뉴스/이벤트

해커에 의한 개인정보유출 사전차단 해결책, 웹프락시

[] | 2019-07-01

요즘 정보보안 담당자의 주요한 관심사 중 하나는 ‘개인정보유출 사전통제’이다.

유출된 정보를 사후에 경보하는 것은 ‘소 잃고 외양간 고친다’는 오명을 쓸 우려가 있다.

금융기관은 심각한 개인정보유출이 발생했을 때 ‘영업정지’까지 당할 수 있다.

그래서 필사적으로 사전에 유출을 통제하려고 노력하고 있다.

로그만 사후에 남는 기능은 사실 필요하지 않다.

사전에 유출을 통제할 수 없다면 아예 로그도 남지 않았으면 좋겠다는 것이 CISO의 솔직한 심정이기도 하다.

개인정보가 유출되는 통로는 어디일까?

외부해커가 개인정보를 탈취한 후 유출시키는 유일한 통로는 ‘인터넷’이다.

인터넷으로 나가는 정보만 제대로 파악해서 사전통제한다면

해커에 의한 개인정보유출은 마지막 단계에서 차단될 수 있다.

최근 대다수 기업들은 웹서비스 이외 모든 인터넷 서비스 포트를 차단하고 있다.

그렇기에 웹에 초점을 맞추어서 외부로 전송되는 정보를 분석하는 것이

해커에 의한 개인정보유출을 차단하는 핵심방안이 된다.

흘러가는 패킷을 수동적으로 바라보고 있는 것만으로 사전유출통제를 바란다면 오산이다.

오직 감사로그 확보만 가능할 뿐이다. 기존 ‘패킷 미러 형태 장비’는 감사로그 확보까지는 가능하다.

하지만 사전통제는 불가능하다. 사전에 유출통제를 하려면 기술적으로 반드시 ‘웹프락시’를 도입해야 한다.

‘웹프락시’는 웹브라우저와 웹서버 사이에서 적극적으로 트래픽을 중계하는 역할을 수행한다.

트래픽을 명시적으로 중계하기때문에 사전차단이 가능하다.

웹브라우저에서 외부로 전송하는 데이터를 ‘웹프락시’가 먼저 수신한다.

데이터를 분석하여 압축파일 등은 해제하고, 오피스문서 아래한글 문서 내 텍스트를 추출한다.

추출된 텍스트 내에 주민등록번호, 핸드폰번호 등 개인정보가 포함되어 있는지 식별한 후

정책에 따라 전송여부를 결정한다.

주민등록번호가 1건이라도 포함되어 있을 경우 차단하고

핸드폰 번호는 5건 이상일 경우에만 차단하는 세부정책을 설정하는 것이 가능하다.

데이터 전송이 수락될 경우 ‘웹프락시’는 웹서버로 해당 정보를 전송한다.

차단된 데이터는 더 이상 전송되지 않고 사용자에게 차단되었다고 통지한다.

웹서비스에서는 실시간으로 정보가 오간다.

그렇기에 서비스 지연이 발생하면 안된다. ‘웹프락시’가 반드시 고성능이어야 할 이유이다.

‘웹프락시’에 장애가 발생하면 인터넷 서비스가 마비되기 때문에 고가용성 구성이 필수사항이다.

‘웹프락시’는 이외에도 암호화된 SSL/TLS 트래픽을 복호화하고 다시 암호화하는 역할을 한다.

그래서 SSL/TLS 기반의 유해사이트 접속 차단, 악성코드 유입차단을 수행하기도 한다.

유해사이트를 통한 악성코드 감염은 기업에게 있어 치명적인 결과를 초래할 수 있기에

SSL/TLS 트래픽 복호화 가시성 확보는 뜨거운 감자이기도 하다.

‘웹프락시’ 기술은 인터넷의 초창기인 25년 전부터 존재했던 오래된 기술이다.

초기에는 웹캐시(cache) 기능으로 널리 활용되다가 캐시서버 활용이 주춤해지면서

‘웹프락시’ 시장은 조금씩 퇴조를 보이기 시작했다.

그러다가 최근에는 SSL/TLS 트래픽 가시성 확보와 개인정보 유출 사전통제 이슈로

다시 스포트라이트를 받고 있다.

모든 인터넷 서비스가 웹어플리케이션으로(웹앱스)로 변화하는 추세 또한

‘웹프락시’ 시장 확대의 배경이 되기도 한다.

예전에는 ‘전용 프로토콜’을 채택했던 메신저도 최근에는 ‘웹 표준 방식’을 따르고 있다.

따라서 웹이 결국은 인터넷이고, 웹을 적절하게 통제하는 것이

인터넷 보안의 시작과 마지막이라고 해도 과언이 아니다.

다행히도 국내 보안업체의 ‘웹프락시’ 관련기술은 이미 세계 최고 수준을 넘어섰다.

세계 최고의 유무선 인프라를 보유한 한국이기에

그 아래에서 운영되는 솔루션의 성능은 세계최고인 것이 당연하다.

공신력 있는 ‘성능시험 사이트’의 결과에서 외산제품 대비 30%이상 성능 우위를 점하고 있는 것이 현실이다.

개인정보유출을 ‘사전차단’ 하기위해 데이터를 분석하는 것은 많은 컴퓨팅 부하를 초래하는 일이다.

성능부담이 커서 네트워크 지연을 초래할 수 있다.

외산제품이 채택한 ‘ICAP (‘웹프락시’와 데이터분석 서버와 트래픽 연동 표준을 정의한 것이다.) 연동방식’은

소규모 네트워크에서는 아무런 문제가 없으나, 한국과 같은 대용량 트래픽 환경에서는 적용이 어려운 편이다.

실시간으로 성능 수준을 맞추기 어렵기 때문이다.

국산제품들은 ‘웹프락시’에서 데이터분석기능을 한꺼번에 수행하는 것으로 솔루션 아키텍쳐를 혁신했다.

그래서 연동에서 발생하는 부하를 원천적으로 제거했다.

우리나라는 ‘개인정보유출 사전차단’이라는 고객 요구사항이 워낙 강렬해

글로벌 제품보다 오히려 아키텍쳐 혁신이 빨리 이루어졌다.

외산 ‘웹프락시’ 제품이 장점으로 내세우고 있는 것은 ‘글로벌 위협 데이터베이스(TI; threat intelligence)’이다.

그러나 이 간극은 국내 ‘웹프락시’에 ‘글로벌 위협 데이터베이스’를 구매하여 탑재하면 해결된다.

전세계에서 1% 미만을 차지하는 ‘국내 위협 데이터베이스’는

오히려 국내기업만이 제대로 수집/분석할 수 있기에 ‘위협 데이터베이스’부분은 국내 제품이 더 월등하다.

SSL/TLS 가시성 확보와 개인정보유출 사전차단으로 다시 부활한 웹프락시 시장은

앞으로도 네트워크 보안측면에서 계속 영역을 넓혀갈 것으로 기대된다.

방화벽, IPS 이후에 국내 네트워크 보안제품 중에서

글로벌 수준 성능과 안정성에 도달한 제품군이 이렇게 또 하나 추가로 탄생했다.

향후 해외 수출 전망까지 긍정적이다.

http://www.zdnet.co.kr/view/?no=20190627111516

목록