> 네트워크 보안 > 특장점

소프트웨어 기반으로 비용을 최소화하였으며, 성능 저하 없이 변형하거나 축약하지 않은 PCRE 패턴
3,000개 이상 지원합니다.
PCRE
지금껏 PCRE를 제대로 지원하는 제품이 없었던 이유 ?

첫째, 패턴 개수가 100개 초과할 경우 성능 저하 발생
PCRE
패턴은 다양한 변종 공격을 방어할 수 있지만, 적은 개수의 패턴으로 모든 공격을 막을 수는 없습니다. 최소 500개 이상의 패턴이 지원되어야 다양한 공격을 방어할 수 있습니다. 하지만 기존 소프트웨어 제품의 기술로는 패턴의 개수가 100개를 넘으면 성능 부하로 트래픽 용량을 감당하지 못합니다. 이는 PCRE로 표현된 다량의 패턴을 빠른 시간 안에 탐색하는 기술이 개발되지 않았기 때문입니다. 많은 패턴을 동시에 비교하지 못하고 하나씩 비교하는 방식을 쓰면, 패턴의 개수 증가에 따라 탐색 시간도 비례하여 증가하므로 실제 망에서는 운영할 수 없습니다.


둘째, 성능 저하를 막기 위해 패턴을 변형하거나 축약하여 미탐지 발생
타 제품들은 속도를 높이기 위해 PCRE 패턴으로부터 문자열을 추출하여 검출하는 부분 검사 방식을 이용합니다. 이 방식은 성능 저하를 줄일 수 있지만 미탐지 발생률이 높아지므로 PCRE 기술을 지원한다고 볼 수 없습니다.


셋째, 하드웨어 기반 기술 사용으로 비용 증가
타 제품의 일부는 성능을 향상시키기 위하여 하드웨어 가속칩을 이용합니다. 가속칩을 사용하면 패턴의 개수 증가에 따라 메모리 사용도 동시에 늘어나기 때문에 결국 제품의 가격이 상승합니다. 또한, 별도 하드웨어를 장착하는 것은 제품 전체의 안정성을 침해하고 대용량 트래픽 처리 시 성능 저하를 야기하므로 운영의 신뢰성을 보장하기 어렵습니다.

타사 H/W기반 PCRE 설명

네트워크 보안의 중요성은 아무리 강조해도 지나치지 않습니다.
2009년 7.7 DDoS 대란이나 최근 3.3 DDoS 공격에서 알 수 있듯이 대규모 공격은 네트워크 환경에서 이루어 집니다. 이와 같은 보안사고에 대하여 PC 보안, 침해대응 분야에서는 사후 대응이 최선의 방법이었지만, 네트워크 보안은 사전 예방과 실시간 방어를 우선으로 합니다.


네트워크 보안 기술 중 가장 어려우면서도 중요한 분야는 침입 탐지 및 방어입니다. 이 기술의 핵심은 실시간 탐지와 방어의 정확도입니다. 지금까지는 누구도 혁신적인 기술을 제시하지 못했습니다.

기존의 보안 제품은 알려진 공격에 대해서는 문자열 시그너처(Signature) 기반 IPS 기능으로 방어가 가능하지만, 알려지지 않은 공격에 대해서는 방어가 어렵습니다. 또한, 보안 사고가 발생하더라도 보안 관제 등을 통한 빠른 대응이 최선이었습니다.

문제는 변형된 공격, 즉 변종 공격입니다. 문자열 시그너처는 공격 패턴을 약간만 변형하여도 탐지할 수 없습니다. 정규표현식(Regular Expression) 기반의 PCRE 패턴은 공격 패턴을 유형별로 일괄 표현하여 다양한 변종 공격들을 능동적으로 탐지할 수 있습니다. PCRE는 기술적 어려움이 있어 기존에는 완벽하게 구현된 제품이 없었습니다.


PCRE(Perl Compatible Regular Expression)는 널리 사용되는 정규표현식의 확장으로, 복수의 문자열을 전산 기호를 사용하여 수학적으로 일괄 표현합니다. 문자열 시그너처는 하나의 패턴으로 하나의 공격을 탐지하는데 반해 하나의 PCRE 패턴은 하나의 패턴으로 다수의 변형된 공격을 탐지합니다. PCRE 기능을 제대로 지원하려면 성능을 유지하면서 미탐지가 없도록 구현하는 것이 무엇보다 중요합니다.


종류 해결 방안 타제품 대응 수준
알려진 공격 문자열 시그너처 기반 방어
알려지지 않은 공격 보안 관제로 침해 대응,
네트워크 점유 형태 제한(DDoS)
변종 공격 정규표현식(PCRE 등) 적용 X

<표. 침입 탐지 및 방어의 구분과 대응>