10Autonomous — 고급·운영Autonomous — 고급·운영
Autonomous Threat Prevention을 더 다듬고 운영하는 설정들 — 엔진 동작을 손보는 고급 설정, IPS·DB·엔진을 자동으로 최신화하는 정기 업데이트, 암호화된 SSH 트래픽까지 들여다보는 SSH Deep Packet Inspection, 전 세계 위협 인텔리전스를 공유하는 ThreatCloud, 그리고 로그를 보고 사건을 분석하고 문제를 풀어 나가는 모니터링·문제 해결·API 까지를 한자리에 모았습니다. 대부분 Custom 쪽과 짝을 이루며 같은 개념·같은 도구를 공유하므로, 한쪽을 알면 다른 쪽도 자연스럽게 이해됩니다. 다만 정책 설계의 수고를 6개 프로파일이 대신 짊어진다는 점만 다릅니다.
고급 Threat Prevention 설정 (Engine Settings)
엔진의 세부 동작은 Engine Settings 창에서 조정합니다. 여기서는 검사 엔진의 동작 방식, Check Point Online Web Service(ThreatCloud 저장소) 연동, 내부 메일 화이트리스트, Threat Extraction·Threat Emulation의 파일 형식 지원 같은 고급 항목 을 다룹니다. 이 창으로 들어가는 길은 다음과 같습니다.
Manage & Settings > Blades > Threat Prevention > Advanced Settings그러면 Threat Prevention Engine Settings 창이 열립니다.
Fail Mode — 엔진이 과부하·실패했을 때
ThreatSpect 엔진이 검사 도중 과부하에 걸리거나 내부 오류로 멈추면(예: Anti-Bot 검사가 중간에 끊기면) 트래픽을 통과시킬지 막을지 를 Fail Mode 로 정합니다. 기본값은 모두 통과입니다.
- Allow all connections (Fail-open) — 엔진 과부하·실패 상황에서 모든 연결을 허용 합니다(기본값).
- Block all connections (Fail-close) — 엔진 과부하·실패 상황에서 모든 연결을 차단 합니다.
기본적으로 하나의 Security Management Server가 관리하는 모든 Security Gateway는 관리 서버의 Fail Mode 설정을 똑같이 따릅니다. 그런데 R81.20부터는 malware_config 파일을 직접 손봐서 게이트웨이마다 개별로 Fail Mode를 정할 수 있습니다.
| 값 | 설명 |
|---|---|
by_policy | 기본값. Fail Mode를 정책이 결정합니다. |
open | 해당 게이트웨이는 엔진 과부하·실패 시 모든 연결을 허용합니다. |
close | 해당 게이트웨이는 엔진 과부하·실패 시 모든 연결을 차단합니다. |
특정 게이트웨이에 Fail Mode를 직접 지정하는 절차는 이렇습니다.
- Security Gateway의 명령줄에 접속합니다.
- Expert mode 로 로그인합니다.
- 현재 $FWDIR/conf/malware_config 파일을 먼저 백업합니다.
[Expert@HostName]# cp $FWDIR/conf/malware_config $FWDIR/conf/malware_config_ORIGINAL
- 원하는 Fail Mode를 지정합니다.
- 정책이 제어하도록(
by_policy):
- 정책이 제어하도록(
[Expert@HostName]# sed -ie 's/^fail_close=.*$/fail_close=by_policy/' $FWDIR/conf/malware_config
open으로:
[Expert@HostName]# sed -ie 's/^fail_close=.*$/fail_close=open/' $FWDIR/conf/malware_config
close로:
[Expert@HostName]# sed -ie 's/^fail_close=.*$/fail_close=close/' $FWDIR/conf/malware_config
Check Point Online Web Service
Check Point Online Web Service 는 ThreatSpect 엔진이 리소스(URL·파일)의 최신 분류 를 받아 올 때 쓰는 클라우드 서비스입니다. 게이트웨이는 받은 응답을 로컬에 캐시해 성능을 높이고, 캐시에 없을 때만 클라우드에 질의 합니다. 게이트웨이가 클라우드에 묻는 동안 연결을 허용할지 보류할지는 리소스 분류 모드(Resource classification mode) 가 정합니다. 이 설정들은 Anti-Virus·Anti-Bot·Zero Phishing 에 적용됩니다.
- Block connections when the web service is unavailable — 켜면 웹 서비스에 연결되지 않을 때 연결을 차단 하고, 끄면 그래도 허용 합니다(기본값).
분류 모드는 세 가지입니다.
- Background(분류 완료 전까지 허용) — 캐시로 분류할 수 없으면 일단 "uncategorized" 응답을 받아 연결을 허용 하고, 뒤에서 웹 서비스가 분류를 계속합니다. 분류가 끝나면 "Detect" 로그가 남고(설명: Connection was allowed because background classification mode was set), 응답은 다음 요청을 위해 캐시됩니다. 지연을 줄이는 기본 모드입니다.
- Hold(분류 완료 전까지 차단) — 캐시로 분류할 수 없으면 웹 서비스가 분류를 끝낼 때까지 연결을 막아 둡니다.
- Custom(서비스별로 다르게) — Anti-Virus·Anti-Bot·Zero Phishing에 서로 다른 모드 를 줍니다. 예를 들어 Customize 를 눌러 Anti-Bot은 Hold, 나머지는 Background로 설정할 수 있습니다.
Background를 Hold로 바꾸면, 게이트웨이는 파일을 손에 쥔 채 클라이언트 브라우저로 보내지 않습니다. 브라우저에는 다운로드가 진행 중인 것처럼 보이지만 어느 지점에서 멈춰 있습니다. 검사가 끝나거나 게이트웨이 쪽 타임아웃이 나야 다운로드가 이어지며, 악성 파일이면 게이트웨이가 전송을 중단 합니다.
Connection Unification — 로그를 세션 단위로 묶기
게이트웨이 트래픽은 엄청난 양의 활동을 만들어 냅니다. 로그가 감당할 만한 양에 머무르도록, 기본적으로 로그는 세션 단위로 통합 됩니다. 세션(session) 은 사용자가 어떤 애플리케이션·사이트에 처음 접근한 순간부터 시작되는 기간으로, 그 동안 게이트웨이는 애플리케이션·사이트마다 로그 한 개 만 기록하고 그 안의 모든 활동을 그 로그에 담습니다. Anti-Bot·Threat Emulation·Anti-Virus가 허용·차단한 연결의 기본 세션 길이는 10시간(600분) 입니다.
세션 길이를 바꾸려면 다음과 같이 합니다.
| 단계 | 내용 |
|---|---|
| 1 | Manage & Settings > Blades > Threat Prevention > Advanced Settings > General > Connection Unification > Session unification timeout (minutes) 로 이동합니다. |
| 2 | 원하는 값을 입력합니다. |
| 3 | OK 를 누릅니다. |
Anti-Bot 화이트리스트 — 내부 메일 검사 제외
Suspicious Mail 엔진은 나가는 메일을 검사합니다. Anti-Bot이 검사하지 않아도 되는 내부 메일 의 주소·도메인을 화이트리스트로 만들 수 있습니다.
| 단계 | 내용 |
|---|---|
| 1 | Manage & Settings > Blades > Threat Prevention > Advanced Settings > Anti-Bot 으로 이동합니다. |
| 2 | + 기호를 눌러 주소나 도메인을 추가합니다. |
이 창에서 항목을 편집하거나 삭제할 수도 있습니다.
파일 형식 지원 (Threat Emulation·Threat Extraction)
Autonomous Threat Prevention에서 Threat Emulation·Threat Extraction의 파일 형식 지원은 Engine Settings에서 설정하지 않습니다. 대신 다음 경로에서 다룹니다.
Security Policies > Autonomous Policy > File ProtectionsIPS 최적화 — 성능 영향 관리
IPS는 네트워크를 위협으로부터 지키는 강력한 솔루션입니다. 튜닝할 때 알아 둘 점은, Check Point가 성능 영향과 심각도를 HTTP·DNS·SMTP 같은 프로토콜에 더 무게를 둔 업계 표준 트래픽 조합 으로 평가한다는 사실입니다. 내 망에 다른 프로토콜 비중이 높다면 그만큼 검사 영향·위험도를 다르게 가늠해야 합니다.
게이트웨이는 망을 지키느라 많은 일을 하므로, 트래픽이 몰리는 순간에는 보안 기능이 트래픽을 빠르게 흘려보내는 능력 을 짓누를 수 있습니다. IPS는 보안 요구와 성능 사이의 균형을 잡는 기능을 갖추고 있습니다.
Bypass Under Load — 과부하 시 검사 우회
Bypass Under Load 를 켜면, 망 사용량이 무거운 동안 IPS 활동을 잠시 내려놓아 연결성과 성능을 지킵니다. 패킷 검사 시간은 보통 체감되지 않지만 과부하에서는 치명적일 수 있는데, 이때 IPS가 트래픽을 검사 없이 통과시키고 자원이 허용 수준으로 돌아오면 검사를 재개 합니다.
설정 절차는 다음과 같습니다.
| 단계 | 내용 |
|---|---|
| 1 | SmartConsole에서 Gateways & Servers 를 누르고 Security Gateway를 더블클릭합니다(General Properties가 열림). |
| 2 | 좌측 트리에서 IPS 를 누릅니다. |
| 3 | Bypass IPS inspection when gateway is under heavy load 를 선택합니다. |
| 4 | IPS가 꺼진 동안의 활동을 기록하려면 Track 목록에서 추적 방식을 고릅니다. |
| 5 | "무거운 부하"의 정의를 정하려면 Advanced 를 누릅니다. |
| 6 | High 필드에 Heavy Load로 볼 CPU Usage·Memory Usage 백분율을 넣습니다. 이 지점을 넘으면 IPS 검사가 우회됩니다. |
정기 업데이트 (Scheduled Updates)
Check Point는 보호 업데이트가 나오면 게이트웨이에 자동으로 적용 되기를 바랍니다. Anti-Virus·Anti-Bot·Threat Emulation·IPS 에 대해 자동 게이트웨이 업데이트를 설정할 수 있습니다.
- Anti-Virus·Anti-Bot·Threat Emulation — 게이트웨이가 Check Point 클라우드에서 직접 업데이트를 내려받습니다.
- IPS — R80.20 이전에는 업데이트가 Security Management Server로 내려와, 정책을 설치해야만 게이트웨이가 적용할 수 있었습니다. R80.20부터는 게이트웨이가 직접 내려받습니다. 다만 인터넷이 없는 R80.20 이상 게이트웨이 는 여전히 정책을 설치해야 업데이트가 적용됩니다.
게이트웨이에서 IPS 자동 업데이트를 설정하면, 새로 내려받은 보호의 액션은 기본적으로 프로파일 설정을 따릅니다.
기본 주기는 다음과 같습니다.
| 대상 | 기본 주기 |
|---|---|
| IPS·Anti-Virus·Anti-Bot | 2시간마다 |
| Threat Emulation 엔진 | 매일 05:00 |
| Threat Emulation 이미지 | 매일 04:00 |
로컬 캐시 크기 바꾸기
Threat Emulation이 로컬 캐시에 보관하는 파일 해시 개수 는 다음과 같이 조정합니다.
| 단계 | 내용 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Threat Prevention > Advanced Settings 를 엽니다. |
| 2 | Threat Emulation 탭 > Advanced Settings 로 이동합니다. |
| 3 | Number of file hashes to save in local cache 에서 캐시에 저장할 해시 수를 정합니다. |
| 4 | OK 를 누르고 정책을 설치합니다. |
정기 업데이트 설정하기
정기 업데이트는 다음 경로에서 설정합니다.
Security Policies > Threat Prevention > Autonomous Policy > Autonomous Policy Tools| 단계 | 내용 |
|---|---|
| 1 | Updates 로 이동합니다. |
| 2 | 원하는 Software Blade 구역에서 Schedule Update 를 누릅니다(Scheduled Updates 창이 열림). |
| 3 | Enable \<blade\> scheduled updates 가 선택돼 있는지 확인합니다. |
| 4 | IPS의 경우 관리 서버 업데이트용 옵션 2가지가 더 있습니다(아래 참고). |
| 5 | Configure 를 누릅니다. |
| 6 | 열린 창에서 Time of event 를 설정합니다. |
| 7 | OK 를 누릅니다. |
| 8 | Close 를 누릅니다. |
| 9 | Threat Prevention 정책을 설치합니다. |
6단계의 Time of event 는 두 가지 방식 중 하나로 정합니다.
- Update every — 시간 단위 로 주기를 정합니다.
- Update at — 일 단위 로 정합니다. Daily(매일), Days in week(요일 선택), Days in month(날짜 선택) 중 고릅니다.
4단계에서 IPS에만 있는 두 옵션은 다음과 같습니다.
- On successful IPS update on the Security Management Server, install policy on the Security Gateway — 관리 서버의 IPS 업데이트가 끝나면 선택한 장비에 정책을 자동 설치 합니다. Configure 로 대상 장비를 고릅니다. > 참고 — pre-R80 게이트웨이에서는 IPS가 Access Control 정책의 일부였습니다. 그래서 이 옵션을 켜면, pre-R80은 Access Control 정책 이, R80 이상은 Threat Prevention 정책 이 설치된다는 메시지가 뜹니다.
- Perform retries on the Security Management Server when the update fails — 첫 시도가 실패했을 때 재시도 횟수 를 정합니다.
업데이트 상태 확인
Autonomous Policy Tools > Updates 에는 최신 상태인 게이트웨이 수 를 알려 주는 메시지가 표시됩니다.
특정 게이트웨이의 보호가 최신인지 확인하려면 다음과 같이 합니다.
| 단계 | 내용 |
|---|---|
| 1 | Gateways & Servers 뷰에서 게이트웨이를 선택합니다. |
| 2 | 우클릭 후 Monitor 를 누릅니다(Device & License Information 창이 열림). |
| 3 | Device Status 페이지에서 게이트웨이 상태를 봅니다. |
특정 게이트웨이에서 IPS 자동 업데이트 끄기
특정 게이트웨이만 IPS 자동 업데이트를 끌 수 있습니다.
| 단계 | 내용 |
|---|---|
| 1 | SmartConsole의 Gateways & Servers 뷰에서 게이트웨이를 더블클릭합니다. |
| 2 | 탐색 트리에서 IPS 로 이동합니다. |
| 3 | IPS Update Policy 에서 Use IPS management updates 를 선택합니다. |
| 4 | OK 를 누릅니다. |
| 5 | Threat Prevention 정책을 설치합니다. |
IPS 업데이트 — 업그레이드 시나리오
게이트웨이·관리 서버를 업그레이드하면 Scheduled Updates 설정이 어떻게 되는지 두 시나리오로 정리합니다.
시나리오 1 — 관리 서버만 R80.20으로, 게이트웨이는 그대로 게이트웨이를 업그레이드하지 않으면 게이트웨이는 여전히 독립적으로 업데이트를 받지 못하고 관리 서버를 통해서만 받습니다. 설정은 업그레이드 전과 똑같이 유지됩니다 — 즉, 관리 서버에서 Scheduled Updates가 켜져 있었으면 켜진 채, 꺼져 있었으면 꺼진 채입니다.
시나리오 2 — 게이트웨이를 R80.20으로(관리 서버 업그레이드 여부 무관)
- 업그레이드 전 관리 서버에 자동 정책 설치를 포함한 Scheduled Updates가 설정돼 있었다면, 업그레이드 후에도 자동 IPS 업데이트가 켜진 채 업그레이드된 게이트웨이에도 적용됩니다.
- 업그레이드 전 Scheduled Updates가 꺼져 있었다면, 업그레이드 후에도 관리 서버·게이트웨이 모두 꺼진 채 유지됩니다.
- 업그레이드 전 자동 정책 설치 없이 설정돼 있었다면, 업그레이드 후 첫 정책 설치 때 "R80.20 이상 게이트웨이는 IPS 보호를 자동 업데이트하고, R80.10 이하는 정책을 설치해야 적용된다"는 메시지가 뜹니다.
SSH Deep Packet Inspection (SSH DPI)
SSH Deep Packet Inspection(SSH DPI) 은 SSH 트래픽을 복호화·재암호화 해, Threat Prevention이 그 안의 고급 위협·봇·악성코드까지 검사하게 해 주는 기능입니다. 핵심 목표는 다음과 같습니다.
- SSH 공격 차단
- SCP·SFTP 프로토콜을 통한 바이러스 전송 차단
- SSH/SFTP 서버에 대한 무차별 대입(brute force) 암호 깨기 방지
- 위험한 SSH 포트 포워딩 사용 방지
- SSH/SFTP 접속 시
password같은 단순 암호 사용 방지 - 취약한 암호 알고리즘 사용 방지
- 취약한 SSH 클라이언트·서버 사용 방지
- SSH가 아닌 다른 프로토콜이 22번 포트 를 쓰는 것 방지
SSH DPI 구조
HTTPS Inspection과 비슷하게, SSH DPI는 중간자(man-in-the-middle) 로 동작합니다.
SSH_CLIENT <=> Security Gateway <=> SSH_SERVERSSH DPI 켜기·끄기·상태 보기
명령은 모두 Security Gateway에서 실행합니다.
켜기:
cpssh_config ion이어서 다음을 실행하거나, SmartConsole에서 Access Control 정책을 설치합니다.
fw fetch local끄기:
cpssh_config ioff상태 보기:
cpssh_config istatus검사할 SSH 서버 추가
Non-transparent(비투명) 방식 — 게이트웨이가 클라이언트에게 새 공개 키로 서버를 소개합니다.
| 단계 | 내용 |
|---|---|
| 1 | SSH 서버의 공개 키를 게이트웨이로 복사합니다. (Linux에서 게이트웨이의 키는 /etc/ssh/ssh_host_rsa_key.pub) |
| 2 | 게이트웨이에서 다음을 실행합니다. |
| 3 | 추가할 SSH 서버마다 1·2단계를 반복합니다. |
cpssh_config -s -g SERVER_NAME -e /PATH/TO/RSA/KEY/THAT/YOU/COPIED.pub예를 들어 호스트가 my_ssh_server_host.com 이고 키를 /home/admin/mykey.pub 로 복사했다면:
cpssh_config -s -g my_ssh_server_host.com -e /home/admin/mykey.pubTransparent(투명) 방식 — 게이트웨이가 클라이언트에게 원래 공개 키 그대로 서버를 소개합니다.
| 단계 | 내용 |
|---|---|
| 1 | SSH 서버의 공개 키·개인 키를 모두 게이트웨이로 복사합니다. (게이트웨이의 키는 /etc/ssh/ssh_host_rsa_key.pub 와 /etc/ssh/ssh_host_rsa_key) |
| 2 | 다음 명령을 실행합니다. |
| 3 | 추가할 SSH 서버마다 1·2단계를 반복합니다. |
cpssh_config -s -a <SERVER_NAME> -e </PATH/TO/RSA/KEY/THAT/YOU/COPIED>.pub -i </PATH/TO/RSA/PRIVATE_KEY/THAT/YOU/COPIED>.pub예:
cpssh_config -s -a my_ssh_server_host.com -e /home/admin/mykey.pub -i /home/admin/mykey포트 포워딩 끄기 / 비표준 포트 사용
SSH 포트 포워딩 끄기:
cpssh_config -w Global -y Port_fowarding_Enabled -u 0비표준 포트(22번이 아닌)에서 SSH DPI 실행하기 — 새 TCP 서비스를 만들어 줍니다.
| 단계 | 내용 |
|---|---|
| 1 | SmartConsole 우측 패널에서 Objects > Services 를 선택합니다. |
| 2 | TCP 를 우클릭하고 NEW TCP 를 고릅니다. |
| 3 | 새 TCP 서비스 이름을 넣고, General > Protocol 을 SSH2 로 설정한 뒤, Match By > Customize to new port 에서 포트를 지정합니다(예: 22222). |
| 4 | Access Control 정책을 설치합니다. |
SSH DPI 세부 설정 (cipher·MAC·key exchange 등)
전체 설정을 보려면:
cpssh_config -q옵션 목록을 종류별로 봅니다.
| 명령 | 보는 항목 |
|---|---|
cpssh_config -w KeyExchange | 키 교환(key exchange) 옵션 |
cpssh_config -w Cipher | 암호(cipher) 옵션 |
cpssh_config -w Mac | MAC 옵션 |
cpssh_config -w Hostkey | Hostkey 옵션 |
옵션 값을 설정하려면:
cpssh_config -w Cipher -y <OPTION> -u <VALUE>예를 들어 aes128-cbc 를 끄려면:
cpssh_config -w Cipher -y aes128-cbc -u 0키 기반 클라이언트 인증 (암호 없이)
암호 대신 키로 인증하도록 만드는 절차입니다.
| 단계 | 내용 |
|---|---|
| 1 | SSH 서버가 키로 인증하도록 설정합니다(클라이언트 공개 키를 서버의 ~/.ssh/authorized_keys/ 에 복사). |
| 2 | SSH 클라이언트의 공개·개인 키(mykey.pub, mykey)를 게이트웨이로 복사합니다. |
| 3 | SSH 서버 공개 키(serverkey.pub)를 게이트웨이로 복사합니다. |
| 4 | 아래 명령을 실행합니다. |
cpssh_config -c -a <admin_username>@<my_ssh_server> -e /home/admin/mykey.pub -l /home/admin/serverkey.pub -i /home/admin/mykey여기서 admin_username 은 SSH 서버의 사용자 이름, my_ssh_server 는 SSH 서버의 호스트명·IP, mykey.pub·mykey 는 클라이언트 키 쌍입니다.
Cluster — 노드 간 키 수동 동기화
현재 클러스터 노드 사이의 키는 자동 동기화되지 않습니다. 키를 추가·수정·삭제한 뒤에는 직접 맞춰 줘야 합니다. 키를 추가한 클러스터 멤버에서 Expert mode로:
cd /etc/
tar -cvvf ssh.tar ssh
scp ssh.tar admin@<IP_OF_OTHER_CLUSTER_MEMBER>:/tmp다른 클러스터 멤버에서 Expert mode로:
mv -v /tmp/ssh.tar /etc/
cd /etc/
mv -v ssh ssh_backup
tar -xvvf ssh.tar
killall -s HUP cpsshdSSH DPI 문제 해결·디버깅
SSH DPI가 켜졌는지 확인 — telnet으로 SSH 서버에 접속해 출력에 SSH-2.0-cpssh 가 보이면 켜진 것입니다.
$ telnet 172.23.43.29 22
Trying 172.23.43.29...
Connected to 172.23.43.29.
Escape character is '^]'.
SSH-2.0-cpssh커널 디버그 수집 — 커널 디버그 모듈 fw 에서 cpsshi 플래그를 켜고, 모듈 CPSSH 의 모든 플래그를 켭니다. 절차는 R82 Quantum Security Gateway Guide 의 Kernel Debug 장을 참고하세요.
유저 스페이스 디버그 수집 — 다음 스크립트를 만들어 실행합니다.
echo > $FWDIR/log/cpsshd.elg
for PROC in $(pidof cpsshd)
do
fw debug $PROC on ALL=6
done
tail -f $FWDIR/log/cpsshd.elg출력을 멈추려면 CTRL+C 를 누릅니다. 문제를 재현한 뒤 로그를 끕니다.
for PROC in $(pidof cpsshd) ; do fw debug $PROC off ALL=6 ; done로그 파일은 $FWDIR/log/cpsshd.elg* 에서 확인합니다.
Check Point ThreatCloud
Check Point ThreatCloud 는 전 세계 위협 센서망과, 위협 데이터를 나누고 현대 악성코드에 맞서 협력하는 조직들을 기반으로 끊임없이 갱신되는 서비스 입니다. 고객은 자신의 위협 데이터를 ThreatCloud에 보내 더 강한 보안과 풍부한 위협 인텔리전스를 얻을 수 있습니다. ThreatCloud는 공격 정보를 퍼뜨려 제로데이 공격을 Anti-Virus가 막을 수 있는 알려진 시그니처로 바꿔 놓습니다. 게이트웨이는 개인 데이터를 수집하거나 보내지 않습니다.
Check Point 정보 수집에 참여하는 것은 Check Point 고객에게 고급 보안 연구의 전략적 커뮤니티 의 일원이 될 수 있는 특별한 기회입니다. 이 연구는 보안 서비스의 적용 범위·품질·정확도를 높이고, 조직에 가치 있는 정보를 얻는 것을 목표로 합니다.
ThreatCloud 저장소에는 봇 탐지를 위해 분석된 2억 5천만 개가 넘는 주소 와 2,000가지가 넘는 봇넷 통신 패턴 이 들어 있고, ThreatSpect 엔진이 이 정보로 봇과 바이러스를 분류합니다.
게이트웨이가 가진 로컬 데이터
ThreatSpect 엔진의 reputation·signature 계층을 위해, 각 게이트웨이는 다음을 갖습니다.
- Malware 데이터베이스(로컬 DB) — 흔히 쓰이는 시그니처·URL과 그 평판을 담습니다. 자동·정기 업데이트를 설정할 수 있습니다.
- 로컬 캐시 — URL 평판 요청의 99% 에 답합니다. 캐시에 답이 없을 때 ThreatCloud 저장소에 질의합니다.
- Anti-Virus — 파일 분류를 위해 시그니처 를 보냅니다.
- Anti-Bot — 평판 분류를 위해 호스트명 을 보냅니다.
ThreatCloud 저장소는 ThreatWiki 에서 볼 수 있습니다. 웹 브라우저로 Check Point ThreatWiki에 가거나, SmartConsole에서 Security Policies > Threat Prevention > Autonomous Policy > Autonomous Policy Tools 의 ThreatWiki 를 누릅니다.
Check Point가 수집하는 데이터
정보 수집을 켜면, 게이트웨이는 잠재적 보안 위험에 대한 이벤트 ID·URL·외부 IP 주소 를 Check Point Lab에 안전하게 제출합니다. 예시는 다음과 같습니다.
<entry engineType="3" sigID="-1" attackName="CheckPoint - Testing Bot" sourceIP="7a1ec646fe17e2cd" destinationIP="d8c8f142" destinationPort="80" host="www.checkpoint.com" path="/za/images/threatwiki/pages/TestAntiBotBlade.html" numOfAttacks="20" />기밀 데이터나 내부 리소스 정보는 들어 있지 않으며, 출발지 IP는 가려집니다. Check Point Lab에 보낸 정보는 집계된 형태로 저장됩니다.
게이트웨이에서 ThreatCloud 공유 설정하기
| 단계 | 내용 |
|---|---|
| 1 | Security Gateway를 더블클릭합니다(General Properties가 열림). |
| 2 | Anti-Bot·Anti-Virus 를 설정합니다(아래 참고). |
| 3 | IPS 를 설정합니다(아래 참고). |
| 4 | OK 를 누릅니다. |
Anti-Bot·Anti-Virus 공유 설정 — 탐색 트리에서 Anti-Bot and Anti-Virus 를 누른 뒤 Support the global community by sharing attack data with Check Point ThreatCloud 를 선택합니다. 선택하지 않으면 아무 정보도 공유되지 않고, 선택하면 어떤 정보를 노출할지 고를 수 있습니다.
- Receive alerts about threats (requires sharing additional end-user data) — 모든 공격 정보를 노출 합니다.
- Anonymize collected data(기본 선택) — 둘 중 하나를 고릅니다.
- End-user data(기본) — 최종 사용자 정보를 익명화하고 게이트웨이는 노출 합니다.
- End-user data and customer identity — 최종 사용자와 게이트웨이 정보 모두 숨깁니다.
IPS 공유 설정 — 탐색 트리에서 IPS 를 누른 뒤 Help Improve Check Point Threat Prevention product... 를 선택해 기능 사용·감염 세부·제품 커스터마이징에 대한 익명 정보를 보냅니다. 이 옵션을 끄면 IPS 정보 공유가 중단됩니다.
ThreatCloud Network — 함께 만드는 보호
정리하면, Check Point ThreatCloud는 위협 센서의 혁신적 글로벌 네트워크 와, 위협 데이터를 나누며 현대 악성코드에 함께 맞서는 조직들을 기반으로 끊임없이 갱신됩니다. 고객은 자신의 위협 데이터를 ThreatCloud에 보내, 풍부한 위협 인텔리전스가 담긴 보호 업데이트 를 받습니다. ThreatCloud 네트워크에 참여하는 고객은 수집된 악성코드 데이터를 활용해 더 강한 보안과 보호를 누리고, ThreatCloud는 그 공격 정보를 퍼뜨려 제로데이 공격을 Anti-Virus가 막을 수 있는 알려진 시그니처 로 바꿔 놓습니다.
모니터링
시작하기 — Autonomous Threat Prevention 켜는 흐름
모니터링에 들어가기 전에, Autonomous Threat Prevention을 켜고 운영하는 전체 흐름을 한 번 정리해 둡니다. 큰 그림은 객체에서 켜고, 프로파일로 정책을 만들고, 고급 설정을 다듬은 뒤, 정책을 설치 하는 네 단계입니다.
- Autonomous Threat Prevention 켜기 — Security Gateway / Cluster 객체에서 Autonomous Threat Prevention을 활성화합니다(자세한 내용은 Configuring Autonomous Threat Prevention 참고).
- 프로파일 고르기 — 정책을 만들어 주는 Autonomous Threat Prevention 프로파일을 선택합니다(6개 프로파일 참고). 정책 설계의 수고는 이 프로파일이 대신 짊어집니다.
- (선택) 고급 Threat Prevention 설정 다듬기 — 다음 위치들에서 세부 설정을 손봅니다.
- Security Gateway / Cluster 객체 — Threat Prevention 블레이드·기능 설정
- Security Policies > Threat Prevention > Autonomous Policy — File Protections, Settings
- Security Policies > Threat Prevention > Exceptions — 예외
- Security Policies > Threat Prevention > Autonomous Policy 의 Autonomous Policy Tools 구역
- Security Policies > HTTPS Inspection
- Manage & Settings > Blades > Threat Prevention > Advanced Settings
- Security Gateway / 각 Cluster Member 명령줄 — 구성 명령·파일(예: SSH Deep Packet Inspection)
- 정책 설치 — Autonomous Threat Prevention 정책을 설치합니다.
Logs & Events로 위협 보기
오늘날의 망은 그 어느 때보다 사이버 위협에 노출돼 있습니다. SmartConsole은 위협의 원인을 찾고 망을 복구하도록 돕습니다. Logs & Events 페이지에서 Threat Prevention 트래픽 로그를 보고, 그 데이터로 블레이드 사용 양상을 이해해 효과적인 Rule Base를 만들고, 이 페이지에서 곧장 Rule Base를 갱신 할 수도 있습니다(특정 보호를 prevent·detect하거나 추적 설정을 달리하는 예외를 더할 수 있습니다).
자세한 로그·이벤트 분석은 Logs & Events·Cyber Attack View에서 다룹니다. Anti-Spam 로그·모니터링도 마찬가지로 Logs & Events 뷰에서 보며, Anti-Spam과 메일 보안과 함께 보면 좋습니다.
- Logs & Events > Logs 뷰 — 위협을 로그 로 보여 줍니다.
- 그 밖의 뷰 — 로그를 의미 있는 보안 이벤트 로 묶습니다(예: 선택한 기간 동안 호스트에서 일어난 악성 활동). 감염 전·후 통계도 보여 줍니다.
각 로그·이벤트마다 ThreatWiki와 IPS Advisories에서 가져온 악성코드·바이러스·공격 정보를 풍부하게 볼 수 있습니다.
Log Sessions — 로그의 세션 통합
앞서 본 Connection Unification과 같은 개념입니다. 로그는 기본적으로 세션 단위로 통합 되어, 세션 동안 애플리케이션·사이트마다 로그 한 개만 남습니다. 세션 중 만들어진 연결 수는 로그의 Suppressed Logs 필드에서 확인합니다. Rule Base에서 prevent·detect되는 연결의 기본 세션 길이는 10시간 이며, Manage & Settings > Blades > Threat Prevention > Advanced Settings > General > Connection Unification 에서 바꿉니다.
Log View 사용하기
로그를 보고 분석하는 뷰를 직접 만듭니다.
| 단계 | 내용 |
|---|---|
| 1 | Logs and Monitoring > View 로 이동합니다. |
| 2 | New 를 누르고 New View 를 고릅니다. |
| 3 | Name·Category(예: Access Control)·Description(선택)을 입력합니다. |
| 4 | 쿼리를 만듭니다. Options > View Filter 에서 Blade·App control 을 고릅니다. |
| 5 | Add Widget 으로 데이터를 표현합니다. 먼저 전체 이벤트의 Timeline 으로 시작하고, Table 로 사용자·앱 이름·트래픽 양 등 여러 필드를 담는 표를 만듭니다. map·infographic·rich text·chart·container 위젯도 쓸 수 있습니다. 저장하면 여러 주기로 자동 이메일 을 받도록 예약할 수 있습니다. |
로그 뷰는 다음 요소로 이루어집니다.
| 항목 | 설명 |
|---|---|
| Queries | 미리 정의된·즐겨찾기 검색 쿼리 |
| Time Period | 미리 정의된·사용자 지정 기간으로 검색 |
| Query search bar | 사용자 쿼리를 정의하는 입력란. 최근 쿼리 정의를 보여 줍니다. |
| Log statistics pane | 최근 쿼리의 상위 결과 |
| Results pane | 최근 쿼리의 로그 항목 |
미리 정의된 쿼리·사용자 정의 쿼리
Logs 탭에는 여러 상황에 맞는 미리 정의된 쿼리 가 있고, 이벤트 속성 조합으로 정리돼 있습니다(예: Threat Prevention > by Blades, More > by UA Server, Anti-Spam & Email Security Blade > by Blocklist Anti-Spam 등).
쿼리는 하나 이상의 조건을 담을 수 있습니다. 기존 쿼리를 고치거나 새로 만들 수 있습니다.
- 기존 쿼리 수정 — 쿼리 박스 안을 눌러 검색 필터를 더합니다.
- 즐겨찾기에 저장 —
Queries > Add to Favorites를 누르고 이름을 넣은 뒤, 저장할 폴더를 고르거나 새로 만들고 Add 를 누릅니다. - 그리드 열에서 조건 고르기(Grid 뷰 전용) — Results 창에서 열 머리글을 우클릭 → Add Filter → 조건을 고르면 쿼리가 자동 실행됩니다.
- 직접 입력 — Query search bar에 조건을 직접 넣습니다. 입력하는 동안 최근 쓴 조건·쿼리가 드롭다운으로 제안됩니다. 새 쿼리를 시작하려면 Clear 로 정의를 비웁니다.
다음은 IPS가 차단한 표적 호스트 공격 을 거르는 쿼리 예시입니다.
'blade:IPS AND action:(Block OR Drop OR Prevent) NOT ("SMTP" OR "Adobe Reader Violation" OR "Content Protection Violation" OR "Mail Content Protection Violation" OR "SMTP Protection Violation" OR "Phishing Enforcement Protection" OR "Adobe Flash Protection Violation" OR "Instant Messenger" OR "Scanner Enforcement Violation" OR "Port Scan" OR "Novell NMAP Protocol Violation" OR "Adobe Shockwave Protection Violation" OR "Web Client Enforcement Violation" OR "Exploit Kit")'Packet Capture — 패킷 캡처
로그를 만든 트래픽을 더 깊이 보려면 패킷 캡처 를 켭니다. 이 기능을 켜면 게이트웨이가 로그와 함께 패킷 캡처 파일을 Log Server로 보냅니다.
| 단계 | 내용 |
|---|---|
| 1 | SmartConsole의 Logs & Events 뷰로 이동합니다. |
| 2 | 로그를 엽니다. |
| 3 | Packet Capture 필드의 링크를 누릅니다(연결된 프로그램으로 열림). |
| 4 | (선택) Save 로 캡처 데이터를 PC에 저장합니다. |
Advanced Forensics Details
일부 로그에는 Advanced Forensics Details 항목에 추가 필드가 담깁니다. 지원 프로토콜은 DNS·FTP·SMTP·HTTP·HTTPS 이며, 이 정보는 Check Point 연구진의 공격 분석에 쓰이고 클라우드로 보내는 게이트웨이 통계 파일에도 나타납니다.
다만 정보가 저장되기 전에 연결이 닫히면 표시되지 않습니다. 예를 들어 추가 정보가 저장되기 전에 게이트웨이가 연결을 악성으로 판정한 경우, 또는 Threat Emulation·Anti-Virus가 Rapid Delivery 모드에서 파일 검사가 끝나기 전에 연결이 닫힌 경우입니다.
Threat Analysis — Logs & Events 뷰의 분석 도구
Logs & Events 뷰는 활성 게이트웨이를 지나는 모든 이벤트를 필터·차트·리포트·통계로 고급 분석 합니다. 제공되는 것은 다음과 같습니다.
- 위협 사건의 실시간·과거 그래프와 리포트
- 빠른 데이터 조회를 위한 그래픽 사건 타임라인
- 손쉽게 구성하는 사용자 정의 뷰
- 사건 관리 워크플로
- 데이터 소유자에게 정기적으로 보내는 리포트
Views — 위젯으로 짠 대시보드
View 창은 관리자·이해관계자에게 보안·망 이벤트를 알려 주는 상호작용 대시보드 로, 각 위젯이 쿼리의 결과입니다. 위젯은 차트·표 등 다양한 형식으로 정보를 보여 줍니다. SmartConsole에는 여러 미리 정의된 뷰가 있고, 새로 만들거나 기존 것을 고칠 수 있습니다. 뷰는 생성·새로고침된 시점 기준 으로 정확합니다. Logs & Events 뷰에서 (+) 탭을 누르면 모든 뷰·리포트 카탈로그가 열리고, 더블클릭하거나 Open 으로 엽니다.
Reports — 리포트
Report 는 여러 뷰와 표지로 이루어지며, 뷰보다 더 상세 합니다. 미리 정의된 리포트가 여럿 있고 새로 만들 수도 있으며, 커스터마이징·필터·생성·예약이 됩니다. 단, 리포트는 드릴다운이 안 됩니다. (+) 탭에서 카탈로그를 열어 더블클릭하거나 Open 으로 엽니다. 자세한 내용은 R82 Logging and Monitoring Administration Guide 를 참고하세요.
리포트·뷰 화면 요소는 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| Widget | 쿼리의 결과. 더블클릭하면 더 구체적인 뷰나 원시 로그로 드릴다운 됩니다. |
| Options | 뷰 커스터마이징, 기본값 복원, Hide Identities, 내보내기 |
| Query search bar | 사용자 쿼리 정의. 최근 쿼리 정의를 보여 줍니다. |
| Time Period | 뷰의 기간 지정 |
위협 사건을 조사하는 방법은 Cyber Attack View - Gateway 와 MITRE ATT&CK 를 함께 보세요. 로그 필드 설명은 별도의 Log Fields 자료를 참고합니다.
문제 해결
예상대로 동작하지 않으면 블레이드 상태·정책 설치·로그 를 차근차근 확인합니다.
Threat Extraction 블레이드 문제 해결
LDAP 사용자의 메일에서 위협을 추출하지 못함
Global Properties > User Directory 에서 Use User Directory for Security Gateways 가 선택돼 있는지 확인합니다.
사용자가 메일을 못 받음 — Threat Extraction 부하가 게이트웨이에 비해 너무 높을 수 있습니다.
| 단계 | 내용 |
|---|---|
| 1 | 게이트웨이에서 scrub queues 를 실행합니다. 큐가 요청으로 넘친다면 부하가 과도한 것입니다. 임시로 scrub 데몬을 우회(scrub bypass on)하고, 사용자가 메일을 받는지 물어본 뒤 다시 켭니다(scrub bypass off). |
| 2 | 큐가 꽉 찼는지 확인합니다(아래 명령). 꽉 찼으면 비우거나, 메일을 잃지 않으려면 flush로 강제 재전송합니다. |
| 3 | 큐가 계속 꽉 차면, MTA가 조직 외부 메일만 검사하도록 해 내부 요청으로 게이트웨이를 짓누르지 않는지 확인합니다. |
scrub bypass on
scrub bypass off큐 확인·비우기·flush 명령은 다음과 같습니다.
# 큐 확인
/opt/postfix/usr/sbin/postqueue -c /opt/postfix/etc/postfix/ -p
# 큐 비우기 (메일이 사라짐!)
/opt/postfix/usr/sbin/postsuper -c /opt/postfix/etc/postfix/ -d ALL
# 큐 강제 재전송 (flush)
/opt/postfix/usr/sbin/postfix -c /opt/postfix/etc/postfix/ flush원본 첨부 파일에 접근 못 함 — 첨부 파일이 정리되면 사용자에게 가는 메일의 UserCheck Portal 링크로 원본에 접근할 수 있어야 합니다.
| 단계 | 내용 |
|---|---|
| 1 | 사용자에게 전송된 링크를 누릅니다. |
| 2 | UserCheck Portal이 올바로 열리는지 확인합니다. |
| 3 | Portal 대신 Gaia portal이 뜨면 접근성 설정을 확인합니다 — Gateway Properties > UserCheck > Accessibility > Edit 에서 토폴로지에 맞는 옵션을 선택합니다. |
| 4 | CPView 를 열어 "access to original attachments" 통계가 0이 아닌지 확인합니다. |
첨부 파일이 Threat Extraction으로 검사되지 않음 — CPView의 scanned attachment 통계가 늘지 않는 경우.
| 단계 | 내용 |
|---|---|
| 1 | 디스크·디렉터리가 꽉 차지 않았는지 확인합니다 — df -h / 와 df -h /var/log. |
| 2 | Threat Extraction이 쓰는 디렉터리에 쓰기가 되는지 확인합니다 — touch /tmp/scrub/test, touch /var/log/jail/tmp/scrub/test, touch $FWDIR/tmp/email_tmp/test. |
CPView에 Threat Extraction 오류가 많음 — Software-blades > Threat-extraction > File statistics 의 "internal errors" 수가 전체 메일 수에 비해 높은 경우입니다. ThreatSpect 엔진이 첨부 검사 중 과부하·실패하면 로그가 생기고, 기본적으로 문제의 첨부는 그래도 수신자에게 전달 됩니다. 전달을 막으려면 Fail Mode를 Block으로 바꿉니다.
| 단계 | 내용 |
|---|---|
| 1 | Manage & Settings > Blades > Threat Prevention > Advanced Settings 로 이동합니다. |
| 2 | Fail Mode 에서 Block all connections (fail-close) 를 선택합니다. |
IPS 문제 해결 — Detect-Only
IPS는 Prevent로 설정된 게이트웨이의 보호를 잠시 멈춰 트래픽을 막지 않게 할 수 있습니다. 망 트래픽 문제를 진단할 때 유용합니다.
| 단계 | 내용 |
|---|---|
| 1 | SmartConsole에서 Gateways & Servers 를 누르고 게이트웨이를 더블클릭합니다. |
| 2 | 좌측 트리에서 IPS 를 누릅니다. |
| 3 | Activation Mode 에서 Detect Only 를 누릅니다. |
| 4 | OK 를 누릅니다. |
| 5 | Access Control 정책을 설치합니다. Prevent 보호가 모두 트래픽을 통과시키되, Track 설정대로 위협 추적은 계속 합니다. |
Threat Prevention API
게이트웨이는 트래픽에서 가로챈 파일을 검사합니다. Threat Prevention API 로는 가로챈 파일을 업로드해 게이트웨이에 검사를 맡길 수 있습니다. 예를 들어 인사 포털이 외부 사용자에게서 이력서를 받는 경우, 파일을 게이트웨이에 직접 보내면 Threat Emulation에 몇 분이 걸려 사용자가 기다려야 합니다. 대신 파일을 별도 컨테이너에 두고 업로드 완료를 먼저 알린 뒤 API로 검사를 보내면 사용자 경험이 좋아집니다.
API는 두 종류입니다.
- Cloud API
- 게이트웨이 접근 — Anti-Virus·Threat Emulation 지원.
- ThreatCloud 직접 접근 — Threat Extraction·Anti-Virus·Threat Emulation 지원.
- 자세한 내용은 Threat Prevention API Reference Guide 참고.
- Local API(게이트웨이의 로컬) — Threat Extraction·Anti-Virus·Threat Emulation 지원. 아래 내용과 sk137032 참고.
Local Threat Extraction Web API 쓰기
Threat Extraction API를 쓰려면 먼저 API 키 를 만들어야 합니다. 키를 만든 뒤에는 그것으로 게이트웨이에 접속해 추출할 파일을 보냅니다.
API 키를 만들려면 SmartConsole에서 Security Gateway를 더블클릭한 뒤 이어지는 절차를 따릅니다.
Anti-Spam 로그·모니터링
Anti-Spam 로그·모니터링도 SmartConsole의 Logs & Events 뷰에서 봅니다. Anti-Spam 검사에서 나온 로그는 Security Management Server로 보내져 Logs & Events > Logs 뷰에 표시되며, 상세 뷰·리포트를 보고 커스터마이징하거나 새로 만들 수 있습니다(위 모니터링의 Threat Analysis 참고). Anti-Spam과 메일 보안과 함께 보면 메일 보호 전반을 이해하기 좋습니다.