DLP, EDR, IPS, NAC, 방화벽 정책 순서, Firewall과 WAF
DLP (Data Loss Prevention, 데이터 유출 방지)
- 기능: 민감한 정보의 유출 방지
- 작동 방식: 데이터를 식별하고, 정책에 따라 전송, 복사, 출력 등을 통제
- 주요 기능: 개인정보나 기업 기밀 등 민감 정보가 이메일, USB, 클라우드 등으로 유출되지 않도록 감시하고 차단
- 사용 위치: 엔드포인트, 네트워크, 클라우드
중점: "데이터" 자체 보호
예시: 직원이 연구정보를 허가받지 않은 저장장치로 보내려 할 때 차단
EDR (Endpoint Detection & Response, 엔드포인트 탐지 및 대응)
- 목적: 엔드포인트(PC, 서버 등)의 위협 탐지 및 대응
- 작동 방식: 지속적인 모니터링 및 행동 분석을 통해 이상 징후 탐지
- 주요 기능: 악성 행위 탐지, 조사 대응 자동화
중점: "행위 기반 탐지와 대응"
예시: 사용자의 PC에서 이상한 프로세스가 실행되면 경고 및 차단
EDR의 기술적 분류:
- EDR은 엔드포인트 장치(PC, 서버 등)에 설치되어 이상 행위를 탐지하고 대응하는 시스템이므로, 전통적인 안티바이러스(AV) 또는 차세대 안티바이러스(NGAV) 와 같은 엔드포인트 보안 제품의 확장된 개념이라고 볼 수 있다.
- EDR은 단순 탐지를 넘어서 분석, 포렌식, 자동 대응까지 포함한다.
방화벽(Firewall)과의 차이점:
- 방화벽은 네트워크 트래픽을 제어해서 외부 위협을 차단하는 네트워크 보안 기술
- 반면, EDR은 내부에서 발생하는 이상 행위 탐지 및 조사에 중점. 이미 내부로 들어온 악성코드나 이상행위에 대한 사후 탐지 및 대응 역할이 강함.
IPS (Intrusion Prevention System, 침입 방지 시스템)
- 목적: 네트워크 기반의 공격 탐지 및 차단
- 작동 방식: 트래픽을 실시간 분석해 알려진 공격 패턴이나 이상 트래픽 차단
- 주요 기능: 시그니처 기반 탐지, 비정상 트래픽 차단
- 사용 위치: 네트워크 경계 또는 내부
중점: "네트워크 계층의 공격 차단"
예시: SQL 인젝션, XSS등 공격이 네트워크를 들어올 때 차단. DDOS 공격 차단
NAC (Network Access Control, 네트워크 접근 제어)
- 목적: 네트워크 접속 제어
- 작동 방식: 사용자의 기기, 인증 상태, 보안 상태 등을 확인해 접속을 허용 또는 제한
- 주요 기능: 사용자 인증, 장치 보안 검사, 접속 제어
- 사용 위치: 네트워크 진입점(스위치, 무선 AP 등)
중점: "접속 허용 여부 결정"
예시: 보안 업데이트 안 된 노트북은 사내망 접속 차단. 부서, 직급별로 네트워크 접근 권한 다르게 부여해 정보 접근 권한 제한. 등록되지 않은 단말기의 사내 네트워크 접속 차단
방화벽 정책 구성
방화벽이란
- 목적: 허용된 트래픽만 통과시키고 나머지는 차단
- 작동 방식: IP, 포트, 프로토콜 등을 기준으로 정책을 적용
- 주요 기능: 패킷 필터링, 상태 기반 검사, 애플리케이션 제어 (NGFW)
- 사용 위치: 네트워크 경계
중점: "기본적인 트래픽 필터링"
예시: 외부에서 내부로의 불필요한 포트 접근 차단
미리 정의된 보안 규칙에 기반해 트래픽을 모니터링하고 제어하는 보안 시스템
신뢰 구간이 다른 네트워크 구간들 사이에 놓여서 신뢰 수준이 낮은 네트워크로부터 오는 해로운 트래픽이 신뢰 수준이 높은 네트워크로 오지 못하게 막는 것
방화벽의 기본 Rule
1. 방화벽의 우선순위는 숫자가 낮을수록 우선순위가 높다.
예제 1
- [Rule 1]
1.1.1.1사이트 차단 ─ 우선순위10000 - [Rule 2]
1.1.1.1사이트 허용 ─ 우선순위10001 - 결과: Rule 1을 적용하여 사이트를 차단한다.
예제 2
- [Rule 1]
1.1.1.1사이트 허용 ─ 우선순위10000 - [Rule 2] 모든 사이트 차단 ─ 우선순위
10001 - 결과: Rule 1을 적용하여 사이트 접속은 가능하나 다른 사이트 접속은 불가하다.
2. 방화벽의 룰은 최소한의 원칙에 따라 적용된다.
상황
1.1.1.1사이트의 개발과 개선 업데이트를 위해22번 포트와 페이지 뷰를 위해80번 포트를 개방해야 한다.
잘못된 예
- [Rule 1]
1.1.1.1사이트22, 80번 포트허용 - 문제점: 목적이 2개이며, 독립된 활용이 가능한 영역이기에 룰이 하나이면 적용되면 안 된다.
올바른 예
- [Rule 1]
1.1.1.1사이트22번 포트허용 - [Rule 2]
1.1.1.1사이트80번 포트허용 - 결과: 각각 룰을 적용시켜야 한다.
3. 방화벽의 허용 혹은 차단에 대한 사유는 명확해야 한다.
상황
- 개발 부서에 있는 A씨가 DMZ 영역에 있는 개발서버 S에 원격 접속(SSH)을 위해
22번 포트의 개방이 필요하다.
잘못된 예 1
- [Rule 1] 출발지는 A씨가 연결된 전체 대역의 IP, 도착지는 개발서버 S의 22번 포트,
TCP 프로토콜개방 허용 - 문제점: 전체 대역의 IP를 개방하는 것을 허용하면 안 된다.
잘못된 예 2
- [Rule 1] 출발지는 A씨의 IP, 도착지는 개발서버 S의 IP 개방 허용
- 문제점:
TCP 프로토콜의 개방 허용/제한에 대한 명시가 부족하다.
올바른 예
- [Rule 1] 출발지는 A씨의 IP, 도착지는 개발서버 S의 22번 포트,
TCP 프로토콜개방 허용 - 결과: 모든 것이 잘 명시되어 있다.
방화벽 정책 구성 순서 및 원칙
방화벽 정책은 Top-down, First Match 방식으로 적용되므로, 정책의 순서와 구성 방식이 보안성과 운영 효율성에 매우 큰 영향을 미친다.
| 순서 | 원칙 | 설명 | 실무 예시 |
|---|---|---|---|
| ① | 가장 구체적인 정책을 최상단에 배치 | 방화벽은 Top-down, First Match 방식으로 동작. 조건이 구체적인 정책이 먼저 적용되어야 함 | 특정 내부 서버의 특정 포트를 외부 특정 IP에서 접근 허용하는 정책 |
| ② | Allow → Deny 순서로 배치 (Default Deny 환경) | 필요한 트래픽을 먼저 허용하고, 그 외는 모두 차단하는 구조 | HTTP/HTTPS, SMTP 등 명시적 허용 → 마지막에 전면 차단 |
| ③ | 정책 목적에 따라 그룹화 | 유사 목적끼리 묶어 구성하면 가독성과 관리 용이성 향상 | "개발 서버 접근", "인사부 접근", "임시 허용 정책" 등 |
| ④ | 임시 정책은 명확히 표시 및 관리 | 만료일, 설명 주석 등으로 구분하고 주기적으로 점검 | "임시 (2025-04-24까지)" 주석 추가, 스크립트로 자동 제거 가능 |
| ⑤ | 로그 기록은 전략적으로 설정 | 중요한 정책 중심으로 기록. 모든 로그는 성능 저하 유발 가능 | 외부 접근 정책, 주요 서버 관련 트래픽만 로그 활성화 |
| ⑥ | Any-to-Any 정책은 최소화하고 하단 배치 | 광범위한 허용 정책은 보안상 매우 위험하므로 최소한만 사용 | 운영 환경에선 제한적으로 사용하고, 꼭 하단에 위치 |
| ⑦ | 기본 차단(Default Deny) 정책을 최하단에 명시 | 명시적 허용 외 모든 트래픽을 차단 | Source: Any, Destination: Any, Service: Any, Action: Deny |
정책 설계 시 고려 사항
- 정책 이름 및 설명
→ 직관적인 이름과 설명 부여 (예:HR-Server-Access-Allow) - 정책 그룹/카테고리화
→ 벤더 기능 활용해 목적별로 정책 정리 - 정기 정책 검토 및 감사
→ 불필요한 정책 제거, 보안 환경 변경 반영 - 변경 관리 프로세스
→ 변경 시 승인 프로세스 및 변경 이력 기록 - 사전 테스트 및 검증
→ 테스트 환경에서 먼저 적용해 서비스 영향도 확인
정책 적용 순서 시각화 (Top-down Match)
+-------------------------------+ | ① 특정 허용 정책 | ← 구체적, 최상단
+-------------------------------+ | ② 일반 허용 정책 |
+-------------------------------+ | ③ 광범위 허용 (제한적으로) |
+-------------------------------+ | ④ 기본 차단 정책 (Default Deny) | ← 최하단
잘못된 정책 구성 예시
| 잘못된 구성 | 문제점 |
|---|---|
| 광범위 허용 정책이 상단에 위치 | 아래의 구체 정책이 적용되지 않음 |
| 임시 정책 만료 없이 지속 유지 | 장기적으로 보안 구멍 발생 가능 |
| 모든 정책에 로그 설정 | 방화벽 성능 저하 및 노이즈 증가 |
📝 팁: 방화벽 정책은 "명확성, 최소 권한, 가시성, 지속적 검토"의 원칙을 지켜야한다.
Firewall과 WAF의 차이점
기능 비교
| 기능 | 방화벽 (Firewall) | 웹 방화벽 (WAF) |
|---|---|---|
| 보호 대상 | 네트워크 계층(IP, 포트, 프로토콜) | 웹 애플리케이션 계층(HTTP/HTTPS 요청 내용) |
| 주요 기능 | 접근 제어, DDoS 일부 방어, VPN 관리 | SQL Injection, XSS 등 웹 기반 공격 방어 |
| 분석 계층 | OSI Layer 3, 4 | OSI Layer 7 |
| 탐지 방식 | IP/포트 기반 필터링, 패킷 분석 | HTTP 요청 내용 분석, 악성 패턴 감지 |
| 실무 예시 | 사내 네트워크 보호, 서버 접근 제어 | 웹사이트 보안, 사용자 입력값 기반 공격 방어 |
기술적 이해: 작동 계층 차이
- WAF는 OSI 7계층(애플리케이션 계층) 에서 작동하며,
쿠키 변조, URL 공격, SQL Injection, XSS와 같은 웹 기반 공격을 탐지 및 차단. - Firewall은 OSI 3~4계층에서 동작하며,
IP, 포트, 프로토콜 기준으로 네트워크 트래픽을 제어.
FTP, DNS, SMTP, SSH, TELNET 등의 서비스 보호에 적합.
레이어 7 DDoS 예시
- 웹서버가 HTTP 요청에 반응하여 페이지를 생성하도록 유도하고 (TCP SYN Flooding 등), 그 요청을 반복하여 서버 자원을 고갈시키는 공격
- WAF는 이를 식별하고 역방향 프록시(reverse proxy) 로써 요청을 필터링하여 보호.
선택 기준: WAF vs Firewall
| 항목 | 설명 |
|---|---|
| ✅ Firewall | 네트워크 접근 제어, 기본적인 보안 설정이 필요한 경우 |
| ✅ WAF | 웹 서비스에 특화된 보안, OWASP Top 10 대응이 필요한 경우 |
| ✅ 병행 사용 | 서로 보완적인 관계. 둘 다 사용하는 것이 보안상 최적 |
차세대 방화벽 (NGFW)
- 기존 방화벽 + 애플리케이션 제어 + 사용자 인증 + DPI + IPS/IDS 기능을 통합
- 일부 NGFW는 WAF 기능을 포함하거나 연동 가능
- 다계층 보안 전략 구현에 필수 요소
💬 요약 정리
- Firewall: 누가 접근하는가? (IP, Port 기반)
- WAF: 어떤 내용이 위험한가? (HTTP Payload 기반)
SOAR (Security Orchestration, Automation, and Response)
SOAR란?
SOAR는 다음 세 가지 보안 기능을 단일 플랫폼에서 통합 제공하는 개념:
- 보안 오케스트레이션 및 자동화 (SOA)
- 보안 사고 대응 플랫폼 (SIRP)
- 위협 인텔리전스 플랫폼 (TIP)
즉, 다양한 보안 툴과 프로세스를 통합하여 보안 위협에 빠르고 효율적으로 대응할 수 있도록 도와주는 시스템.
오케스트레이션 & 플레이북
시큐리티 오케스트레이션 (Security Orchestration)
- 서로 다른 보안 솔루션(방화벽, EDR, SIEM 등) 을 통합하여
위협 탐지 → 분석 → 대응 전 과정을 자동화 및 연결. - 예: SIEM에서 알림 발생 시, 자동으로 EDR을 통해 단말 격리 → 티켓 발행 → Slack 알림까지 실행
플레이북 (Playbook)
- SOAR 환경에서의 대응 시나리오(자동화된 업무 프로세스) 를 정의한 매뉴얼
- 공격 유형, 조건, 대응 도구, 우선순위, 워크플로우 등이 포함됨
- 비즈니스 로직 기반의 자동화 규칙 세트
📝 플레이북 = 보안 오케스트라의 악보
각 위협 유형별로 정의된 대응 절차를 따라 정확하고 빠르게 반복 가능한 대응을 가능하게 함
SOAR의 주요 효과
| 항목 | 설명 |
|---|---|
| 보안 운영 자동화 | 반복적인 알림 처리, 티켓 생성, 조치 수행 등을 자동화 |
| 위협 대응 속도 향상 | 인간 개입 없이 빠른 초기 대응 가능 |
| 플레이북 기반의 표준화된 대응 | 모든 위협을 일관된 기준으로 처리 |
| 다수의 보안 시스템 연계 | SIEM, EDR, Firewall, TIP 등과 연동하여 데이터 활용 극대화 |
| 보안 인력 피로도 감소 | 경보 과잉(Alert Fatigue) 해소 및 리소스 절약 |
예시 시나리오
📥 SIEM에서 의심스러운 로그인 이벤트 발생
➤ SOAR가 자동으로 사용자 단말에 EDR 명령 실행
➤ 악성 여부 분석 → 격리 or 무시
➤ 결과를 Slack 및 티켓 시스템에 자동 보고