딥 패킷 검사(DPI)란?
심층 패킷 검사의 기능, 기술 및 사용 사례.
2023년 2분기 글로벌 위협 동향 보고서 전문가와 상담하기
심층 패킷 검사(DPI) 정의
패킷 스니핑이라고도 하는 심층 패킷 검사(DPI)는 네트워크의 체크포인트를 통과할 때 데이터 패킷의 콘텐츠를 검사하는 방법입니다. 일반적인 유형의 상태 저장 패킷 검사에서는 장치가 대상 인터넷 프로토콜(IP) 주소, 원본 IP 주소 및 포트 번호와 같은 패킷 헤더의 정보만 검사합니다. DPI는 장치가 인터페이스하는 각 패킷과 연결된 광범위한 메타데이터 및 데이터를 검사합니다. 즉, 검사 프로세스에는 헤더와 패킷이 전달하는 데이터를 모두 검사하는 것이 포함됩니다.
따라서 DPI는 네트워크 패킷 필터링을 실행하는 데 더욱 효과적인 메커니즘을 제공합니다. DPI는 정기적인 패킷 스니핑 기술의 검사 기능 외에도 데이터 유출 시도, 콘텐츠 정책 위반, 멀웨어 등과 같이 데이터 스트림 내에서 숨겨진 위협을 찾을 수 있습니다.
딥 패킷 검사의 작동 방식
DPI는 사용자, 관리자 또는 인터넷 서비스 제공업체(ISP)가 사전 프로그래밍한 특정 규칙을 사용하여 데이터 패킷의 내용을 검사합니다. 그런 다음 발견한 위협을 어떻게 처리할지 결정합니다. DPI는 위협의 존재를 식별할 수 있을 뿐만 아니라 패킷과 헤더의 콘텐츠를 사용하여 위협의 출처도 파악할 수 있습니다. 이렇게 하면 DPI가 위협을 시작한 애플리케이션이나 서비스를 정확히 찾아낼 수 있습니다.
DPI는 특정 온라인 서비스 또는 IP 주소에서 발생하는 네트워크 트래픽을 식별하고 경로를 변경할 수 있는 필터와 함께 작동하도록 설정할 수도 있습니다.
심층 패킷 검사 대 기존 패킷 필터링
기존 패킷 필터링은 각 데이터 패킷과 함께 제공되는 헤더 정보 내에 있는 내용만 읽을 수 있습니다. 이는 초기 기술 한계로 인해 필요한 기본적이고 덜 정교한 접근 방식입니다. 방화벽은 많은 데이터를 신속하게 처리할 수 없었기 때문에 더 많은 작업과 시간이 필요하고 네트워크 성능이 지나치게 저하되기 때문에 헤더 정보에만 집중했습니다.
그러나 새로운 기술이 등장하면서 패킷을 실시간으로 심층적으로 검사할 가능성이 생겼습니다.
심층 패킷 검사(DPI) 기술
IDS 기능이 있는 방화벽과 네트워크 보호를 위한 IDS 시스템 모두 DPI를 사용합니다. 이러한 기술에는 프로토콜 이상, IPS 솔루션, 패턴 또는 서명 일치가 포함됩니다.
프로토콜 이상
프로토콜 이상은 “기본 거부”라고 하는 접근 방식을 사용합니다. 기본 거부를 사용하면 콘텐츠가 사전 설정된 프로토콜에 따라 통과할 수 있습니다. 허용 가능한 프로필에 맞는 콘텐츠만 통과할 수 있습니다. 이는 악성으로 식별되지 않은 모든 것이 통과하도록 허용하는 것과는 다르며, 알려지지 않은 공격은 여전히 네트워크에 침투할 수 있습니다.
IPS 솔루션
IPS 솔루션은 실시간으로 위협을 차단할 수 있으며, 그 중 일부는 DPI를 사용합니다. 그러나 한 가지 문제는 IPS 솔루션이 때때로 오탐을 발생시킬 수 있다는 것입니다. 보수적인 정책을 사용하면 IPS의 영향을 줄일 수 있습니다. IPS는 오탐 경보를 나타내는 경향이 있습니다.
패턴 또는 서명 일치
패턴 또는 서명이 일치하면 데이터 패킷의 내용이 분석되고 이전에 식별된 위협 데이터베이스와 비교됩니다. 시스템이 위협 인텔리전스로 지속적으로 업데이트되면 공격에 대한 매우 효과적인 방어가 될 수 있습니다. 그러나 공격이 새로운 경우 시스템이 이를 놓칠 수 있습니다.
DPI의 이점
DPI는 더 나은 애플리케이션 가시성과 보호를 제공하기 때문에 시스템에 통합하면 몇 가지 이점이 있습니다.
DPI로 네트워크를 더 잘 관리할 수 있습니다. 데이터가 네트워크를 통과할 때 네트워크의 특성, 출처, 방향에 대한 방대한 정보를 전달합니다. DPI를 사용하면 방화벽을 프로그래밍하여 네트워크를 통해 이동하는 데이터를 검사하고 특정 데이터의 흐름, 라우팅 위치 및 처리 방식을 관리할 수 있습니다.
DPI를 사용하여 보안을 강화할 수도 있습니다. 해커는 특정 웹사이트 또는 애플리케이션을 사용하여 공격을 시작할 수 있습니다. DPI를 사용하면 특정 사이트 또는 애플리케이션에서 오는 모든 데이터를 완전히 차단하여 네트워크를 관련 위협으로부터 보호할 수 있습니다. 또한 데이터 패킷이 어디에서 왔는지 뿐만 아니라 페이로드 내에 무엇이 있는지 확인할 수 있습니다. DPI는 일반 방화벽에서 미끄러질 수 있는 위험한 데이터 패킷을 식별할 수 있습니다.
DPI는 또한 네트워크를 통해 흐르는 트래픽을 제어할 때 고급 옵션을 제공합니다. 예를 들어, 조직에서 VoIP(Voice over Internet Protocol) 또는 Zoom을 사용하는 경우 DPI를 사용하여 해당 트래픽의 우선순위를 지정할 수 있습니다. 통화 및 다자간 통화가 다른 트래픽에 의해 중단되는지 궁금해하는 대신 DPI를 사용하여 먼저 해당 데이터를 보낼 수 있습니다.
DPI는 보안 및 데이터 관리 이외의 활동에도 사용됩니다. 정부는 DPI를 사용하여 인터넷 중도절단 이니셔티브를 실행할 수 있습니다. 이 시나리오에서 DPI는 트래픽을 스캔하여 승인되지 않은 출처, 특히 국가 외부의 출처 또는 정부가 직원에게 위협이 된다고 간주하는 사이트에서 발생하는 전송을 차단합니다. 또한 DPI는 인터넷 통신 및 인터넷 데이터 마이닝을 도청하는 데 사용할 수 있습니다.
심층 패킷 검사를 위한 사용 사례
딥 패킷 스니퍼를 사용하는 방법은 다양합니다. DPI는 침입 탐지 시스템(IDS)을 단독으로 제공하거나 침입 방지 시스템(IPS)과 IDS로 작동할 수 있습니다. 또한 일반 방화벽이 탐지하지 못할 수 있는 특정 유형의 공격을 탐지할 수 있습니다.
회사에 노트북을 가져오거나 가상 사설 네트워크 (VPN)에 연결하는 데 사용하는 작업자가 있는 경우 DPI를 사용하여 스파이웨어, 웜 및 바이러스가 조직의 네트워크에 실수로 확산되는 것을 방지할 수 있습니다.
또한 DPI를 사용하면 자체 규칙을 설정할 수 있습니다. 이를 통해 작업자가 상호 작용할 수 있는 애플리케이션을 결정할 수 있습니다. 네트워크를 위협하거나 생산성을 저해할 수 있는 애플리케이션이 있는 경우 DPI를 사용하여 액세스 중인지 확인하고 들어오는 트래픽의 경로를 변경할 수 있습니다.
DPI는 또한 네트워크 트래픽을 더 잘 처리하여 시스템의 부담을 완화하고자 하는 관리자에게 유용한 도구입니다. 우선순위가 높은 메시지가 있는 경우 DPI를 사용하여 즉시 통과할 수 있습니다. 이렇게 하면 가장 중요한 메시지를 선호할 수 있습니다.
또한 어떤 패킷이 비즈니스에 가장 중요한지 결정하고, 일반 브라우징 패킷과 같이 덜 중요한 다른 패킷보다 우선 순위를 부여할 수도 있습니다. 또한, 조직이 P2P 다운로드의 부담을 극복하려고 한다면 DPI를 사용하여 이러한 특정 유형의 전송을 식별하고 데이터를 제한할 수 있습니다.
ISP는 DPI를 사용하여 공격자가 악성 요청을 방지하여 사물 인터넷(IoT) 장치를 악용하지 못하도록 방지할 수 있습니다. 이러한 방식으로 ISP는 DPI를 활용하여 IoT 장치에서 분산된 서비스 거부 공격(DDoS)을 차단할 수 있습니다.
멀웨어 차단
DPI는 위협 탐지를 위한 알고리즘과 결합한 다음 멀웨어를 차단하는 데 사용할 수 있습니다. 네트워크 에지에 차세대 방화벽 (차세대 방화벽 )이 있는 경우 DPI는 멀웨어가 네트워크에 침입하기 전에 멀웨어를 포착하여 자산을 위험에 빠뜨립니다.
또한 DPI는 관리자에게 전체 네트워크에 대한 가시성을 제공하고, 휴리스틱을 사용하여 활동을 분석하여 비정상적인 것을 식별할 수 있습니다. 휴리스틱스에는 잠재적인 위협을 나타낼 수 있는 평범하지 않은 것을 발견하기 위한 노력으로 데이터 패킷을 조사하는 것이 포함됩니다.
데이터 유출 차단
DPI는 또한 네트워크 종료를 시도할 때 아웃바운드 트래픽을 검사하는 데 사용할 수 있습니다. 따라서 기업은 데이터 유출을 방지하도록 설계된 필터를 설정할 수 있습니다. DPI를 사용하여 데이터가 어디로 이동하는지 확인할 수도 있습니다. 예를 들어, UniFi 딥 패킷 검사를 사용하면 데이터가 전송된 위치에 대한 데이터가 게이트웨이에 보관되어 수동으로 삭제할 때까지 검사할 수 있습니다.
이런 방식으로 DPI를 확인하는 방법을 알아보려면 특정 장치의 제조업체에 문의하십시오.
콘텐츠 정책 시행
DPI를 사용하면 애플리케이션 가시성이 향상되어 승인되지 않았거나 의심스러운 애플리케이션에 대한 액세스를 제한하거나 차단할 수 있습니다. DPI의 분석 기능을 사용하여 회사 정책을 위반하는 사용 패턴을 차단할 수도 있습니다. DPI는 또한 회사에서 승인한 애플리케이션에 특정된 데이터에 대한 무단 액세스를 차단하는 데 사용할 수 있습니다.
관련 주제
더 심층적인 패킷 검사 리소스
Explore how three customers leveraged Fortinet's dynamic cloud security to secure VPN connections and gain the necessary visibility and control across their cloud environments as they continue to work remotely.
전문가와 상담하기
양식을 작성해주시면 전문 담당자가 연락을 드릴 것입니다.