2020.01.09

네트워크 트래픽 분석을 위한 "프로토콜 분석기"의 용도와 선택 방법

Tim Ferrill | CSO
현재 기업 네트워크는 다수의 물리적 위치, 클라우드, 서버리스 애플리케이션까지 포괄해 복잡하다. 네트워크 활동을 모니터링하는 작업에 상당한 양의 계획과 설계가 필요하다는 의미다. 설계의 일부는 프로토콜 분석 스위트를 선택할 때 초기 평가 단계부터 시작한다. 

제품 선택의 상당 부분은 조직에 가장 중요한 기능에 따라 결정된다. 이미 알려진 또는 새로운 공격 방법에 대해 기존 분석 또는 머신러닝을 사용해 조기 경보할 수 있는 시스템 기능이나 회사 클라우드에 대한 지원이 필요할 수 있다. 공격이 확인된 경우 포렌식 분석이 필요할 수도 있다. 

 

ⓒ Getty Images Bank 


프로토콜 분석기란?

프로토콜 분석기(Protocol analyzer)는 IT 관리 및 보안 부서가 네트워크 트래픽을 캡처하고, 캡처한 데이터를 분석해 네트워크 트래픽 또는 발생 가능한 악의적 활동과 관련된 문제를 식별할 수 있게 해주는 도구다. 

이 트래픽 데이터는 기술자가 트러블슈팅 목적으로 실시간으로 관찰하거나, 경고 툴로 모니터링해 활동중인 네트워크 위협을 식별하거나, 네트워크 침해가 발견된 경우 포렌식 분석을 수행하기 위해 유지될 수 있다. 

최신 네트워크는 성능 및 보안의 이유로 설계를 통해 클라이언트와 서버간의 경로로 트래픽을 제한한다. 이는 컴퓨터 네트워크 초기에 널리 사용된 네트워크 허브를 넘어선 네트워크 스위치의 주요 기능으로, 회사 데이터를 훔치려는 악의적 시도 중 가벼운 것은 차단할 수 있다. 또한 기술적인 난이도도 높지않아 적합한 네트워크 분석을 할 수 있다. 

이 도구 중 다수는 네트워크 하드웨어나 소프트웨어 센서와 통합되어 네트워크 전체에 전략적으로 배치할 수 있다. 대부분의 경우, 네트워크 관리자는 스위치 포트 분석기(SPAN)를 켜고 스위치를 통과하는 네트워크 패킷을 단일 포트로 쉽게 미러링할 수 있다. 
 
프로토콜 분석기는 일반적으로 애드혹(ad hoc) 프로토콜 분석 툴과 엔터프라이즈 분석 툴 2종류로 나뉜다. 애드혹 프로토콜 분석 툴은 특정 문제에 대한 트러블슈팅이나 분석에 사용되며 최소한의 계획이나 전문지식으로 구현할 수 있으며 비용도 거의 혹은 아예 들지 않는다. 그러나 특정 프로토콜이나 호스트처럼 집중 분석에 가장 적합하며 전체 네트워크를 장기간 모니터링하는데 적합하지 않다. 

엔터프라이즈 분석 툴은 24시간 내내 회사 전체 인프라를 모니터링하는데 더 적합하며 네트워크 위협이 발생할 때 다양한 경고를 제공하는 옵션이 있다.


애드 혹 프로토콜 분석

보안 전문가는 인증 실패와 같은 네트워크 문제를 해결하거나 암호화가 충분한지 확인하기 위해 프로토콜 분석기를 분리해야 하는 경우가 있다. 애드 혹 프로토콜 분석 분야에서 한때 다양한 도구가 보안 및 네트워크 전문가의 관심을 끌기 위해 경쟁했다. 하지만 와이어샤크(WireShark, 이전 Ethereal)가 마이크로소프트 네트워크 모니터를 포함한 많은 경쟁 제품을 제치고 거의 독점하게 됐다. 

애드 혹 분석 도구의 가장 중요한 2가지 기능이 와이어샤크를 성공적으로 만든 2가지 핵심 기능이라는 것은 우연이 아니다. 두 기능 모두 사용이 쉽고 유연하다. 와이어샤크는 캡처 중에 또는 다양한 수준의 복잡성을 사용해 분석할 때 패킷을 필터링하는 기능으로, 초보자부터 숙련된 전문가까지 모두가 사용하기에 적합하다. 

오픈소스로 모든 주요 플랫폼에서 사용 가능하므로, 커뮤니티의 지원도 많다. 이러한 이점으로 비용이 장애가 되지 않으며 쉽게 이용할 수 있는 교육도 풍부하다. 

와이어샤크의 또 다른 이점은 여러 다른 프로토콜 분석 툴에서 캡처된 트래픽을 수집, 분석할 수 있다는 것이다. 이를 통해 예산 한도 내에서 기록의 특정 시간대에 네트워크 트래픽을 쉽게 검토할 수 있다. 단, 캡처된 트래픽이 있어야 한다. 


엔터프라이즈 프로토콜 분석

엔터프라이즈 프로토콜 분석은 주요 방식, 특히 규모 및 지속기간에서 애드 혹 분석과 다르다. 애드 혹 분석은 일반적으로 문제가 의심되거나 특정 네트워크 세그먼트, 서비스 또는 애플리케이션을 평가해야 할 때 수행한다. 엔터프라이즈 분석 스위트는 패턴을 식별하고, 이상을 탐지하고, 성능 병목 현상에 대한 통찰력을 제공하고, 알려진 공격 방법과 일치하는 트래픽 패턴을 경고하기 위해 가능한 많은 네트워크 트래픽을 소비해야 한다. 

프로토콜 분석 스위트를 결정할 때 고려해야 할 또 다른 측면은 솔루션을 네트워크 트래픽 모니터링용으로만 사용할 것인지, 또는 비즈니스 애플리케이션 및 서버의 감사 로그를 통합할 것인지의 여부다. 이 결정은 비용에 영향을 미친다. 어떤 솔루션을 선택할지와 툴을 사용할 관리자의 수를 결정하기 때문이다. 

조직의 사용자 구성은 라이선스 비용뿐만 아니라, 교육 요건 및 사용 사례에 주요한 영향을 미친다. 24시간 네트워크운영센터(NOC)를 이용하는 기업은 주 단위 메트릭스 및 시스템 경고에 의존하는 기업에 비해 중요한 위협 알림의 우선 순위가 다르다. 
 
나지오스(Nagios) 및 패슬러(Paessler) PRTG 같은 유명한 모니터링 솔루션은 프로토콜 트래픽, 데이터베이스 상태, 애플리케이션 가용성, 서버 가동시간 및 기타 데이터 포인트를 전체적으로 모니터링한다. 리버베드(Riverbed)와 엑스트라홉(ExtraHop)에서 제공하는 것과 같은 다른 솔루션은 네트워크 모니터링에 특화돼 있으며, 경우에 따라 더 포괄적인 기능 세트와 직관적인 UI를 제공한다. 


프로토콜 분석 솔루션 평가 방법

네트워크 전체에서 프로토콜 사용을 모니터링하는데 있어 첫 번째 난관은 네트워크 트래픽 소비를 가능하게 하는 것이다. 이 난관은 단일한 물리적 위치에 다수의 네트워크 세그먼트가 있는 회사에서는 복잡하지만, 여러 지리적 위치와 클라우드 기반 리소스를 모니터링 해야하는 경우에는 흥미로워진다. 

대부분의 엔터프라이즈급 프로토콜 분석 솔루션은 유연한 프로토콜 데이터 캡처가 가능하다. 네트워크에 주요 위치에 설치하거나 프로토콜 데이터를 모니터링 툴로 라우팅하는 네트워크 장치와 통합할 수 있는 소프트웨어 에이전트를 제공한다. 사용 가능한 캡처 방법에 필요한 노력과 다룰 수 있는 능력을 고려해야한다. 

프로토콜 분석 솔루션이 기업의 클라우드 유지에 대해 제공하는 가시성도 고려해야한다. AWS나 애저(Azure)에 상주하는 시스템은 더 중요한 비즈니스 서비스 중 일부일 수도 있고, 이러한 리소스에 대한 과도한 네트워크 트래픽이 발생하는 경우 악의적인 활동을 나타낼 뿐만 아니라 서비스 비용을 증가시킬 수 있다. 

다른 무엇보다 비즈니스 요구사항이 의사결정에 영향을 미친다. 사업이 고객의 재무 또는 건강 기록에 중점을 둔 경우 보안이 의사결정에 중요한 요소다. 침해 이후 포렌식 분석을 할 수 있는 트래픽 로그 보존, 새로운 위협 또는 네트워크 문제를 식별하는 이상징후 탐지, 조기 경보 시스템과 같은 기능이 가장 중요하다. 

다만, 서비스 업체든 콘텐츠 업체든, 또는 웹 기반 애플리케이션 업체든, 성능 지표가 핵심일 것이다. 

모든 비즈니스 정보 시스템은 사용자가 도출해낼 수 있는 만큼만 유용하듯이, 프로토콜 분석기도 마찬가지다. 시장의 많은 엔터프라이즈 프로토콜 분석 스위트는 맞춤화 할 수 있는 빌트인 대시보드를 제공한다. 

선택한 솔루션이 빌트인 분석 툴을 제공하더라도, 스플렁크(Splunk)나 데이터독(Datadog)같은 클라우드 기반의 분석 시스템에서 더 큰 가치를 얻을 수 있다. 여기에는 머신러닝을 활용해 이상을 탐지하고 프로토콜 분석 및 로그 모니터링과 같은 다양한 데이터 유형을 연관시키는 분석 툴이 포함된다. 이러한 서드파티 분석 솔루션을 사용하면 데이터를 보다 완벽하게 볼 수 있지만, 추가 라이선스 및 교육 비용이 필요하다. editor@itworld.co.kr 


2020.01.09

네트워크 트래픽 분석을 위한 "프로토콜 분석기"의 용도와 선택 방법

Tim Ferrill | CSO
현재 기업 네트워크는 다수의 물리적 위치, 클라우드, 서버리스 애플리케이션까지 포괄해 복잡하다. 네트워크 활동을 모니터링하는 작업에 상당한 양의 계획과 설계가 필요하다는 의미다. 설계의 일부는 프로토콜 분석 스위트를 선택할 때 초기 평가 단계부터 시작한다. 

제품 선택의 상당 부분은 조직에 가장 중요한 기능에 따라 결정된다. 이미 알려진 또는 새로운 공격 방법에 대해 기존 분석 또는 머신러닝을 사용해 조기 경보할 수 있는 시스템 기능이나 회사 클라우드에 대한 지원이 필요할 수 있다. 공격이 확인된 경우 포렌식 분석이 필요할 수도 있다. 

 

ⓒ Getty Images Bank 


프로토콜 분석기란?

프로토콜 분석기(Protocol analyzer)는 IT 관리 및 보안 부서가 네트워크 트래픽을 캡처하고, 캡처한 데이터를 분석해 네트워크 트래픽 또는 발생 가능한 악의적 활동과 관련된 문제를 식별할 수 있게 해주는 도구다. 

이 트래픽 데이터는 기술자가 트러블슈팅 목적으로 실시간으로 관찰하거나, 경고 툴로 모니터링해 활동중인 네트워크 위협을 식별하거나, 네트워크 침해가 발견된 경우 포렌식 분석을 수행하기 위해 유지될 수 있다. 

최신 네트워크는 성능 및 보안의 이유로 설계를 통해 클라이언트와 서버간의 경로로 트래픽을 제한한다. 이는 컴퓨터 네트워크 초기에 널리 사용된 네트워크 허브를 넘어선 네트워크 스위치의 주요 기능으로, 회사 데이터를 훔치려는 악의적 시도 중 가벼운 것은 차단할 수 있다. 또한 기술적인 난이도도 높지않아 적합한 네트워크 분석을 할 수 있다. 

이 도구 중 다수는 네트워크 하드웨어나 소프트웨어 센서와 통합되어 네트워크 전체에 전략적으로 배치할 수 있다. 대부분의 경우, 네트워크 관리자는 스위치 포트 분석기(SPAN)를 켜고 스위치를 통과하는 네트워크 패킷을 단일 포트로 쉽게 미러링할 수 있다. 
 
프로토콜 분석기는 일반적으로 애드혹(ad hoc) 프로토콜 분석 툴과 엔터프라이즈 분석 툴 2종류로 나뉜다. 애드혹 프로토콜 분석 툴은 특정 문제에 대한 트러블슈팅이나 분석에 사용되며 최소한의 계획이나 전문지식으로 구현할 수 있으며 비용도 거의 혹은 아예 들지 않는다. 그러나 특정 프로토콜이나 호스트처럼 집중 분석에 가장 적합하며 전체 네트워크를 장기간 모니터링하는데 적합하지 않다. 

엔터프라이즈 분석 툴은 24시간 내내 회사 전체 인프라를 모니터링하는데 더 적합하며 네트워크 위협이 발생할 때 다양한 경고를 제공하는 옵션이 있다.


애드 혹 프로토콜 분석

보안 전문가는 인증 실패와 같은 네트워크 문제를 해결하거나 암호화가 충분한지 확인하기 위해 프로토콜 분석기를 분리해야 하는 경우가 있다. 애드 혹 프로토콜 분석 분야에서 한때 다양한 도구가 보안 및 네트워크 전문가의 관심을 끌기 위해 경쟁했다. 하지만 와이어샤크(WireShark, 이전 Ethereal)가 마이크로소프트 네트워크 모니터를 포함한 많은 경쟁 제품을 제치고 거의 독점하게 됐다. 

애드 혹 분석 도구의 가장 중요한 2가지 기능이 와이어샤크를 성공적으로 만든 2가지 핵심 기능이라는 것은 우연이 아니다. 두 기능 모두 사용이 쉽고 유연하다. 와이어샤크는 캡처 중에 또는 다양한 수준의 복잡성을 사용해 분석할 때 패킷을 필터링하는 기능으로, 초보자부터 숙련된 전문가까지 모두가 사용하기에 적합하다. 

오픈소스로 모든 주요 플랫폼에서 사용 가능하므로, 커뮤니티의 지원도 많다. 이러한 이점으로 비용이 장애가 되지 않으며 쉽게 이용할 수 있는 교육도 풍부하다. 

와이어샤크의 또 다른 이점은 여러 다른 프로토콜 분석 툴에서 캡처된 트래픽을 수집, 분석할 수 있다는 것이다. 이를 통해 예산 한도 내에서 기록의 특정 시간대에 네트워크 트래픽을 쉽게 검토할 수 있다. 단, 캡처된 트래픽이 있어야 한다. 


엔터프라이즈 프로토콜 분석

엔터프라이즈 프로토콜 분석은 주요 방식, 특히 규모 및 지속기간에서 애드 혹 분석과 다르다. 애드 혹 분석은 일반적으로 문제가 의심되거나 특정 네트워크 세그먼트, 서비스 또는 애플리케이션을 평가해야 할 때 수행한다. 엔터프라이즈 분석 스위트는 패턴을 식별하고, 이상을 탐지하고, 성능 병목 현상에 대한 통찰력을 제공하고, 알려진 공격 방법과 일치하는 트래픽 패턴을 경고하기 위해 가능한 많은 네트워크 트래픽을 소비해야 한다. 

프로토콜 분석 스위트를 결정할 때 고려해야 할 또 다른 측면은 솔루션을 네트워크 트래픽 모니터링용으로만 사용할 것인지, 또는 비즈니스 애플리케이션 및 서버의 감사 로그를 통합할 것인지의 여부다. 이 결정은 비용에 영향을 미친다. 어떤 솔루션을 선택할지와 툴을 사용할 관리자의 수를 결정하기 때문이다. 

조직의 사용자 구성은 라이선스 비용뿐만 아니라, 교육 요건 및 사용 사례에 주요한 영향을 미친다. 24시간 네트워크운영센터(NOC)를 이용하는 기업은 주 단위 메트릭스 및 시스템 경고에 의존하는 기업에 비해 중요한 위협 알림의 우선 순위가 다르다. 
 
나지오스(Nagios) 및 패슬러(Paessler) PRTG 같은 유명한 모니터링 솔루션은 프로토콜 트래픽, 데이터베이스 상태, 애플리케이션 가용성, 서버 가동시간 및 기타 데이터 포인트를 전체적으로 모니터링한다. 리버베드(Riverbed)와 엑스트라홉(ExtraHop)에서 제공하는 것과 같은 다른 솔루션은 네트워크 모니터링에 특화돼 있으며, 경우에 따라 더 포괄적인 기능 세트와 직관적인 UI를 제공한다. 


프로토콜 분석 솔루션 평가 방법

네트워크 전체에서 프로토콜 사용을 모니터링하는데 있어 첫 번째 난관은 네트워크 트래픽 소비를 가능하게 하는 것이다. 이 난관은 단일한 물리적 위치에 다수의 네트워크 세그먼트가 있는 회사에서는 복잡하지만, 여러 지리적 위치와 클라우드 기반 리소스를 모니터링 해야하는 경우에는 흥미로워진다. 

대부분의 엔터프라이즈급 프로토콜 분석 솔루션은 유연한 프로토콜 데이터 캡처가 가능하다. 네트워크에 주요 위치에 설치하거나 프로토콜 데이터를 모니터링 툴로 라우팅하는 네트워크 장치와 통합할 수 있는 소프트웨어 에이전트를 제공한다. 사용 가능한 캡처 방법에 필요한 노력과 다룰 수 있는 능력을 고려해야한다. 

프로토콜 분석 솔루션이 기업의 클라우드 유지에 대해 제공하는 가시성도 고려해야한다. AWS나 애저(Azure)에 상주하는 시스템은 더 중요한 비즈니스 서비스 중 일부일 수도 있고, 이러한 리소스에 대한 과도한 네트워크 트래픽이 발생하는 경우 악의적인 활동을 나타낼 뿐만 아니라 서비스 비용을 증가시킬 수 있다. 

다른 무엇보다 비즈니스 요구사항이 의사결정에 영향을 미친다. 사업이 고객의 재무 또는 건강 기록에 중점을 둔 경우 보안이 의사결정에 중요한 요소다. 침해 이후 포렌식 분석을 할 수 있는 트래픽 로그 보존, 새로운 위협 또는 네트워크 문제를 식별하는 이상징후 탐지, 조기 경보 시스템과 같은 기능이 가장 중요하다. 

다만, 서비스 업체든 콘텐츠 업체든, 또는 웹 기반 애플리케이션 업체든, 성능 지표가 핵심일 것이다. 

모든 비즈니스 정보 시스템은 사용자가 도출해낼 수 있는 만큼만 유용하듯이, 프로토콜 분석기도 마찬가지다. 시장의 많은 엔터프라이즈 프로토콜 분석 스위트는 맞춤화 할 수 있는 빌트인 대시보드를 제공한다. 

선택한 솔루션이 빌트인 분석 툴을 제공하더라도, 스플렁크(Splunk)나 데이터독(Datadog)같은 클라우드 기반의 분석 시스템에서 더 큰 가치를 얻을 수 있다. 여기에는 머신러닝을 활용해 이상을 탐지하고 프로토콜 분석 및 로그 모니터링과 같은 다양한 데이터 유형을 연관시키는 분석 툴이 포함된다. 이러한 서드파티 분석 솔루션을 사용하면 데이터를 보다 완벽하게 볼 수 있지만, 추가 라이선스 및 교육 비용이 필요하다. editor@itworld.co.kr 


X