기존 보안제품 IPS의 한계, “새로운 보안제품 ‘PCRE’로 극복한다“

요즘 대형 기업 및 금융 기관, 심지어 정부기관까지 해커들에 의해 자료를 대량 유출 당한 사건 사고 소식들이 들려오고 있다. 피해를 당한 업체 이름만 바뀐 똑같은 사건이 되풀이 될 수도 있는 상황인 것. 특히 한국의 보안 방식은 사이트의 안전은 보장하지 못하면서 사용자를 감시하는 데만 과도한 집착을 보이고 있는 문제점을 지니고 있다.

대안으로 꼽히는IPS(침입방지시스템)란 방화벽을 우회하는 공격을 막아주는 것으로서, 패킷의 데이터(payload)를 확인해 악성 코드를 포함하고 있다면 해당 패킷을 차단하는 보안시스템이다.

국내 대부분의 IPS 제품이 ‘대출’이나 ‘캐피탈’ 등을 비교하는 식으로 단순히 문자열의 포함 여부만으로 공격을 탐지하고 있기 때문에 해킹공격에 속수무책으로 당하고 있다. 이와 같은 문자열 시그너처 방식의 한계로 새로운 보안 제품에 대한 필요성이 높아지고 있는 가운데 최근 PCRE 패턴이 적용되는 보안 제품에 대한 관심이 높아지고 있다.

문자열 시그너처인 IPS제품이 하나의 문자열로 하나의 공격을 탐지하는데 반해 PCRE는 하나의 정규표현식으로 다수의 변형된 공격을 탐지한다. 아울러, 정규표현식인 PCRE 패턴을 사용하면 이론적으로 무한의 변종 패킷을 방어할 수 있다. “대.*리운전”과 같은 PCRE 정규표현식은 “대1리운전”, “대11리운전”, “대김수한무거북이와두루미리운전” 등 무한 개의 문자열을 나타낸다.

또한, PCRE 패턴은 널리 사용되는 공통된 문법체계에 따라 누구나 공격탐지 패턴을 생성할 수 있다. PCRE 패턴을 사용하면 IPS 공급 회사에만 의존하지 않고 제3의 전문 기관이나 국가 기관으로부터 공격 목록을 PCRE 패턴 형태로 제공 받을 수도 있다. 아울러, 지속적인 공격 목록의 업데이트가 용이하며, 각 제품의 개발사가 다르더라도 별도의 변환 작업 없이 업데이트를 빠르고 정확하게 모든 장비에 적용할 수 있어 기존 보안제품 한계의 대안기술로 그 필요성이 부각되고 있다.

<본 자료는 해당기관에서 제공한 보도 자료입니다.>
ⓒ donga.com, 무단 전재 및 재배포 금지