Dream's Dream

Study/Network

TMS란?

Dream Amal 2025. 5. 15.

TMS 란?

공공기관 위협 관리 솔루션 (Threat Management System)

㈜정보보호기술에서 최초로 명명한 TMS는 2003년에 발생한 1·25 인터넷 대란을 계기로 각 기관에서 외부 위협으로부터 내부 정보자산을 보호하기 위해 위협을 조기에 감지하고 발생한 위협을 감소 또는 제거하는 것을 목표로 만든 통합보안관리 시스템 중에 하나다.

그렇다면 위협은 무엇인가?

위협은 정보자산의 보안에 부정적 영향을 줄 수 있는 외부환경 또는 발생 가능한 이벤트를 의미한다. TMS는 이러한 보안위협(서비스방해 공격, 인터넷 웜 확산, 정보유출 등)을 사전에 인지하고 조치함으로써 사후 복구에 따른 경제적·사회적 비용을 절감할 수 있는 솔루션이다.

TMS 구성 방안

1. 미러링 (Mirroring)

역할

  • 네트워크 트래픽을 복제하여 분석 장비(탐지 장비 등)로 전달.

특징

  • 탐지만 가능: 트래픽 복제본을 분석하므로 네트워크 본선에는 영향 없음.
  • 비파괴적: 네트워크 성능에 영향 없이 트래픽 상태를 확인할 수 있음.
  • 차단 불가: 복제된 트래픽은 분석에만 사용되며, 실시간 차단은 불가능.

사용 목적

  • 네트워크 트래픽 모니터링.
  • 로그 수집 및 트래픽 분석.
  • IDS(침입 탐지 시스템)와 함께 사용.

구성 방법

  • 스위치의 SPAN 포트(미러링 포트) 설정.
  • 복제된 트래픽을 분석 장비(TMS, IDS)로 전달.

2. TMS 탐지/차단 구성

역할

  • 네트워크 트래픽에서 악성 트래픽을 탐지 및 차단.

특징

  • 탐지 및 제어 가능: 미러링과 달리 트래픽을 분석하고, 필요하면 차단도 수행.
  • 탐지 정확도 의존: 잘못된 탐지 규칙으로 정상 트래픽을 차단할 위험 존재.
  • Inline 모드가 아닌 경우: 기본적으로 탐지만 수행하고, 차단은 수동으로 설정 가능.

사용 목적

  • 네트워크 보호(DoS/DDoS, 악성 IP 차단).
  • 이상 트래픽 식별.

구성 방법

  • TMS 장비를 네트워크 경로에서 트래픽을 모니터링할 수 있는 위치에 배치.
  • 차단이 필요하지 않은 경우, 탐지만 수행하도록 설정.

3. TMS Inline 구성

역할

  • 네트워크 트래픽이 TMS를 반드시 통과하도록 구성해 실시간으로 트래픽을 제어(탐지+차단).

특징

  • 탐지 및 즉각 차단: 악성 트래픽을 실시간으로 탐지하고, 네트워크 흐름을 중단.
  • 네트워크 의존성: TMS 장애 시 트래픽 흐름도 중단될 수 있으므로, 이중화 필요.
  • 지연 시간: 네트워크 트래픽이 TMS를 거치므로 약간의 지연 시간이 추가될 수 있음.

사용 목적

  • 실시간 트래픽 차단이 반드시 필요한 경우(예: DDoS 방어, 악성 트래픽 차단).
  • 네트워크 제어(ACL, QoS 등).

구성 방법

  • 네트워크 경로 상에 TMS를 배치(라우터-방화벽 사이 또는 경로 중간).
  • TMS를 Inline 모드로 설정.

4. TMS 로깅 매니저 서버 구성

역할

  • TMS 탐지 및 차단 이벤트를 로그로 저장하고, 분석 및 알림 기능 제공.

특징

  • 트래픽 분석 및 저장: TMS에서 탐지된 로그를 중앙 서버에서 보관.
  • 데이터 보존: 탐지 및 차단 데이터를 장기 보관.
  • 알림 및 대시보드: 로그를 시각화하거나 관리자에게 알림 제공.

사용 목적`

  • TMS에서 탐지된 이벤트를 저장하여 사후 분석.
  • 트래픽 추세 파악 및 보고서 생성.
  • 보안 감사 및 규제 준수(GDPR, PCI-DSS 등).

구성 방법

  1. 별도의 로깅 매니저 서버를 배치.
  2. TMS와 통신 설정(Syslog, API 등)으로 로그를 수집.
  3. 로그 분석 도구 설치(Kibana, Splunk 등).

구성별 주요 차이점 요약

구분 목적 탐지 차단 네트워크 의존성 구성 난이도
미러링 트래픽 복제 및 분석 가능 불가능 없음 쉬움
TMS 탐지/차단 구성 악성 트래픽 탐지 및 (필요 시) 차단 가능 수동 차단 가능 없음/낮음 중간
TMS Inline 구성 실시간 탐지 및 차단 가능 실시간 가능 높음 어려움
TMS 로깅 매니저 서버 구성 탐지 이벤트 저장 및 분석 로그 수집 불가능 없음 중간

함께 사용하는 방식

실제 환경에서는 위 방식을 혼합하여 사용합니다.

  • 미러링으로 트래픽을 분석(탐지만 수행).
  • TMS Inline 구성으로 실시간 차단 및 제어.
  • TMS 로깅 매니저 서버로 탐지/차단 기록을 저장하고 추후 분석.
728x90

'Study > Network' 카테고리의 다른 글

IGW와 NAT는 뭐가 다를까?  (0) 2024.12.19
SNI와 HTTPS: TCP Proxy 설정에서의 차이점  (0) 2024.07.08
[네트워크 기초] 네트워크 용어 총 정리  (3) 2024.04.08
[네트워크] 라우팅, 직접 해보자 1  (1) 2024.04.04
[네트워크 기초] 무선 네트워크  (0) 2024.04.03

댓글

티스토리툴바