본문 바로가기
IT 이론/정보보호

IDS/IPS, UTM, ESM, SIEM 의 비교

by 지식id 2018. 3. 25.
반응형

IDS/IPS(Intrusion Detection Systems / Intrusion Prevention Systems)

IDS 네트워크, 또는 호스트상의 트래픽과 로그들을 수집하여 분석하고 비정상 행위를 탐지한다. IPS는 IDS에서 좀 더 발전된 형태로 비정상 행위에 대해 실시간 대응까지 수행한다. 많은 패킷을 빠르게 분석해야 하므로 IDS보다 하드웨어적인 부하가 크다. IDS와 IPS는 기본적으로 소프트웨어지만 IPS는 소프트웨어가 내장된 일체형 장비로 나오기도 한다.


UTM(Unified Threat Management)

IDS/IPS, 그리고 방화벽 까지 아우르는 장비(또는 솔루션)이다. IDS나 IPS나 방화벽이나 모두 어떠한 기준을 가지고 비정상 행위에 대한 탐지 또는 대응(차단 등) 기능을 하는 것이다. UTM은 기본적인 IP/Port기반 접근제어부터 시작해서 트래픽 분석, 비정상행위 탐지, 실시간 대응까지 모두 수행한다. 

듣기에는 무척 좋기만 해 보이지만, 부정적으로 보자면 역할별로 모듈화 되어 있던게 하나로 뭉쳐진것 뿐이라고 볼 수도 있다. 단일실패지점(Single Point of Failure)이 될 수 있다는 문제점도 있다.


ESM(Enterprise Security Management)

여러 관제장비로부터 나오는 데이터를 한곳에서 관리할 수 있게 해 주는 솔루션이다. 방화벽, IDS, IPS 등에서 나오는 정보를 수집하여 대응이 필요한 데이터에 대해 알림을 주고 통계 데이터나 그래프, 리포트등을 제공한다. 관제 시스템에 개별적으로 탑재를 시켜서 전사 보안정책에 따라 중앙 통제도 할 수 있다.


SIEM(Security Information and Event Management)

ESM이 관제 종합 관리 시스템이라면, SIEM은 기업 정보에 대한 종합 관제 솔루션이라고 할 수 있다. 비슷한 개념이지만 더 고도화된 개념으로 통용된다. 보안 장비에서 생성되는 데이터 외에도 기업 전사시스템에서 발생하는 모든 이벤트를 수집하여 빅데이터 분석 수준으로 통합 분석한다.

단순히 ESM의 업그레이드판이라고 부르지 않고 굳이 비교우위, 비교열위를 구분 하자면 아래와 같다.



ESM 

 - 장점 : 중앙 통제, 정책 제어 기능 포함

 - 단점 : 로그를 ESM이 받아들일 수 있는 포맷으로 제공해야 함

SIEM

 - 장점 : 빅데이터 기반으로 비정형, 이기종 로그에 대한 통합 분석

 - ESM엔 기본적으로 중앙 통제, 정책 제어기능이 포함되어 있지만 SIEM에선 당연 사항은 아니다.


* SIEM은 업계에선 그냥 편하게 '심'이라고 읽는다.

반응형

'IT 이론 > 정보보호' 카테고리의 다른 글

전자투표의 요구사항 및 투표 방식  (0) 2018.03.25
커버로스(Kerberos)  (1) 2018.03.25
IDS(Intrusion Detection System)  (0) 2018.03.24
윈도우 레지스트리 루트키  (0) 2018.03.24
패스워드 크래킹 툴  (0) 2018.03.24

댓글