네트워크 보안이란?
내부 및 외부의 사이버 위협과 사이버 공격으로부터 컴퓨터 네트워크와 통신 시스템을 보호하는 데 중점을 둔 사이버 보안 분야.
학계 기준 : 인터넷이 어떻게 연결되고, 그 연결이 어떻게 속고, 깨지고, 감시되고, 복구되는지 연구하는 분야.
+ 네트워크 : 서로 통신하고 데이터를 공유하며 리소스를 교환하는 상호 연결된 장치의 시스템.
네트워크 보안 작동 방식
- 네트워크 리소스에 대한 무단 액세스 방지
- 진행 중인 사이버 공격 탐지 및 차단
- 권한이 있는 사용자가 필요한 네트워크 리소스에 안전하게 엑세스할 수 있도록 보장
네트워크 보안 분야
보안 설계
- 망분리 : 외부 인터넷망과 기업 내부의 업무망을 물리적/논리적으로 분리하는 것. 외부에서 접속해도 내부 중요 서버로는 접근하지 못하도록하는 것이 목적
- 방화벽 설계 : 네트워크의 길목(즉, 내부망과 외부망 사이, DMZ, 서버 앞 등)에 방화벽을 두고, 그 방화벽에 허용할 트래픽과 차단할 트래픽 규칙을 정해서 전체적으로 어떤 구조로 배치할지 설계
- VPN : 공용 인터넷을 통해 안전하고 암호화된 ‘가상 터널’을 만들어, 사용자가 마치 사설 네트워크에 직접 연결된 것처럼 데이터를 보호하고 익명성을 제공하는 기술
- Zero Trust : 내부 직원이라도 매번 신원을 꼼꼼히 확인하고 최소한의 권한만 주는 방식
- 클라우드 네트워크 : 가상 클라우드 환경에서 서버들이 안전하게 통신할 수 있도록 가상 방화벽(Security Group)이나 가상 서브넷을 구성하는 설계 기법
방어 운영 :
- 방화벽: IP 주소와 포트 번호를 확인해서 허가받지 않은 접근 차단
- IDS/IPS(침입 탐지/차단 시스템) : 방화벽을 통과한 패킷의 내용물을 검사하는 장비. 감시해서 알려주면 IDS(탐지), 스스로 막아내면 IPS(차단)이라고 한다.
- NAC(네트워크 접근 제어) : 네트워크에 접속하는 사용자 및 장치를 식별하고, 정책에 따라 접근을 허용하거나 차단
- WAF(웹 방화벽) : 오직 웹(HTTP/HTTPS) 트래픽만 정밀 검사
- 프록시 : 클라이언트와 서버 사이에서 중개 역할을 하는 서버
- DNS 보안 : DNS 요청과 응답을 암호화하거나 보호(DNSSEC)하는 기술
탐지.관제 :
- SOC (보안관제센터) : 기업의 보안 장비들을 모니터링하는 전문 조직이나 관제실
- SIEM (보안 정보 및 이벤트 관리) : 로그를 한곳에 모아서 분석해주는 시스템
- NDR (네트워크 탐지 및 대응) : 네트워크 전체의 트래픽 흐름을 감시하면서 데이터 흐름의 이상 징후를 포착함
- 로그 분석 : 서버나 장비에 남은 흔적(텍스트 기록)을 읽고 어떤 IP가 무엇을 건드렸는지 수동이나 자동 툴로 탐지함
- 패킷 분석 : 패킷을 Wireshart 같은 툴로 낚아채서 내부 데이터를 뜯어보는 분석법
- 위협 헌팅 : 보안 장비가 위협을 탐지하지 않아도 위협에 대한 가설을 세우고 내부 시스템을 능동적으로 수색하는 기법
특수 네트워크 :
- 클라우드 : 가상화된 인터넷 공간에 서버를 띄우는 인프라망
- 무선 : 와이파이, 블루투스, LTE, 5G처럼 선이 없는 통신망
- IoT : 신호가 공중으로 날아다니기 때문에 도청이나 중간자 공격(MitM)에 취약해 특수한 암호화 기술이 적용됨
- OT/ICS : 발전소, 신호등, 지하철 개찰구, 공장 라인처럼 물리적인 기계를 움직이는 제어망
- 5G : 자율주행이나 원격 의료 같은 핵심 인프라에 쓰이기 때문에 통신사 기지국과 코어망 장비 자체의 보안이 매우 삼엄함.
- 차량 : 바퀴 달린 자동차
-> 차량 내부 부품끼리 통신하는 CAN(카 네트워크) 망을 해킹하면 달리는 차의 브레이크를 원격으로 밟을 수 있다.
- 위성 통신 : 우주에 떠 있는 위성과 지상의 안테나가 주고받는 무선 통신망
-> 통신 거리가 매우 길고, 국가 안보나 GPS, 군사 네트워크와 직결되어 있기 때문에 군사급 암호화 기술이 사용된다고 한다.
네트워크 보안 학계의 핵심 세부 분야
프로토콜 및 인터넷 기반 인프라 보안 (Protocol & Infrastructure Security)
인터넷의 “도로·주소록·신분증”에 해당하는 기본 구조를 보호하는 연구
- DNS : 사람이 입력한 도메인을 IP 주소로 바꾸는 주소록
- BGP : 전 세계 네트워크끼리 패킷을 주고받을 때 사용하는 라우팅 체계
- TLS/HTTPS : 통신내용 암호화
→ 이 중 하나라도 잘못되면, 사용자는 정상 사이트에 접속한다고 생각하지만 공격자 서버로 연결되거나, 암호화가 중간에 약해질 수 있다.
(보안 설계, 방어 운영, 공격 이해)
보안 예시
- DNS : 공격자가 DNS 응답을 조작하면, 가짜 사이트로 이동할 수 있음
- BGP : 어떤 네트워크가 특정 IP를 공격자 컴퓨터로 보내라고 거짓 광고하면 트래픽이 납치될 수 있음
- TLS/HTTPS : 보안장비로 HTTPS를 중간에서 뜯어보는 과정에서 오히려 보안이 약해질 수 있음 ( 중간에서 뜯어보기 ⇒ 내용이 공개될 여지 O )
- QUIC/HTTP3 : TCP가 아니라 UDP 기반의 새 전송 프로토콜이 널리 쓰이면서 기존 탐지 방식이 어려워짐
네트워크 트래픽 분석 및 침입탐지(Network Traffic Analysis & Intrusion Detection)
패킷과 로그를 보고 정상 통신과 공격 통신을 구분하는 방법 연구. 공격자가 내부망에 들어오거나, 악성코드가 외부 서버와 통신하거나, 누군가 비정상적으로 포트를 스캔할 때, 그 흔적은 패킷과 로그에 남기 때문.
보안 예시
- IDS/NIDS : 패킷 흐름 구별 (정상? 공격?)
- 이상탐지 : 평소와 다른 DNS 질의, 포트 접속, 대량 연결을 찾는 경우
- 암호화 트래픽 분석 : HTTPS 내용은 못보지만, 접속 빈도, 길이, 시간 패턴으로 이상 여부 판단
- ML 기반 탐지 : 머신러닝으로 공격을 찾되, 오탐과 회피 문제를 줄임
(탐제. 관제, 침해 대응, 공격 이해)
인터넷 대규모 보안 측정(Internet-scale Security Measurement)
특정 취약한 장비가 전 세계에 얼마나 있는지, HTTPS 인증서 설정이 얼마나 잘못되어 있는지, 어떤 국가나 ISP에서 검열이 발생하는지, 어떤 IoT 장비가 노출되어 있는지 등을 대규모 데이터로 분석하는 분야
- 취약 장비 측정 : 인터넷에 노출된 오래된 라우터.카메라가 얼마나 있는지 조사
- 보안 프로토콜 베포율 측정 : TLS 1.3, DNSSEC, RPKI가 얼마나 쓰이는지 분석
- 인증서 생태계 분석 : 만료.오발급.약한 암호 설정이 얼마나 있는지 조사
- 인터넷 검열 측정 : 특정 국가에서 특정 사이트 접속이 차단되는지 측정
→ 전 세계 인터넷 건강검진하는거라고 이해하면 될 듯하다.
무선·모바일·IoT·CPS 보안(Wireless / Mobile / IoT / Cyber-Physical Network Security)
PC나 서버가 아니라 공유기, CCTV, 스마트홈 기기, LTE/5G 단말, 산업용 제어 장비처럼 네트워크에 연결된 장치를 다루는 분야. 일반 컴퓨터보다 자원이 부족하고, 업데이트가 어렵고, 물리적으로 외부에 노출되는 경우가 많아서 보안 문제가 자주 발생한다.
- IoT : CCTV나 공유기가 악성코드에 감염되어 DDoS 공격에 동원됨
- 모바일 네트워크 보안(LTE/5G) : LTE/5G 접속 과정에서 사용자 위치나 식별자가 노출될 수 있음
- 무선 프로토콜 보안(IoT/무선보안) : Wi-Fi, Bluetooth, ZigBee의 인증·암호화 문제 분석
- 산업망/제어망 보안(OT/ICS) : PLC, 센서, 제어장비가 잘못된 명령을 받지 않도록 보호
*** OT(운영 기술) : 물리적인 설비를 움직이는 시스템
*** ICS(산업제어시스템) : OT 안에서 장비들을 제어(PLC)하는 구체적인 시스템
→ 네트워크, 하드웨어/임베디드가 융합되어있다.