보안을 유지 할 수 있고, 유지 보수면에서도 상당히 효율적임을 나타내었다. 물리적 측면에서 볼 때도 시설 설비 비용 및 공간 확보 등 여러 면에서 경제적인 효율성을 나타내었다.
방화벽과 IPS 시스템을 통합 보안 모델을 구성함으로써 단일 보안 시스템에 비해서 여러 측면에서 효율성이 있음을 나타낸다. 첫 번째로 IPS에 대한 정책으로 [그림 5]와 같이 IPS 내의 CPU 3개를 각각 기능 수행에 따라 분류함으로써 지연(Delay)의 문제를 해결 한다.
7배의 성능을 나타내었다. 뿐만 아니라 보안정책에서도 기존 방화벽의 보안 정책들을 적용하였고 추가적으로 DDos 공격을 차단 기능도 강화하여 보다 안정적인 보안시스템으로 비용 대비 효율성의 우수함을 나타내었다.
따라서 본 논문에서는 통합 보안장비 구축에 따른 비용 절감과 효율성 측면에서 제안한다. 제안한 통합 보안 시스템을 적용하기 위해 단일 장비 Firewall과 IPS를 대상으로 실험하고, 제안한 통합 장비 시스템으로도 실험하여 효율성을 나타낸다. 2장에서는 관련 연구로 통합 보안 장비에 관련한 장점들을 기술하였고, 3장에서는 단일 장비Firewall과 IPS에 대해서 문제점을 분석한다.
후속연구
7배 이상을 나타낸다. 따라서 향후 트래픽을 고려한다 하더라도 향후 7~8년은 문제가 발생하지 않을 것으로 사료한다.
따라서 UTM은 방화벽, 가상 사설망(VPN), 침입 탐지 시스템 및 침입방지 시스템(IPS), 안티 바이러스, 안티 스팸과 같은 다양한 보안 기능을 단일 Appliance 형태로 구성해 관리의 복잡성을 최소화하고 복합적인 위협 요소를 효율적으로 방어하기 위해서 통합 보안 솔루션이 빠르게 성장해 왔다. 향후에는 대형 사이트에서 복잡해지는 보안기기에 대한 관리에 대한 어려움과 성능에 대한이슈로 복합적으로 처리해 주는 통합 시스템이 주요 보안 솔루션으로 자리 매김할 것이며 통합 보안 장비가 각광을 받게 될 것이라고 사료한다.
질의응답
핵심어
질문
논문에서 추출한 답변
최근 보안 시장의 가장 큰 이슈는 무엇인가?
최근 보안 시장의 가장 큰 이슈는 UTM이라는 다기능, 고성능의 통합 보안이다. UTM이 사용자의 요구사항을 충분히 만족시키는 고성능의 장비로 발전 한다면 더 이상의 보안 장비는 없을 것이라는 견해도 있다.
기업의 보안담당자들이 다양한 보안 솔루션을 도입해 온 이유는 무엇인가?
최근 발생한 7.7 DDos 공격 등 IT환경이 변하고 시대가 변할수록 금적적인 이익을 위한 사이버 위협과 공격은 점점 더지능화· 다양해지고 있으며 이러한 복잡한 공격들은 보안 담당자들에게 방어를 더욱 어렵게 만든다[1,2,3]. 이에 대응하기 위해서 기업의 보안담당자들은 다양한 보안 솔루션을 도입해 방어해 왔다.
UTM의 도입이 구축 및 운용에 있어 상당한 비용절감 효과를 나타내는 이유는 무엇인가?
보안 기능이 필요할 때마다 그 기능에 맞는 전용장비를 구입한다면 구입비용은 물론 유지보수 비용, 인건비 등 훨씬 더 많은 보안 예산이 필요하다. 따라서 UTM의 도입은 고가의 Point Solution을 구입할 필요가 없기 때문에 구축 및 운용에 있어 상당한 비용절감 효과가 나타난다. 비용절감 효과로서 ROI(Return on Investment)는 비용 절감 효과를 나타낸다.
참고문헌 (22)
최희식, 전문석, " DDos TCP Syn Flooding Backscatter 분석 알고리즘", 한국컴퓨터정보학회 논문지 제 14권, 제9호, 55-66쪽, 2009년 9월.
구민정, 오창석, "IPv6환경에서 DDoS 침입탐지", 한국컴퓨터정보학회, 제 11권, 제 6호, 186쪽, 2006년 12월.
Christos Siaterlis, Vasilis Maglaris, "One step ahead to multisensor data fusion for DDos detection," journal of Computer Security, v.13 n.5, pp.779-806, Oct. 2005.
윤재영, "네트워크 통합 보안 기술 및 시장 동향 : UTM 급속 확산, 경영과컴퓨터, 통권 364호, 120-123쪽, 2007년 2월.
임채호, "보안 위협에 따른 UTM 필요성 : 다양해진 보안 위협 대비 위한 UTM 장비 점차 각광", 경영과컴퓨터, 통권 365호, 140-143쪽, 2007년 3월.
서현석, "네트워크 보안 통합의 필요성 보안성 향상 비용 절감; 공격 고도화 UTM이 해답" ,Network times, 통권 제 179호, 224-226쪽, 2008년 7월.
정국용, " 네트워크 시스템의 통합보안 방안에 대한 연구", 서울산업대석사학위논문, 1-56쪽, 1996년.
Deawoo Park."A study about dynmic intelligent network security system to decrease by malicious traffic," International Journal of Computer Science and Network Security, V.6, N.9B, pp. 193-199, Sep. 2006.
Alan Murphy and Ken Salchow, "Applied Application Security -Positive and Negative Efficiency," F5 Networks, Oct. 2007.
천우성, 박대우, "DoS공격에 대한 N-IDS 탐지 및패킷 분석 연구", 한국컴퓨터정보학회 논문지,제 13권, 제 6 호, 217-224쪽, 2008년 11월.
Karen Scarfone, Peter Mell, "Guide to Intrusion Detection and Prevention System," Recommendations of the National Institute of Standards and Technology, Feb.2007.
이창우, 김석훈, 송정길, "분산 환경에서의 침입방지를 위한 통합보안 관리 시스템 설계", 한국컴퓨터정보학회논문지, 제 11권, 제 2호, 통권 제 40호, 75-82쪽, 2006년 5월.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.