🔍 정보보안기사 | 침해사고분석대응 핵심 정리 (4-1편)
Snort · Suricata · iptables · IDS/IPS 탐지 방식 · 방화벽 구축 방법 · 배스천 호스트 · NAC · SSO · WAF · EDR · UTM · ESM · SIEM · SOAR · 사이버 위기 경보까지
침해사고분석대응 첫 번째 편을 완벽 정리합니다.
#정보보안기사
#침해사고분석대응
#Snort룰
#IDS오용탐지이상탐지
#방화벽구축방법
#ESM_SIEM_SOAR
#사이버위기경보
📋 목차
- 1. Snort — 모드 3종 · 룰 구조 · 페이로드 옵션 · Threshold
- 2. Suricata · iptables 기초
- 3. IDS 탐지 방식 — 오용 탐지 vs 이상 탐지 · 오탐 vs 미탐
- 4. IDS 유형 — HIDS vs NIDS · IPS
- 5. 방화벽 — 패킷 필터링 · Stateful Inspection · 애플리케이션 게이트웨이
- 6. 방화벽 구축 — 배스천 호스트 · 듀얼 홈드 · 스크린드 서브넷 · 스크린드 호스트
- 7. 보안 솔루션 총정리 — NAC · SSO · WAF · EDR · UTM · TrustZone · DRM · DLP
- 8. 보안관제 — ESM · SIEM · SOAR · CTI
- 9. 사이버 위기 경보 5단계 · Wireshark 필터 · 퍼징 · Nessus
- 10. 최종 요약
1. Snort — 모드 3종 · 룰 구조 · 페이로드 옵션 · Threshold
🔧 현직자 실무 포인트
Snort는 1998년 Martin Roesch가 개발한 오픈소스 NIDS의 표준입니다. 실무에서는 단독 사용보다 Suricata로 대체되거나 Snort 룰셋을 Suricata에 적용하는 방식을 많이 씁니다. Snort 룰 작성 능력은 침해사고 대응 실무와 시험 모두에서 필수입니다.
| Snort 모드 | 설명 |
|---|---|
| 스니퍼 모드 | 네트워크에서 패킷을 읽어 콘솔에 출력만 하는 모드 |
| 패킷 로거 모드 | 패킷을 디스크에 파일로 저장하는 모드 |
| 네트워크 침입탐지 모드 | 룰셋에 따라 공격을 탐지하고 경고 생성하는 모드 (핵심) |
| Snort 룰 구성 | 설명 |
|---|---|
| 룰 헤더 | 액션(alert/drop/log) · 프로토콜 · 출발지 IP · 출발지 포트 · 방향(→) · 목적지 IP · 목적지 포트 |
| 룰 옵션 | 괄호 안에 작성. content · msg · offset · depth · pcre · sid · rev 등 |
📋 Snort 페이로드 옵션 3종
content : 검사할 패턴 지정 (고정 패턴, 빠름)
offset : 검사 시작 위치 지정 (페이로드 첫 바이트 = 인덱스 0)
depth : offset부터 몇 바이트까지 검사할지 범위 지정
pcre : 정규표현식 패턴 매칭. content보다 느리지만 유연
예시) 10번째 바이트(인덱스9)부터 2바이트 검사: offset:9; depth:2;
| Threshold 타입 | 동작 |
|---|---|
| limit | 매 s초 동안 최대 C번째 이벤트까지만 액션 수행 |
| threshold | 매 s초 동안 C번째 이벤트마다 액션 수행 |
| both | 매 s초 동안 C번 발생 시 딱 한 번 액션 수행 |
🎯 시험 출제 포인트
- Snort = 1998년 Martin Roesch 개발 / 오픈소스 NIDS 대명사
- 패턴 매칭: content=고정 패턴·빠름 / pcre=정규표현식·유연·느림
- 룰 구성: 룰 헤더(액션·프로토콜·IP·포트·방향) + 룰 옵션(괄호 안)
- 페이로드 3종: content · offset · depth
- msg = 이벤트 발생 시 출력할 메시지 / sid = 룰 고유 번호
- Threshold 3종: limit · threshold · both
- 스니퍼=콘솔 출력 / 패킷로거=디스크 저장 / 침입탐지=공격 탐지 핵심
2. Suricata · iptables
오픈소스 IDS/IPS (Snort 개선)
🦁 Suricata (수리카타)
OISF(비영리단체) 개발. 2010년 발표. 멀티코어·멀티스레드 지원 → 대용량 트래픽 실시간 처리. Snort 룰과 완벽 호환. Snort의 단일 스레드 방식을 개선.
리눅스 넷필터 관리 도구
🔧 iptables
리눅스 커널 내장 netfilter 패킷 필터링 프레임워크 제어 도구. 기능: 패킷 필터링 · Stateful Inspection · NAT · 로깅. PROTO=UDP, DPT=161 → SNMP 필터링 로그
🎯 시험 출제 포인트
- Suricata = OISF 개발 / 멀티코어·멀티스레드 / Snort 룰 호환
- iptables = 리눅스 netfilter 관리 / 패킷 필터링·NAT·로깅
- iptables 로그에서 PROTO=UDP, DPT=161 → SNMP
- Stateful Inspection = 1990년대 초 이스라엘 체크포인트사 처음 상용화
3. IDS 탐지 방식 — 오용 탐지 vs 이상 탐지 · 오탐 vs 미탐
| 구분 | 오용 탐지 (Misuse Detection) | 이상 탐지 (Anomaly Detection) |
|---|---|---|
| 기반 | 시그니처(알려진 패턴) 기반 | 정상 행위 기준에서 벗어난 것 탐지 |
| 다른 이름 | 지식 기반 탐지, 시그니처 기반 탐지 | 행위 기반 탐지, 통계 기반 탐지 |
| 오탐률 | 낮음 | 높음 |
| 미탐률 | 높음 (알려지지 않은 공격 탐지 불가) | 낮음 (새로운 공격 탐지 가능) |
| Zero-Day 탐지 | 불가 | 가능 |
| 탐지 오류 | 설명 |
|---|---|
| 오탐 (False Positive) | 공격이 아닌 것을 공격으로 탐지. 불필요한 경보 발생 |
| 미탐 (False Negative) | 공격을 탐지하지 못함. 실제 위협 놓침 → 더 심각 |
🎯 시험 출제 포인트
- 오용 탐지 = 시그니처 기반 / 오탐 낮음·미탐 높음
- 이상 탐지 = 행위 기반 / 오탐 높음·미탐 낮음
- 오탐(FP) = 공격 아닌 것을 공격으로 / 미탐(FN) = 공격을 못 잡음(더 심각)
4. IDS 유형 — HIDS vs NIDS · IPS
| 유형 | 탐지 방법 | 대표 도구 / 설치 방식 |
|---|---|---|
| HIDS (호스트 기반) | 호스트에 저장된 로그 정보 분석 | 대표 오픈소스: Tripwire (파일 무결성 검사). 단일/다중 HIDS로 세분화 |
| NIDS (네트워크 기반) | 네트워크 패킷 분석 | 대표 오픈소스: Snort·Suricata. 주로 미러링 모드로 설치 |
| IPS (침입방지) | 탐지 + 실시간 차단 | IDS+방화벽 결합. 주로 인라인 모드로 설치 |
🎯 시험 출제 포인트
- HIDS = 호스트 로그 분석 / 대표: Tripwire
- NIDS = 패킷 분석 / 대표: Snort·Suricata / 미러링 모드
- IPS = 탐지+실시간 차단 / 인라인 모드
- IDS = 탐지 후 관리자 통보(수동) / IPS = 능동적 실시간 차단
5. 방화벽 — 패킷 필터링 · Stateful Inspection · 애플리케이션 게이트웨이
| 방화벽 방식 | 동작 계층 | 특징 |
|---|---|---|
| 패킷 필터링 | 3·4계층 | 출발지/목적지 IP·포트·프로토콜 기반 접근 제어. 가장 기본적인 방식 |
| Stateful Inspection (상태 검사) | 3·4계층 | 연결 상태 추적 테이블 유지 → 보안성·성능 향상. 체크포인트사 최초 상용화 |
| 애플리케이션 게이트웨이 (응용 게이트웨이) | 7계층 | 프로토콜별 프록시 데몬. 프록시 게이트웨이라고도 함. 응용 서비스 수준 제어·로깅 |
| 회선 게이트웨이 | 4계층 | 전송 계층 프록시. SOCKS 프로토콜 기반 |
📋 패킷 필터링 참조 정보 5가지
출발지 IP · 목적지 IP · 출발지 포트 번호 · 목적지 포트 번호 · 프로토콜
🎯 시험 출제 포인트
- 패킷 필터링 = 3·4계층 / 5가지 정보(출발지·목적지 IP·포트·프로토콜) 기반
- Stateful Inspection = 상태 추적 테이블 / 체크포인트사 최초 상용화
- 애플리케이션 게이트웨이 = 7계층 / 프록시 게이트웨이
- 회선 게이트웨이 = 4계층
6. 방화벽 구축 — 배스천 호스트 · 듀얼 홈드 · 스크린드 서브넷 · 스크린드 호스트
🏰 배스천 호스트 (Bastion Host)
중세 성곽의 가장 중요한 수비 지점. 침입 차단 소프트웨어가 설치되어 내부-외부 네트워크 사이에서 게이트웨이 역할. 프록시 서버, 인증, 로그 담당.
| 구축 방식 | 구성 및 특징 |
|---|---|
| 듀얼 홈드 게이트웨이 | 두 개의 NIC를 가진 배스천 호스트. 라우팅 기능 비활성화. 단순하지만 배스천 호스트 장애 시 전체 차단 |
| 스크린드 호스트 게이트웨이 | 인터넷 쪽에 패킷 필터링 라우터 1개 + 내부 네트워크 쪽에 배스천 호스트. 라우터와 배스천 호스트 두 단계 방어 |
| 스크린드 서브넷 게이트웨이 | 인터넷 쪽 라우터 + DMZ 구간 + 내부 쪽 라우터 + 내부 네트워크. 외부·내부 라우터 사이에 DMZ 형성. 가장 보안성 높음 |
🎯 시험 출제 포인트
- 배스천 호스트 = 게이트웨이 역할 핵심 호스트 / 프록시·인증·로그 담당
- 듀얼 홈드 = NIC 2개 배스천 호스트
- 스크린드 호스트 = 라우터 1개 + 배스천 호스트
- 스크린드 서브넷 = 라우터 2개 + DMZ / 가장 보안성 높음
7. 보안 솔루션 총정리
🔐 NAC
Network Access Control
단말 보안 상태 검사 후 접근 허용·격리. 오픈소스: PacketFence · FreeNAC
🔑 SSO
Single Sign On
한 번 로그인으로 여러 시스템 자동 인증. 통합 로그인 솔루션
🌐 WAF
Web Application Firewall
웹 공격(SQL Injection·XSS 등) 탐지·차단 전용. ModSecurity·WebKnight·CASTLE
🖥️ EDR
Endpoint Detection & Response
엔드포인트 프로세스 행위 기반 탐지·대응. 알려지지 않은 악성코드 탐지 가능
🛡️ UTM
Unified Threat Management
방화벽·IDS·IPS·VPN·안티바이러스 등 다양한 보안 기능 한 장비에 통합
📱 TrustZone
ARM 하드웨어 보안
ARM사 개발. CPU를 일반 구역과 보안 구역으로 분할. 모니터 모드 관리
©️ DRM
Digital Rights Management
디지털 콘텐츠 저작권 보호·사용 제어 기술
🚫 DLP
Data Loss Prevention
내부 데이터 외부 유출 방지. 네트워크 DLP + 엔드포인트 DLP
🕵️ ModSecurity
오픈소스 WAF
Trustwave SpiderLabs 개발. Apache·IIS 지원 공개 웹방화벽
🎯 시험 출제 포인트
- NAC 오픈소스: PacketFence · FreeNAC
- SSO = 한 번 로그인으로 다수 시스템 자동 인증
- WAF 공개 3종: KISA의 CASTLE / Acunetix의 WebKnight / Trustwave의 ModSecurity
- EDR = 프로세스 행위 기반 / 알려지지 않은 악성코드 탐지 가능
- UTM = 보안 기능 통합 / 장애 시 모든 기능에 영향이 단점
- TrustZone = ARM사 / CPU를 일반 구역 + 보안 구역으로 분할
- DLP = 데이터 유출 방지 / 네트워크 DLP + 엔드포인트 DLP
8. 보안관제 — ESM · SIEM · SOAR · CTI
📈 보안관제 솔루션 발전 순서
ESM → SIEM → SOAR| 솔루션 | 풀네임 | 특징 |
|---|---|---|
| ESM | Enterprise Security Management | 보안장비(방화벽·IDS·VPN 등)에서 보안 정보를 통합 수집·관리. 구성: 에이전트 → 매니저 → 콘솔 |
| SIEM | Security Information and Event Management | ESM의 진화형. 서버·네트워크·앱 등 더 넓은 범위 수집. 빅데이터 기반 상관관계 분석. 기능: 수집·분류·변환·분석 |
| SOAR | Security Orchestration, Automation and Response | 2015년 가트너 명명. 보안 오케스트레이션 + 자동화 + 인시던트 대응. 보안 인력 부족 대응 |
| CTI | Cyber Threat Intelligence | 전문가 집단이 분석한 증거 기반 위협 정보. SIEM·SOAR 등과 연동하여 위협 분석·대응 활용 |
📋 SIEM 4가지 기능
① 로그 수집 (에이전트·SNMP·syslog 이용) → ② 로그 분류 (유사 정보 그룹핑) → ③ 로그 변환 (표준 포맷으로 변환) → ④ 로그 분석 (상관관계 분석)
📋 ESM 구성 3요소
에이전트 (보안장비에 탑재, 데이터 수집 및 매니저 전달) → 매니저 (룰 기반 이벤트 분석·저장·콘솔 통보) → 콘솔 (시각적 전달·상황 판단·룰 설정 지휘)
🎯 시험 출제 포인트
- ESM = 보안장비 중심 / 구성: 에이전트→매니저→콘솔
- SIEM = ESM보다 넓은 범위 / 빅데이터 기반 상관관계 분석
- SIEM 기능 순서: 수집→분류→변환→분석
- SOAR = 2015년 가트너 / 보안 오케스트레이션+자동화+인시던트 대응
- 발전 순서: ESM → SIEM → SOAR
- CTI = 증거 기반 사이버 위협 인텔리전스
9. 사이버 위기 경보 5단계 · 보안관제 모니터링 · Wireshark · 퍼징
🚨 사이버 위기 경보 5단계 (국가사이버안전관리규정)
정상 → 관심 → 주의 → 경계 → 심각| 단계 | 기준 |
|---|---|
| 관심 | 피해 발생 가능성 증가 |
| 주의 | 침해사고 일부 기관 발생 |
| 경계 | 침해사고 다수 기관 발생 또는 ISP 망 장애·마비 |
| 심각 | 전국적 발생 또는 대규모 사고 |
| 보안관제 모니터링 | 내용 |
|---|---|
| 보안장비 모니터링 | 위협관리시스템·방화벽·IDS 이용 실시간 공격 정보·트래픽 확인 |
| 서버 모니터링 | 주요 시스템 가용성 점검 (Health Check) |
| 트래픽 모니터링 | 인터넷 주요 구간의 패킷 흐름 상태 관리 |
🔄 보안관제 대응 절차 순서
로그 파악 → 탐지 결정(보고) → 초동 조치 → 피해 범위 분석 → 차단 적용Q Wireshark에서 DNS 응답 패킷만 필터링하는 방법은?
→ dns.flags.response==1
response=0이면 쿼리, 1이면 응답. 캡처 필터는 BPF 구문, 디스플레이 필터는 Wireshark 고유 구문 사용.
Q 퍼징(Fuzzing)이란?
→ 무작위·비정상 데이터를 입력하여 오류 발생 여부로 소프트웨어 취약점을 찾는 테스트 기법. 도구를 퍼저(Fuzzer)라고 함.
Q Tripwire vs Nessus의 차이는?
→ Tripwire = 호스트 파일 무결성 검사 (대표 오픈소스 HIDS)
Nessus = 미국 Tenable사 개발 / 패스워드·TCP/IP 스택 등 종합 취약점 점검 상용 스캐너
🎯 시험 출제 포인트
- 사이버 위기 경보 5단계: 정상→관심→주의→경계→심각
- 경계 단계 = 다수 기관 침해 + ISP 망 장애
- 보안관제 대응 순서: 로그파악→탐지결정→초동조치→피해분석→차단
- Wireshark DNS 응답 필터: dns.flags.response==1
- 퍼징 = 무작위 데이터로 소프트웨어 취약점 탐색
- Tripwire = 파일 무결성 검사 / Nessus = 종합 취약점 점검
- 기본 계정·패스워드 변경 = 보안 장비 취약점 필수 점검 항목
- VTY 원격 접근 = IP 기반 접근 제어 필수
10. 📌 침해사고분석대응 4-1편 최종 요약
🎯 절대 암기 포인트
- Snort = 1998년 Martin Roesch 개발 오픈소스 NIDS 대명사
- Snort 패턴 매칭: content=고정·빠름 / pcre=정규표현식·유연·느림
- Snort 모드: 스니퍼=콘솔출력 / 패킷로거=파일저장 / 침입탐지=공격탐지
- Snort 룰 헤더: 액션·프로토콜·IP·포트·방향 / 룰 옵션: 괄호 안(content·msg·offset·depth)
- Threshold 3종: limit·threshold·both
- Suricata = OISF 개발 / 멀티코어·멀티스레드 / Snort 룰 호환
- iptables = 리눅스 netfilter 관리 / PROTO=UDP DPT=161 → SNMP
- 오용 탐지 = 시그니처 기반 / 이상 탐지 = 행위 기반
- 오탐(FP)=공격 아닌 것을 공격으로 / 미탐(FN)=공격을 못 잡음(더 심각)
- HIDS 대표: Tripwire(파일무결성) / 미러링 모드
- NIDS 대표: Snort·Suricata / 미러링 모드
- IPS = 탐지+차단 / 인라인 모드
- 패킷 필터링 = 3·4계층 / 5가지(출발지·목적지 IP·포트·프로토콜)
- Stateful Inspection = 상태 추적 테이블 / 체크포인트사 최초 상용화
- 애플리케이션 게이트웨이 = 7계층 프록시
- 배스천 호스트 = 게이트웨이 핵심 호스트
- 스크린드 서브넷 = 라우터 2개+DMZ / 가장 보안성 높음
- NAC 오픈소스: PacketFence·FreeNAC
- WAF 공개: CASTLE(KISA) / WebKnight / ModSecurity(Trustwave)
- EDR = 프로세스 행위 기반 / 알려지지 않은 악성코드 탐지
- UTM = 보안 기능 통합 장비
- TrustZone = ARM사 / 일반 구역+보안 구역 분할
- DLP = 데이터 유출 방지 / 네트워크+엔드포인트 DLP
- ESM = 보안장비 통합관제 / 에이전트→매니저→콘솔
- SIEM = 빅데이터 기반 / 기능: 수집→분류→변환→분석
- SOAR = 보안 오케스트레이션+자동화+인시던트 대응 (2015 가트너)
- 발전 순서: ESM→SIEM→SOAR
- 사이버 위기 경보: 정상→관심→주의→경계→심각
- 경계 = 다수 기관 침해+ISP 망 장애
- 보안관제 대응: 로그파악→탐지결정→초동조치→피해분석→차단
- Wireshark DNS 응답 필터: dns.flags.response==1
- 퍼징 = 무작위 데이터로 취약점 탐색
- Tripwire = 파일 무결성 / Nessus = 종합 취약점 점검