1. IPS의 탄생 배경   인터넷을 기반으로 한 정보화 사회가 보편화되면서 IT 환경을 안전하게 보호하고 가용성(availability)을 보장하는 정보보호의 역할은 절대적입니다. 그러나, 최근 급증하는 웜, 바이러스, 서비스거부공격(DoS) 등의 악의적인 공격과 각종 유해 트래픽은 기존의 보안 제품이 감당하기 어려운 수준이 되면서, 인터넷의 효용성에 대한 근본적인 의구심마저 불러 일으킵니다. 인터넷에 등을 돌리는 지경에까지 이르게 하는 이런 위협은 인터넷 혁명을 완성하는 과정에서 피할 수 없는 거대한 장벽입니다. 이러한 시대적 상황은 정보보호의 새로운 패러다임 변화를 요구하고 있습니다.   『 기존 제품의 보강으로는 해결이 되지 않습니다 』 방화벽, 침입탐지, 바이러스 백신과 같은 대표적 보안 제품이나 네트워크 스위치 장비에서 방지 기능을 추가하고 있지만, 10년 전에 만들어진 제품의 개념으로는 단편적인 대책에 그칠 수밖에 없습니다. 봇물처럼 터지는 유해 트래픽과 악성 공격이 초고속 인터넷 망으로 급속도로 퍼지는 심각한 현실을 극복하려면 완전히 새로운 아키텍처로 핵심 보안 기술들을 접목하는 근본적인 대책이 필요합니다.   『 IPS는 새로운 패러다임의 제품입니다 』 이러한 시대적 여망에 부응하기 위해서 IPS (Intrusion Prevention System)가 등장하였습니다. IPS는 고성능 트래픽을 처리하는 하드웨어, 새로이 등장하는 웜과 바이러스를 막는 지능형 엔진, 고도화된 해킹 공격을 막는 침입방지엔진, 24시간 mission-critical 서비스를 보장하는 견고성 (robustness), 각종 유해 정보를 차단하는 어플리케이션 프레임워크(application framework) 등을 필수적으로 갖추어야 합니다. IPS는 정보보호의 새로운 지평을 여는 솔루션입니다.   『 IPS는 네트워크와 보안이 만나는 접점입니다 』 글로벌 네트워크는 거대한 하나의 플랫폼으로서 크고 작은 수많은 네트워크 세그먼트들로 구성되고 있습니다. 대부분의 IT 환경은 각종 위협적 행위에 노출되어 있으며, 수많은 유해 트래픽과 웜들이 이 플랫폼을 떠다니고 있습니다. 깨끗하고 안심할 수 있는 네트워크 환경을 구성하려면 초고속 네트워크 기술과 위협을 방지하는 보안 기술이 접목되어야 하며, IPS는 네트워크와 보안이 만나는 접점을 이룹니다. IPS는 네트워크의 초고속 하드웨어 성능과 보안의 고급 소프트웨어 엔진이 결합하는 새로운 차원의 제품입니다.     2. IPS의 필수 요건   진정한 IPS는 다음의 미션을 정확하게 수행해야 합니다.   『 Real-Time Deep Packet Inspection 』 IPS는 모든 패킷의 헤더뿐만 아니라 내용을 100% 분석하면서 패킷의 통과 여부를 실시간에 결정해야 합니다. 단 한 개의 패킷 손실도 용납되지 않으며, IPS의 성능 저하는 네트워크 환경 전체의 성능을 떨어뜨림은 물론 보안성에 치명적인 문제가 생깁니다.   『 Guaranteed , Packet-Size Independent Performance 』 패킷 사이즈가 작아질수록 성능이 떨어지는 CPU 기반의 시스템의 특성을 이용해서, DoS나 Flooding 공격들은 64 바이트 단위의 패킷으로 집중적으로 구성되는 경향이 있습니다. 패킷의 사이즈나 성격에 무관하게 성능이 보장되어야 가용성(Availability)을 유지할 수 있습니다.   『 모든 알려진 공격 패턴에 대한 실시간 방지 』 알려진 공격에 대해서는 최대한으로 축적된 데이터베이스를 갖추어야 하며, 실시간 방지를 위해서는 Signature 검사를 시간지연 (Latency) 없이 탐지해야 합니다. 언제든지 새로운 패턴을 업데이트할 체계를 갖춰야 하며, 각종 프로토콜별 공격 분석과 더불어 우회 공격에도 완벽하게 대응해야 합니다.   『 Unknown Attack에 대한 Anomaly Detection & Prevention 』 웜은 공격 패턴이 알려지기 전에 급속도로 전세계로 퍼지기 때문에, 어떠한 공격도 진입 자체를 막아야 합니다. 비정상행위(Anomaly)나 트래픽 현상를 탐지하면서 오탐율을 최소화하기 위해서는 다양한 변수를 가지고 환경에 적응하는 지능형 방어가 되어야 합니다.   『 Unknown Attack에 대한 Anomaly Detection & Prevention 』 궁극적으로 IPS는 In-Line에서 운용되며, IPS의 안정성과 견고성은 네트워크 전체에 영향을 줄 수 있습니다. 어떤 경우에도 성능이나 보안성에 영향을 주지 않아야 하며, 충분한 HA와 백업 기능을 가져야 합니다.   『 유해 트래픽에 대한 방어와 어플리케이션 통제 』 Peer-to-Peer, URL Filtering, 스팸메일 등은 쓸모없는 트래픽 발생으로 네트워크의 효율성을 크게 떨어뜨리며, 성능을 크게 저하시킵니다. 이를 실시간으로 쉽게 관리할 수 있는 서비스들이 지원되어야 합니다     3. 시큐어소프트가 진정한 IPS를 만들게 된 배경   IPS를 구현하기 위해서는 다음과 같은 기술적 자원과 경험을 보유해야 합니다. - 검증된 침입탐지엔진 - 풍부한 해킹 패턴과 업데이트 능력 - 방화벽/트래픽 처리 기술 - 24시간 inline 네트워크 제품 개발 경험 - 네트워크 및 정보보호 자산 운영 기술 이러한 핵심 기술을 바탕으로 IPS는 철저하게 하드웨어로 구현되어야 합니다. CPU 기반의 제품은 패킷 크기가 작을수록 성능이 급속도로 떨어질 수밖에 없으며, ASIC 기반의 제품은 유연성이 부족하고 코스트가 증대합니다. 따라서, 고용량 트래픽을 처리하기 위해서는 Network Processor와 다양한 programmable chipset과 ASIC의 통합적 설계를 필요합니다. 이에 기반해서 process flow와 cache memory 설계가 전문적으로 이루어져야 합니다. 24시간 가동 제품인 만큼 고품질 하드웨어와 생산 관리 능력을 필요로 함은 당연합니다. 특히 IPS 지능에 해당하는 엔진은 소프트웨어가 embed 됨으로써 구현됩니다. 이를 위해서는 소프트웨어와 하드웨어 설계가 초기부터 긴밀하게 이루어져서 자원의 배분과 효율적인 프로세스 설계를 기해야 합니다. 제품 개발에 있어서 가장 어려운 부분으로서 소프트웨어와 하드웨어 기술자가 긴밀하게 오랜 기간 팀웍으로 집중적으로 R&D에 매진해야 가능합니다. Absolute IPS도 결코 하루 아침에 이루어진 것이 아닙니다. 시큐어소프트는 그림 1에서 보듯이 9년 여에 걸쳐 검증된 자체 기술적 자산을 바탕으로, 하드웨어 일체형을 경험으로 한 소프트웨어/하드웨어 팀웍, 이를 바탕으로 한 집중적인 R&D로 성공적인 제품을 만들어낼 수가 있었습니다.