서명이란 무엇인가요?
일반적으로 서명은 "서면 또는 디지털 서명"을 의미합니다. 프로그래밍 맥락에서 시그니처는 이름, 매개변수 유형, 숫자, 순서, 반환 유형 등 메서드를 식별하는 데 사용되는 정보를 말합니다(정의는 프로그래밍 언어에 따라 다를 수 있음). 그러나 컴퓨터 보안의 맥락에서 서명은 맬웨어나 무단 액세스와 같은 악의적인 활동의 독특한 패턴을 의미합니다. 이러한 패턴을 집계한 파일을 서명 파일이라고 하며, 서명을 사용하여 공격을 탐지하고 차단하는 기능을 서명 기능이라고 합니다.
서명을 사용하여 공격을 방어하는 방식은 일반적으로 블랙리스트 방식을 따릅니다. 즉, 위험한 활동을 차단하기 위해 알려진 위협 목록을 유지 관리합니다. 이를 통해 알려진 공격에 안정적이고 신속하게 대응할 수 있다는 장점이 있습니다. 그러나 이러한 접근 방식은 블랙리스트에 아직 포함되지 않은 알려지지 않은 공격이나 새로운 위협에 대처할 수 없다는 한계가 있습니다.
이러한 한계를 해결하기 위해 블랙리스트 접근 방식과 화이트리스트 접근 방식을 결합하는 것이 좋습니다. 허용 목록을 사용하면 명시적으로 허용된 활동만 허용됩니다. 허용 목록에 있는 활동을 허용하고, 차단 목록에 있는 패턴을 차단하고, 그 외의 모든 것을 검증이 필요한 회색 영역으로 처리함으로써 보다 포괄적인 방어 전략을 달성할 수 있습니다.
F5의 BIG-IP는 공격 패턴에 대한 블랙리스트 유형의 시그니처와 합법적 트래픽에 대한 화이트리스트를 모두 활용하여 공격을 효과적으로 탐지하고 차단할 수 있습니다.