News/ Event

SSL/TLS 역사와 현재, 그리고 가시성 확보 필요성

[칼럼] | 2020-06-18

지금 이 웹페이지에서도 확인하실 수 있습니다. 주소창 옆 자물쇠.

사업체, 공공기관은 작은 규모라도 자사를 드러내고 소개할 수 있는 웹사이트를 모두 보유하고 있다. 홈페이지를 통해 내 사업체의 정보를 미리 안내하고 유령회사가 아니라는 신뢰를 줄 수 있기 때문일 것이다.

지금 인터넷 창을 열고 생각나는 웹사이트 아무 곳이나 접속해보자. 작은 규모의 웹사이트일 수록 좋다. 혹시 주소창 왼쪽에 자물쇠가 표시되어 있는가? 아니면 다른 표시가 나타나 있는가? 사실 새로 창을 열지 않아도 된다. 지금 보고 있는 이 블로그 주소창을 보자. 자물쇠 아이콘이 표시되어 있다.

자물쇠가 없는 웹사이트에서는 자물쇠 대신 ‘주의요함’이 표시되어 있을 것이다. 클릭하면 ‘이 사이트에서 입력하는 비밀번호, 신용카드 번호 등이 공격자에 의해 도용될 수 있다’는 경고 메시지가 노출된다. 들어갔다가 사단이 날 것 같은 느낌이 든다.

1초도 머물러 있으면 안될 것 같은 느낌

주소창의 자물쇠 표시는 ‘이 웹사이트는 공격자로부터 안전하게 보호되고 있다’는 의미이다. 해당 표시가 뜨는 곳은 SSL/TLS 로 암호처리된 웹사이트이다. 암호화로 한 번 덮어씌운, 보안이 되는 사이트이기 때문에 누가 내 정보를 중간에 탈취할 위험이 없어 안심된다. 온전히 클라이언트 PC를 사용하는 나와 웹서버를 사용하는 웹사이트 둘 만이 가진 개인키와 공개키로 내용을 암호화하고 복호화하면서 정보를 읽어 들이기 때문에 제3자는 내가 무엇을 하는지 알 수 없다.

* SSL/TLS의 위치 : 이렇게 싹 암호로 덮어씌워서 나간다.

SSL/TLS를 제공하는 웹서비스가 최근 몇 년 사이에 급증하긴 했지만 SSL/TLS는 이미 90년대 초반에 만들어진 기술이다. 넷스케이프사에서 통신 보안을 위해 내부적으로 개발한 규약인데 SSL(Secure Sockets Layer: 보안 소켓 레이어)이라고 불렸다. 1.0은 보안결함이 심각했기에 외부에 공개되지는 않았다. 95년 2월에 공개된 2.0부터 공개적으로 사용되기 시작했다.

SSL 통신규약은 3.0 버전이 마지막이며, 1999년 TLS(Transport Layer Security) 1.0이 릴리즈 되면서 정식 명식은 TLS로 명명되었다. SSL이 아니라 TLS로 불리는 것이 더 정확한 표현이나 SSL이라는 용어가 더 익숙하여 SSL/TLS로 혼용하여 사용되고 있다.

현재 나와있는 프로토콜 중 2018년에 릴리즈된 ‘TLS 1.3’이 가장 최신 버전이다.

악수 한 후에 이야기 나눕시다. 핸드셰이크.

만남이 있다면 사전에 통성명을 주고받고 시작하는 것이 인지상정이다. 다짜고짜 용건만 냅다 던지면 대화가 묵살될 수 있다. SSL/TLS에서도 핸드셰이크가 수반되어야 한다. 암호화기반이기 때문에 서로 암호키를 교환하여 전송에 필요한 절차를 만들어야 하기 때문이다.

SSL/TLS 핸드셰이크는 크게 4단계로 나눌 수 있다.

1. 보안기능설정: 프로토콜 버전, 세션ID, 암호조합, 압축방법 등을 공유한다. 상대가 어떤 언어를 어떻게 사용하는지 (한국어/영어/독일어 중 무슨 언어를 쓰는지 서로 대화가 가능한 언어가 무엇인지) 확인하는 단계이다.

2. 서버인증과 키 교환: 서버가 필요하다고 생각될 경우 인증서/키교환을 보낸 후 클라이언트 PC에게 인증서를 요청한다. 위장한 제3자가 난입하는 경우를 막기 위해서다. 상황에 따라 수행하지 않는 경우도 있다.

3. 클라이언트인증과 키 교환: 서버가 요청한 클라이언트 PC 사용자의 인증서를 전달하는 단계다. 이때 인증서를 보내 위변조 등 부정행위가 없음을 확인시켜준다.

4. 종료: 서로 암호조합을 교환한다. 내가 보내는 패킷을 해독할 수 있도록 공개키를 보낸다. 세팅이 끝났다. 지금부터 암호화된 통신이 시작된다.

악수하며 정보를 교환하고 서로를 파악하면 그 때부터 앉아서 편하게 대화를 진행할 수 있게 된다. 사용언어도 합의 하에 설정했겠다, 제3자는 그들이 무슨 말을 해도 알아들을 수 없다.

보안회사는 다 SSL/TLS 기반 웹사이트 씁니다.

글로벌 기업들은 2015년 전후로 SSL/TLS 기반 웹서비스를 제공했다.

구글의 경우 지메일, 구글닥스 등 정보의 보안이 필요한 서비스에 SSL/TLS를 먼저 적용하기도 했다. (현재는 모든 서비스를 SSL/TLS에서 제공한다.) 국내는 2016년 이후부터 전환이 시작되었다. 조금 늦은 편이다. 본래 국내에서는 은행 등 일부 기관에서만 한정적으로 사용했던 것인데 해킹기법이 지능화됨에 따라 이를 상쇄하기 위해 도입을 시작한 것이다. 국내 웹서비스 중에서는 네이버, 다음카카오가 암호화웹 기반으로 맨 처음 전환했다. 이 이후로 점차 공공기관, 국내 클라우드 서비스, 쇼핑몰 등도 암호화웹 규약을 채택하기 시작했고 현재는 90%이상의 웹사이트는 대부분 암호화웹을 사용하고 있다.

보안솔루션 개발사들은 100% SSL/TLS기반 웹사이트를 운영하고 있다. 만약 HTTP 기반 웹사이트를 보유하면서 정보보호를 외치고 있다면 몸이 좋지 않은 헬스트레이너가 회원들에게 “체중감량 하시려면 절식하시고 운동 열심히 하셔야 합니다!”라고 말하는 것과 비슷한 맥락이 될 것이다.

HTTP웹에 SSL/TLS이 적용되면 아래 요소들이 암호화되어 안전하게 오고 갈 수 있게 된다.

– URL (내가 어 느 페이지에 접속했는지 숨겨줌)

– 문서내용 (내가 무슨 내용을 보고 있는지 안알랴줌)

– 브라우저 양식 내용 (취약점이 있는 브라우저를 이용하더라도 브라우저를 모르니 해킹이 어려워짐)

– 쿠키 (티끌을 모아 유추하려 해도 알 수가 없게 됨)

– HTTP 헤더내용 (내가 발송한 정보를 어디사는 누구에게 보내더라도 행선지는 물론이고 내가 무엇을 보냈는지도 알 수 없음)

복호화 키가 없으면 내용을 볼 수가 없다. 패킷을 탈취하더라도 난수로 구성된 패킷일 뿐이다. 그 덕분에 우리는 해킹 불안에서 벗어나 안전한 웹환경을 보장받고 즐겁게 웹서핑을 할 수 있게 되었다.

SSL/TLS는 우리에게 아래와 같은 안전성을 보장한다.

1. HTTP 보다 뛰어난 보안성을 제공한다.

2. 패킷이 암호화되어 오고 가기 때문에 누군가가 패킷을 가로채도 해커는 내용을 알아낼 수 없다.

3. 핸드셰이크 절차를 통해 서로를 인증하고 인증확인이 되어야 통신이 구현되기 때문에 나를 사칭하는 일도 발생하지 않는다.

안전성을 보장받은 기술임은 확실하다. 하지만 완벽한 보안은 아직까지 없는 것 같다.

이토록 안전성을 보장받은 기술임에도 불구, 허점이 있기 마련이다.

어떤 사람들은 강점을 역으로 이용해서 공격을 수행한다.

쉽게 말해 악용이라고 합니다.

SSL/TLS의 보안성을 악용해 다음과 같은 공격을 수행하기도 한다.

1. 정보유출 경로로 악용

SSL 개발 목적은 통신과정의 ‘도청, 패킷탈취, 위변조를 막기 위해서’ 였다. 기존 통신규약에 암호화 한번 덧 입히면 쉽게 해킹할 수 없을 거라는 생각으로 개발했었다. 하지만 이로 인하여 되려 클라이언트PC와 서버 사이에서 어떤 정보가 오고 가는지 알 수 없게 만들어버렸다. 한번 암호화되어 덧입혀져 나가기 때문에 내가 주민번호를 1만건 유출해도, 종합부동산세 납부대상자 명단을 모두 끌고 와도 기존 보안 솔루션으로는 파악할 수 없다. 복호화키는 클라이언트PC와 서버 단 둘만 알고 있기 때문에 제3자인 보안 솔루션은 무엇이 언제, 누구에게, 몇 건이 밖으로 유출되었는지 알 수 없다.

해커들 못 보게 하려고 만든 기술이 기존 보안솔루션에게도 적용된 것이다.

과거에는 인증이 필요한 페이지에서만 부분적으로 사용됐었지만 현재는 클라우드, 메일, 메신저 등도 대부분 SSL/TLS를 사용하고 있다. 정보유출 가능성이 있는 통로에 SSL/TLS가 덧입혀진 것이다. 해커의 탈취행위는 막을 수 있게 되었지만 내부자의 유출행위는 막을 수 없게 되었다.

SSL/TLS 기반 웹트래픽은 꾸준히 증가하고 있다. 줄어들지 않을 것이다.

2. 악성코드 유입 통로로 악용

악성코드/랜섬웨어는 PDF, 워드, 한글파일로 위장한 실행파일을 클릭함으로써 감염된다. 이 외에도 의심스러운 URL을 클릭해서 감염되기도 한다. 해당 링크에 접속하는 순간, 드라이브바이다운로드(Drive By Download) 공격으로 인해 악성코드/랜섬웨어 파일을 자동으로 다운로드 받게 되는데 이 파일은 당신의 PC와 사내 네트워크를 아작낼 수도 있다. 정보유출은 물론이고 데이터가 위변조되거나 디도스 공격의 장기말로 이용될 수도 있다.

기존에는 유해사이트 차단 솔루션이 URL을 확인하고 접속 전에 해당 URL을 통제/차단해낼 수 있었지만, 위에서 이야기한 것과 같은 맥락으로 SSL/TLS 암호화웹을 쓰면 URL도 암호화된다. 그래서 내가 어떤 페이지에 접속했는지 보안 솔루션이 파악할 수가 없게 된다.

이미 20만대 이상의 C&C서버들은 SSL/TLS를 활용하고 있다. 기업을 타깃으로 한 네트워크 공격의 50% 이상은 SSL/TLS을 이용해 발생했다. 크립토락커, 스팸봇, VMZeus 등 유명 랜섬웨어/봇넷/루트킷등은 SSL/TLS를 사용해 이미 악성행위를 벌이고 있다.

2008년 인도 뭄바이에서 발생한 테러사건을 배경으로 한 영화 <호텔 뭄바이>에서 테러리스트들은 혼란스러운 틈을 타 겁에 질린 행인들 사이에 섞여 호텔문을 두드리고, 호텔 문이 열리는 순간 호텔 잠입에 성공한다. 악성코드 감염도 이와 비슷하다. 평범한 패킷인 척 숨어들어오면 알 수가 없다.

DLP솔루션과 악성코드 차단 솔루션에 국한된 내용이 아니다.

보안을 수행하고 있는 대부분의 솔루션으로는 대응이 쉽지 않다.

최근에는 SSL/TLS 가시성확보 장비를 도입하여 패킷을 확인하고 통제여부를 결정하고 있으나 가시성확보 장비가 충분히 확보되지 않은 상태라면 매초 발생하는 트래픽을 감당하지 못해 성능장애가 발생할 수 있다.

결론은 장비가 충분히 증설되어야 한다는 뜻인데 비용부담이 만만치 않다. 비용부담으로 인해 어떤 회사는 업무효율성과 보안성 두 가지 선택지에서 고민하다가 업무효율을 더 중시하기로 결정하게 된다. 당장 감당이 되지 않으니 SSL/TLS 트래픽이 발생하면 일단 통과시키기로 결정하게 된다.

높은 성능의, 연동범위도 넓고, 컴플라이언스도 준수하는 ‘T-Proxy’

소만사의 SSL/TLS 가시성 확보 및 복호화 솔루션 ‘T-Proxy’는 가시성을 확보하여 DLP, 유해사이트차단, IPS, IDS, APT 솔루션 등과 연동하여 내외부에서 발생하는 보안위협을 해소해준다. 이를 통해 위협을 인지하고 분석, 차단, 로깅하여 보안위협에 대응할 수 있다. 인라인 및 미러링 장비 연동이 가능하므로 원하는 보안제품에서 SSL/TLS 가시성을 확보, 보안할 수 있다.

소만사 ‘T-Proxy’는 ICAP연동 영향을 받지 않는 솔루션이다. 외산대비 30%이상 향상된 패킷처리 성능을 보유하고 있다. 이는 보안인프라 전반에 걸쳐 효율성을 증대화 시킨다.

소만사는 개인정보보호법, 신용정보법, 전자금융거래법 등 정보보호관련 컴플라이언스를 준수하는 솔루션을 개발하는 기업이다. ‘T-Proxy’ 역시 기술적 보호조치 100% 이행을 목적으로 개발되었다. ‘T-Proxy’를 도입한 기업과 기관들은 이를 통해 집단소송/법적처벌 가능성을 최소화할 수 있다. ‘T-Proxy’는 현재 100곳 이상에 적용되어 있다. 이 곳에서 ‘T-Proxy’는 각 기업/기관의 개인정보보호와 안전한 웹환경을 보장하고 있다.

보안 안하다가 사고 나서 언론에 노출되고 소송걸리고 처벌받음

VS 번거롭더라도 보안 다 하고 통제해서 사고 안남

자 이제 누가 더 비효율적이지?

SSL/TLS는 사람들에게 안전한 웹환경을 보장해주었다. 하지만 다른 시각에서 보면 보안전문가들에게 또 다른 과제를 안겨주기도 했다. 위장(camouflage)에 관한 보안허점을 수면 위로 올리기도 했으니 말이다.

패킷탈취 없이 안전하게 전송하려고 암호화한 것을 다시 복호화해서 열어보고 확인한 후에 보낸다니 일을 번거롭게 두 번하는 것처럼 보일 수도 있다. 보안솔루션은 업무효율성을 방해하지 않기 위해 최선의 노력을 하고는 있으나 아직까지는 상충하고 있다. 비효율적으로 보일 수 있다.

하지만 모든 웹서비스가 SSL/TLS로 바뀌었고 바뀌고 있는 상황에서, 기존 솔루션으로는 전혀 차단할 수 없는 상황에서, 위와 같은 ‘번거로운 일’을 하지 못해 개인정보가 유출되고 언론에 공개되고 집단소송과 형사처벌에 직면하게 된다면 비효율적인 행동은 ‘암호화 패킷을 복호화하지 않고 그냥 흘려보내고 들여보낸 행위’가 될 것이다.

보안위협에서 나와 우리회사와 국가의 네트워크 인프라를 보호하기 위해서는

SSL/TLS 가시성 확보 및 복호화는 선택이 아닌 필수이다.

참고:

소만사 웹키퍼 https://www.somansa.com/solution/safe-browsing/ssl-tls-solution-webkeeper/

소만사 메일아이 https://www.somansa.com/solution/outflow-control/ssl-tls-network-dlp-solution/

영문 위키피디아 https://en.wikipedia.org/wiki/Transport_Layer_Security

국문 위키백과 https://ko.wikipedia.org/wiki/%EC%A0%84%EC%86%A1_%EA%B3%84%EC%B8%B5_%EB%B3%B4%EC%95%88

도서 네트워크 보안에센셜, 윌리엄 스탈링스 저

도서 정보보안 가이드북, 이상진 저

목록

News/ Event

회사 네트워크에 SSL/TLS 웹트래픽 가시성을 확보해야 하는 이유

[칼럼] | 2020-04-17

    처음엔 편했던 것 같다. 통제범위에서 벗어난 기분이 들었던 것 같다.
    – 기존 유해사이트 차단 솔루션이 SSL/TLS 웹서비스는 통제하지 못함을 알게 된 과거의 나


회사에 설치되어 있던 기존 ‘미러링 기반 유해사이트 차단 솔루션’은 SSL/TLS 기반 웹서비스 이용현황을 통제, 차단하지 못한다고 했기 때문이다.
SSL/TLS 암호화 트래픽이 오고 가도, 패킷이 암호화상태로 왔다 갔다 하기 때문에 확인하기 어렵다고 했다.
패킷을 미러링 방식으로 복사해서 들여다보는 ‘기존 유해사이트 차단 솔루션’은 그저 포장지에 쌓인,
또는 암호로 구성된 ‘암호화 패킷’만 보기 때문에 클라이언트 서버에서 무엇을 PC에 보냈는지,
PC는 무엇을 요청한 것인지 알 길 없다고 했다.

‘유해사이트 차단 솔루션’은 보통 불법/비업무/악성코드 배포사이트 접속을 차단하는 역할을 수행한다.
사실 상식을 가진 직장인이라면 회사에서 불법사이트에 접속하진 않을 것이다.
불법토토나 테러조장사이트에 들어갈 일은 사실 거의 없다.
하지만 비업무사이트는 조금씩은 들어가긴 한다.
잔업과 야근이 일상인 한국 직장인들에게 잠깐의 비업무 사이트 접속은 숨통을 트일 수 있게 하는 잠깐의 휴식 같은 거니까.
주식 그래프도 살짝 구경하고, 쇼핑몰에서 봄맞이 옷도 구매하고,
주말 캠핑을 위해 날씨 사이트에서 주말 날씨도 체크하면서 10분~30분 정도는 쉬어 주기도 한다.

보안 담당자의 시야에서 벗어나니 편하다.



라고 생각할 수 있겠지만, 사실 이는 심각한 결과를 초래할 수 있다.


1.악성코드, 랜섬웨어, 바이러스 등에 감염될 수 있다.

보안성이 취약한 사이트를 해커가 해킹한 후 내부에 악성코드를 심어 놓을 수 있다.
해당 사이트에 접속시 ‘드라이브 바이 다운로드(Drive By Download)’ 공격에 의해
자동으로 실행파일이 설치되어 PC에 악영향을 끼칠 수 있으며 사내 네트워크 전체가 마비될 수도 있다.

메일을 통하여 교묘하게 포장된 ‘악성코드 링크’를 받을 수도 있다.
“메일 사서함이 가득찼습니다” 또는 “저작권 위반으로 신고접수 되었습니다.
세부내용을 확인하시려면 다음 신고접수 사이트에서 확인하십시오” 라고 유인할 수도 있다.
클릭하는 순간, 똑같이 ‘드라이브 바이 다운로드’ 공격의 희생양이 된다.

기존 유해사이트 차단 솔루션은 해당 웹사이트의 URL을 보고 판단을 했다.
사내직원이 접속한 사이트 정보가 평문으로 오가기 때문에 빠르게 확인하고 차단을 수행할 수 있었다.
하지만 SSL/TLS(주소창에는 HTTPS라고 써 있다. 자물쇠 모양으로.) 암호화 웹에 접속할 경우에는 악성여부를 판단하지 못한다.
알게 모르게 PC가 이미 오염되어 있을 수도 있다.

사태를 파악했을 때는 이미 내 PC파일 뿐 아니라 회사 네트워크 전체가 악성코드와 랜섬웨어로 마비된 이후일지도 모른다.


2. 내 PC가 정보유출의 통로가 될 수 있다.

두 가지 경우로 언급하고자 한다.
해커에 의한 정보탈취와 내부자에 의한 개인정보 유출로 나누어 이야기하고자 한다.

해커에 의한 정보탈취: 위에서 언급한 악성코드 감염 이후의 심화행위가 될 수 있다.
해커는 개인정보처리자가 보유한 데이터를 손에 넣은 후 악용할 수 있다.
데이터를 변조하여 금품을 요구하거나(랜섬웨어) 개인정보를 탈취한 후 판매하거나 공개하여 금전적 이득을 취하거나 기업, 크게는 국가의 평판을 추락시키기도 한다.
정보탈취는 보통 네트워크를 통해 이루어진다.
PC권한을 확보한 후 원격접속을 통해 덤프를 떠서 POP3S, SMTPS, FTPS, SMTP, STARTTLS 나 웹메일, 클라우드로 개인정보를 유출하기도 한다.
당연한 이야기이지만, SSL/TLS 암호화 기반 트래픽 환경을 기존 네트워크 장비로는 막을 수 없다.


내부자에 의한 정보탈취: 하지만 데이터는 금전적인 이익과 연결되는 경우가 많기에 정보구매자도, 불법조회자도 존재한다.
기존 네트워크 보안 솔루션이 암호화된 패킷을 읽지 못한다는 점을 알고 과감하게 SSL/TLS 기반 웹서비스로 정보를 유출하기도 한다.
로깅도 되지 않기 때문에 알아차릴 수도 없다는 것을 알기 때문이다.



양날의 검, SSL/TLS

SSL/TLS 웹서비스는 보안성 여부에서는 안전한 기술인 것은 맞다.
그러나 정보가 송수신되는 행위에 대해서는 보안에 위협이 되는 채널로 악용될 수 있는 기술이기도 하다.
장점과 단점이 공존한다.
‘웹프록시’는 PC와 클라이언트 서버사이에서 암호화로 오가는 정보를 중간에서 복호화하여 가시성을 확보해준다.
평문으로 복호화 해주어 보안 솔루션에게 넘겨준다.
악성코드 차단과 정보유출 차단을 수행하는 SWG(Web SecureGateWay)와 DLP(Data Loss Prevention)의 보안범위를 넓혀준다.

뿐만 아니라 IPS, IDS, APT, 포렌식 등 다른 보안 솔루션에도 연동이 가능하다.
웹프록시는 기존 네트워크 장비가 수행하지 못하는 보안업무를 ‘보완’해준다.

웹프록시는 SSL/TLS 암호화웹 트래픽을 검사, 복호화하여 솔루션에 제공해준다
웹프록시는 복호화한 패킷을 보안솔루션에 제공해주는데, Inline(인라인)/Mirroring(미러링) 모두 적용이 가능하다.
각 보안 솔루션에 맞는 방식으로 구축이 가능하다는 장점이 있다.

복호화된 정보는 각 보안솔루션의 탐지서버에서 분석된다.
분석이 완료되면 해당 트래픽의 목적지가 결정된다.
개인정보나 악성코드가 들어있으면 반출 또는 유입이 차단된다. 문제없는 트래픽이라면 문제없이 송수신된다.


웹프록시가 가져야 할 덕목

보안은 보수적으로 수행하는 것이 안전하기는 하다.
하지만 그렇다고 해서 개인정보가 들어있다고 무조건 전송을 차단하고,
장애가 발생해 네트워크가 마비되어도 무조건 차단하는 방식을 고수한다면 융통성이 없는 운영방식이라고는 불만을 받을 수 밖에 없을 것이다.
업무의 효율성을 중시하는 사내 임직원들의 반발이 거셀 것이다.
1분1초가 급한 계약서, 견적서, 정부과제 등이 사내 네트워크 장애로 발송이 되지 않는다면 당사자의 매서운 눈초리를 견딜 수 없을 것이다.

​ 웹프록시를 적용하더라도 융통성있게 보안업무를 수행해야 한다.
예를 들자면, 개인정보가 일정개수 이상 포함되어 있어도 발송 목적지가 신뢰할 만한 곳이라면 화이트리스트 정책을 통해 송수신하도록 정책을 설정하면 효율적일 것이다.
하드웨어나 소프트웨어에 장애가 발생할 경우 바이패스하거나 자동복구기능을 통해 세션을 유지하여 가용성을 보장한다면 업무가 수월할 것이다.
이와 동시에 이슈가 발생하면 빠르게 해결해야 할 것이다.
자체 디버깅 정보와 pcap(패킷캡쳐)를 제공하여 다양한 데이터를 기반으로 빠른 지원을 약속한다면 보안담당자와 사내임직원의 업무환경을 모두 만족시킬 수 있을 것이다.

소만사 T-Proxy, 기획단계부터 DLP 및 유해사이트 차단 솔루션과 일체화

소만사 웹프록시 솔루션 ‘T-Proxy’는 기획단계부터 DLP 및 유해사이트 차단솔루션과의 일체화를 목적으로 설계된 하드웨어 솔루션이다.
DLP, 유해사이트 뿐만 아니라 IPS, IDS, APT 솔루션 등과도 자연스러운 연동이 가능하다.
아울러 ICAP을 벗어 던진 솔루션이기에 외산대비 30%이상 향상된 성능을 자랑하고 있다.
보안인프라 전반에 걸쳐 효율성을 증대시킬 수 있었다.

소만사는 개인정보보호법, 신용정보법, 전자금융거래법 등 정보보호관련 컴플라이언스를 준수하는 솔루션을 개발한다.
T-Proxy’ 역시 기술적 보호조치를 100% 이행한다.
‘T-Proxy’를 도입한 기업과 기관들은 이를 통해 집단소송/법적처벌 가능성을 최소화할 수 있게 되었다.
T-Proxy는 현재 100곳 이상에 적용되어 각 기업/기관에서 개인정보와 안전한 웹환경을 보장하고 있다.

SSL/TLS 웹트래픽은 매년 꾸준히 증가하고 있으며, 현재도 많은 기업과 기관들이 SSL/TLS 기반으로 전환하고 있다.
비영리기관단체 마저도 말이다. 이제는 SSL/TLS(HTTPS)가 아닌 곳을 찾기 힘들어졌다.



“기껏 암호화하여 안전성을 확보한 SSL/TLS 트래픽을 왜 다시 복호화하여 일을 두번 하는가”라는 부정적인 시선으로 SSL/TLS 복호화를 바라보는 시선도 있긴 하다. 진부한 말이지만,
이제 SSL/TLS 차단은 선택이 아닌 필수사항이다.,

모든 웹서비스는 SSL/TLS로 가고 있기 때문에,
그 SSL/TLS 웹트래픽은 기존 네트워크 보안 솔루션으로는 전혀 차단할 수 없기에
당신의 회사는 반드시 SSL/TLS 웹트래픽 가시성을 확보해야만 한다.

시대의 흐름은 이미 SSL/TLS로 바뀐지 오래다.

패닛스니핑의 위험을 차단하기 위해서 암호화는 필수적인 것이고,
데이터 송수신에서 발생하는 악성코드감염, 개인정보유출 등 보안위협에 대응하기 위해서는
복호화를 통한 가시성 확보 역시 필수적인 것이라 생각한다.



SSL/TLS 가시성확보 및 복호화 수행 소만사 어플라이언스



보안 환경은 시시각각 변화하고 있다.
오늘 안전한 사이트가 내일은 악성코드 배포 사이트가 될 수 있다.
오늘 안전한 PC가 내일은 해커에 의해 PC 관리자 권한이 탈취될 수도 있다.
오늘 듬직하고 믿음직한 동료는 내일 금전적 유혹을 이기지 못하고 정보를 불법조회, 유출할 수도 있다.

보안위협에서 대한민국 네트워크 인프라를 보호하기 위해,
개인정보/기밀정보를 보호하기 위해
소만사는 오늘도 고군분투하고 있다.

유해사이트 차단 솔루션 웹키퍼 SG

네트워크 기반 내부정보 유출방지 솔루션 메일아이

목록

News/ Event

n번방 사건, 공공기관 개인정보 오남용을 효과적으로 통제하려면

[칼럼] | 2020-04-08

개인정보는 금전적 이익과 연결되는 경우가 많기에 위험부담을 안고 정보를 구매하는 사람도, 정보를 불법조회하는 사람도 존재 합니다.
보안담당자는 상시 잠재적인 위험이 있음을 인지하고 통합관제 수행, 사고유형분석, 개인정보보호교육을 진행하여 오남용을 최소화, 사고 확산을 최소화해야 합니다.


사회복무요원이 국민의 개인정보를 무단 조회하여 오남용한 사례가 발생했다.
해당 사회복무요원은 불법으로 조회한 정보를 바탕으로 여아살해를 모의했으며,
취득한 정보를 바탕으로 성착취 협박에 악용했다.

​ 해당 사건으로 인해 병무청은 3일,
사회복무요원의 개인정보 취급업무 부여를 금지하는 복무관리지침 시행과 동시에
행정안전부와 함께 지침 위반여부에 대해 실태조사를 할 계획이라고 밝혔다.

​ 도대체 어찌 이런 어처구니없는 일이 발생할 수 있을까?
이런 상황이 일어나게 된 현실에 국민들은 분노하고 공분하고 있다.

​ 씁쓸하지만 정보시스템 설계자의 입장에서 보면,
‘개인정보 불법접근’은 일어날 수밖에 없는 사고였다.
과격하게 말하면 이미 수차례 발생했던 사고였고, 이번 기회에 크게 알려진 것뿐이다.
이렇게 악랄한 방식으로 활용될 줄은 몰랐지만 말이다.

​ 정보처리시스템을 설계하면서 ‘개인의 도덕성에 전적으로 의존하는 것은 매우 위험한 일’ 이다.
선량하고 도덕적인 사람만이 시스템을 사용할 것이라고 가정하면서
시스템을 설계하는 것은 보안관점에서 있을 수 없는 일이다.

​ 정보처리시스템을 설계할 때에는 ‘제로 트러스트’ 기반 아래에
적법한 절차를 거쳐 인증받은 사용자라 하더라도
해당사용자가 100% 맞지 않을 수는 있다는 가정 하에서 수행해야 한다.


개인정보는 금전적인 이익과 연결되는 경우가 많다.

​ 출장을 떠난 배우자가 정말 출장 간 것이 맞는지 무선 기지국의 수신정보를 토대로 혹시나 서울한복판에 있는 것은 아닌지 궁금할 것이다.
VIP 고객정보를 확보하고 싶은 사업자는 마케팅을 위해서 고액 종합부동산세 납부자의 명단을 얻고 싶을 것이다.
채무를 변제하지 않고 잠적한 사람의 최근 전입 신고한 집주소를 알고 싶을 것이다. 결혼할 배우자의 월 소득이 궁금할 것이다.

공공기관은 업무특성상 국민의 의료, 교육, 소득, 채무내역, 가족관계, 병역과 같은
개인정보를 보유하고 있다.
해당 정보는 유출될 경우 개인의 평판을 좌우할 수도 있을 정도로 민감한 정보이기도 하다.

세상에는 이러한 정보를 얻기 위해 수십만 원 정도는 기꺼이 지출할 의사를 가진 상당수의 사람들이 존재한다.
그리고 또 다른 사람들은 위험부담이 있음에도 불구하고 금전적 이득 혹은 개인적 이득 때문에 불법조회에 가담한다.
행정 민원서비스를 처리하는 사회복무요원과 같은 약한 고리를 공략할 방법은 이렇게 너무나도 많다.

일부 공공기관은 이러한 ‘대국민 서비스 시스템’에서
개인정보 오남용 혹은 부정사용이 발생할 것을 선제적으로 예측했다.
이를 방지하기 위해 ‘개인정보 통합관제 시스템’을 선도적으로 구축했다.

​ 특히 보건복지부는 이미 10여 년 전부터 ‘개인정보 통합 관제센터’를 운영해왔다.

​ 물론 ‘개인정보 통합 관제센터’를 설립하고 운영한다고 해서 오남용이 효과적으로 통제되지는 않는다.
필자의 센터운영 경험에 비추어 볼 때 끊임없이 새로운 사고 유형을 분석하고,
상시적인 모니터링과 더불어 개인정보 처리자에 대한 보안의식 고취 교육을 꾸준하게 진행해야만 한다.

​ 위와 같은 노력에도 불구하고 개인정보 오남용 사례는 100% 완벽히 근절되지 않는다.
대국민 서비스 운영자는 매년 수천 명씩 바뀐다.
그 분들 중에서는 보안의식이 철저한 분들도 계시지만,
아직은 긴장감이 떨어지는 분들도 계실 수밖에 없다.

​ ‘대국민 서비스 시스템’에는 상시 잠재적인 위험이 존재하고 있다.
그렇기 때문에 ‘개인정보 통합 관제센터’는 개개인 또는 일원의 개인정보 오남용이
대형 보안사고로 번지기 전에 신속하게 발견, 사고의 확산을 막아내는 것이 주된 목표가 된다.

​ 이번 사고가 법의 심판을 받는 것과 동시에,
이후 공공기관의 ‘대국민 서비스 시스템’을 설계할 때
데이터 오남용에 대한 상시적인 모니터링 및 분석 시스템 확대의 계기가 되기를 바란다.


​ 이야리 공학박사 / ㈜ 소만사 컨설팅 실장




목록

News/ Event

이제는 싱글에이전트 도입을 준비해야 하는 시기

[칼럼] | 2020-03-18

‘싱글에이전트’, 비용절감, 성능유지, 안정성 확보, 보안성, 업무효율 혁신 가져와

지금으로부터 10년 전, 모 은행 보안 책임자가 한탄한 적이 있다.

“PC에 설치되는 에이전트 갯수가 너무 많다”고.

고객의 요구사항은 이미 10년 전부터 존재했다. 이제는 한계에 도달했다.

대기업은 전문 보안팀이 있으니 전문적으로 수행할 수 있겠지만,

중견·중소규모의 기업기관은 많은 에이전트를 수월하게 관리할 수 없을 것이다.

중견·중소규모의 기업기관은 보안이슈가 발생했을 때부터 싱글 에이전트에 대한 열망이 컸다.

보안담당자의 요구사항과 함께 어느덧 기술력도 높아졌다.

개별 에이전트 운영 시 얻을 수 있는 장점보다,

통합 에이전트 운영시 누릴 수 있는 장점이 압도적으로 더 커졌다.

이제는 ‘싱글 에이전트’에 도전할 수 있는 시기가 되었다.

#엔드포인트 보안은 <악성코드 차단>과 <데이터 보호>로 나뉜다

엔드포인트 보안이슈는 크게 <악성코드 차단>과 <데이터 보호>로 요약할 수 있다.

큰 그림으로 보면 보안사고는 다음과 같은 시나리오로 발생한다.

<악성코드 차단>은 기존에는 실행파일 패턴 분석의 안티바이러스 솔루션이 보안을 수행했다.

패치관리 시스템도 비슷한 역할을 했다.

패치만 적시에 이루어진다면 악성코드에 감염될 확률이 줄어들었기 때문이다.

최근에는 행위기반의 솔루션인 EDR(endpoint detection and response)로

차세대 보안솔루션 트렌드가 바뀌고 있다.

최초의 공격인 제로데이 어택에 대응하기 위해서는

실제환경에서 실시간으로 대응하는 것이 더 효과적이기 때문이다.

<악성코드 차단> 솔루션은 안티바이러스 솔루션을 거치고,

패치관리를 지나, EDR쪽으로 통합화의 길을 걷고 있다.

<데이터 보호>는 USB 매체제어, 출력물통제, 인터넷 파일전송통제,

파일 암호화, DLP, DRM 등 개별적인 솔루션으로 등으로 개발되어 왔다.

이 분야는 DLP(내부정보유출방지: Data Loss Prevention)솔루션이 통합하고 있는 추세다.

초기에는 특정 솔루션을 지칭하는 단어였지만 현재는 데이터 보호를 통칭하고 있다.

DLP가 유출차단 뿐만 아니라

데이터 검출과 매체제어, 암호화 기능을 함께 수행하고 있기 때문이다.

DLP 솔루션은 국내기업이 강세를 보이고 있다.

대한민국 산업 특성상 제조업이 발달했는데,

이로 인하여 도면, 기술, 생산라인, 제품디자인 등 산업과 관련된 정보를 보유하고 있어

이를 보호하기위해 국내기업의 DLP 기술이 크게 발전했다.

미국이 소스코드, 개인정보, 의료정보보호 측면에서 DLP 기술이 발전한 것과는 다른 양상이다.

DRM은 파일 암호화, 애플리케이션 통제에 중점을 둔 보안 솔루션이다.

DLP와 비교했을 때 기능이 비슷해지는 추세이기에 큰 차이는 없어졌다.

과거에는 DLP와 DRM에 관한 비교자료가 나올 정도로 두 솔루션은 다른 솔루션으로 인식되었다.

하지만 지금은 큰 차이가 없는 솔루션으로 받아들여지고 있다.

#통합, 통합, 통합

보안기업들은 에이전트의 개수를 축소, 통합하는데 집중하고 있다.

<악성코드 차단>과 <데이터보호>로 에이전트의 개수를 2개로 축소하는 것은

단순해 보이지만 매우 큰 혁신이다.

에이전트 개수를 2개로 줄이는데 성공하면,

마지막으로 하나의 솔루션으로 통합하는 것이 목표가 될 것이다.

그래서 보안기업들은 <악성코드 차단>기능을 수행하는 에이전트와

<데이터 보호>를 수행하는 DLP 통합을 목표로 단일화에 도전하고 있다.

글로벌 업체들은 장기적인 로드맵을 가지고 싱글 에이전트에 도전하고 있다.

전통 PC보안강자인 시만텍, 맥아피 이외에도 OS와 오피스로 유명한 MS(마이크로소프트)가

악성코드 차단에 투자하고 있다.

보안산업이 20년 동안 성장하고 안정됨에 따라,

우리나라에서도 20년간 기술력과 고객을 바탕으로 싱글에이전트 프로젝트에 도전하고 있다.

몇몇 대기업은 현재 통합 프로젝트를 수행하고 있다.

‘싱글에이전트’의 출시는

비용절감, 성능유지, 안정성 확보, 보안성, 업무효율 측면에서 혁신을 가져올 수 있다.

총소유비용(TCO: Total cost of Ownership)의 절감을 가져올 수 있고,

안정적인 환경 속에서 정교한 통제가 가능해진다.

대기업과 중견·중소기업 모두가 원하는 솔루션이다.

싱글에이전트는 모든 보안 담당자가 꿈꾸는 꿈의 기술인 것이다.

[글. 소만사 최일훈 부사장]

출처 : 데일리시큐(https://www.dailysecu.com)

https://www.dailysecu.com/news/articleView.html?idxno=106928

목록

News/ Event

[싱글에이전트] 우리회사에 설치된 보안 에이전트는 몇 개?

[칼럼] | 2020-03-13

대기업은 PC에 몇 개의 보안 에이전트를 설치할까

PC에 설치되는 PC보안 에이전트 종류는 15개를 훌쩍 넘는다.

DLP, USB매체제어, 출력물보안, PC개인정보검색, 안티바이러스, PC보안, EDR, DRM,

패치관리 시스템, 소프트웨어 자산관리, PC유해사이트 차단, 지키미(공공기관 보안점검 에이전트),

문서중앙화, 랜섬웨어 차단, 키보드보안 등

대기업에서는 평균 5~6개의 에이전트가 PC에 설치된다.

보안사고 발생, 정부정책 법령변화, 그리고 해킹기술의 발달로 인하여

PC보안 에이전트 개수는 꾸준히 증가해왔다.

예를 들면, 2011년 개인정보보호법 제정에 따라 PC 개인정보 검색/삭제/암호화 솔루션이 설치되었다.

최근에는 악성코드 변종이 폭발적으로 증가함에 따라

패턴기반 안티바이러스 에이전트가 아닌, 행위기반 EDR 에이전트가 PC에 설치되기 시작했다.

각각의 보안 솔루션은 특정 이슈에 대해서 최고의 성능올 보인다.

예시를 들어보겠다.

출력물 보안 솔루션은 워터마킹, 출력물 로그관리, 출력물 결재,

출력물 개인정보 검색, 토너 절감기능을 가지고 있다.

출력물 보안 솔루션은 출력물 보안에 대해서는 가장 최적화된 기능을 제공한다.

하지만 부팅 후 작업표시줄에 에이전트 트레이 아이콘이 하나둘씩 나타나

한 쪽을 꽉 채우는 모습을 보면 내 PC를 혹사 시키고 있는 것 같아 애처로워 보일 때가 있다.

중견수, 좌익수 사이에 공이 떠 있으면 누가 잡아야 할까?

여러 개의 에이전트를 PC에 설치할 경우 발생할 수 있는 문제는 다음과 같다.

첫번째, 성능문제가 발생한다.

엑셀 프로그램 클릭만 했을 뿐인데

갑자기 PC가 먹통되는 경험이 최소 한 번 정도는 있을 것이다.

보안 에이전트가 백그라운드에서 동작하기 때문에 발생하는 문제다.

한정된 PC 메모리에서 에이전트 5개 이상이 동시에 실행되고 있기에

시스템에 부하가 발생하는 것은 당연한 일일지도 모르겠다.

두번째, 안정성 문제가 발생한다.

장애발생은 치명적이다. 새로운 보안 솔루션이 도입되면 PC에 블루스크린이 자주 뜰 때가 있다.

난감해진다. 블루스크린은 보안 솔루션의 후킹(Hooking) 때문에 발생한다.

보안 솔루션은 이상행위를 감지해야 한다.

때문에 USB, 출력물, 메신저, 오피스 프로그램 등을 통제해야 하므로 디바이스 이벤트를 후킹할 때가 있다.

안정성이 떨어질 수밖에 없다.

5개의 솔루션이 죄다 후킹을 하다가 그 중에 하나가 삐끗하기라도 하면 PC가 먹통이 된다.

5개의 솔루션 중 무엇이 문제를 일으켰는지 확인할 길이 없기에

때때로 5개의 보안업체가 한 곳에 모여 문제를 해결하기도 한다.

세번째, 보안성이 저하된다.

보안 솔루션이 다른 보안 솔루션을 적으로 인식하기도 한다.

서로 충돌한다.

보안위협을 찾아내는 것이 역할이기 때문에

중복으로 보안하는 구간에서 만나게 되면 서로를 보안 위협으로 인식할 수가 있다.

이를 해결하기 위해 충돌방지기능을 추가하면 보안에 사각지대가 생길 수 있다.

마치 야구 경기 중에 중견수, 좌익수끼리 서로 눈치보다가 어이없이 실책하는 경우 같다고 보면 되겠다.

네번째, 업그레이드가 번거롭다.

진정한 지옥문은 PC OS가 업그레이드될 때 열린다.

OS의 업그레이드는 곧 보안 솔루션 에이전트의 업그레이드를 의미한다.

만일 그 사이 업체가 사업에서 철수하거나 폐업하거나 합병되었을 경우

새로운 OS 보안에 대책이 없는 상태이기 때문에 새롭게 솔루션을 도입해야 할 수도 있다.

충돌/안정화문제는 다시 한번 점검해야 할 사항이 될 것이고 말이다.

마지막으로 일관성이 없는 경우가 있다.

대표적인 것이 개인정보 분석능력이다.

하나의 엑셀 파일에 대해 분석을 했을 때 개인정보 검색 솔루션은 주민번호 100건을 탐지하고,

출력물 보안 솔루션은 95건을, USB 통제 솔루션은 90건을 탐지한다면 문제가 된다.

업체마다 개인정보 정확도가 다를 수는 있지만 정확하게 탐지하지 못하면

이는 도입한 기업, 기관의 위험부담이 된다.

이렇게 많은 문제가 있음에도 불구하고 에이전트 개수는 줄지 않고 늘어나기만 했다.

왜냐하면 보안 솔루션 하나를

직원 6천명의 PC에 설치하고 안정화하려면 1년의 시간이 소요됐기 때문이다.

그렇기 때문에 에이전트를 새롭게 설치하고 안정화하는 것은

보안담당자 입장에서는 다시 겪고 싶지 않은 경험일 것이다.

기존 솔루션에 다른 솔루션을 추가해 어떻게 해서든 버텨나가는 것이 마음은 편할 것이다.

소프트웨어 에이전트는 업그레이드시 큰 비용이 소요되지 않는다.

개발사의 입장에서도 기능추가보다는 새로운 솔루션을 출시하는 것이 매출확대에 더 도움이 된다.

그래서 비효율적임에도 불구하고 PC에 설치되는 에이전트의 개수는 계속 늘어나기만 했다.

​[글. 소만사 최일훈 부사장]

출처 : 데일리시큐(https://www.dailysecu.com)

https://www.dailysecu.com/news/articleView.html?idxno=106872

목록

News/ Event

마이터 어택, EDR의 수준을 끌어올리다.

[칼럼] | 2019-11-25

MITRE ATT&CK 등장

미국 연방정부의 지원을 받는 비영리 연구개발 단체인 ‘MITRE(마이터)’는

본래 국가안보관련 업무를 수행했다.

국가안보, 항공교통, 국토보안관리시스템 구축 등 인프라와 관련된 부문을 주로 연구했다.

그러나 점점 국가간 사이버공격의 영향력이 커지고 피해가 늘어나면서

자연스럽게 해당 부분에 대한 연구가 시작되었다.

그렇게 발간된 것이 ‘ATT&CK(어택)’이다.

‘ATT&CK’은 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 ‘사이버공격 킬체인 보고서’다.

의학으로 비유를 하면, 인체에 해를 끼치는 증상에 관한 치료법과

투약제품을 모두 정리해둔 자료라고 볼 수 있겠다.

MITRE ATT&CK, 예측과 탐지, 대응이 가능해지다

‘ATT&CK’은 실제 관측에 기반, 분석한 자료를 토대로 프레임워크를 구성했다.

11단계에 걸쳐 11개의 전술을 서술했다.

전술은 다음과 같이 정리되어 있다.

전술(Tactics)

1. 초기 접속(Initial Access):

악성코드를 유포하거나 첨부파일에 악성코드를 심어

공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성행위를 위한 초기 진입방식.

2. 실행(Execution):

공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술.

3. 지속(Persistence):

공격 기반을 유지하기 위한 전술.

운영체제에서 사용하는 파일을 공격자가 만든 악의적인 파일로 대체하여 지속적인 악성 행위를 수행하거나

높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당.

4. 권한 상승(Privilege Escalation):

공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술.

시스템의 취약점, 구성 오류 등을 활용.

높은 권한을 가진 운영체제로 악의적인 파일을 삽입하는 기법 또는 시스템 서비스 등록 기법 등으로 권한상승.

5. 방어 회피(Defense Evasion):

공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위해 사용하는 전술.

보안 소프트웨어 제거/비활성화, 악성코드의 난독화/암호화,

신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지.

6. 접속 자격 증명(Credential Access):

공격자가 계정 이름이나 암호 등을 훔치기 위한 전술.

정상적인 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고,

목적을 달성하기 위해 더 많은 계정을 만들 수 있음.

7. 탐색(Discovery):

공격자가 시스템과 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술.

공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향을 정할 수 있음.

8. 내부 확산(Lateral Movement):

공격자가 네트워크에서 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술.

공격자는 자신의 원격 접속 도구를 설치하여 내부 확산을 수행하거나,

운영 체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근함.

9. 수집(Collection):

공격자가 목적과 관련된 정보 또는 정보의 출처가 포함된 데이터를 수집하기 위해 사용하는 전술.

데이터를 훔치고 유출하는 것이 목적.

10. 명령 및 제어(Command and Control):

공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술.

11. 유출(Exfiltration):

공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술.

공격자는 데이터를 탐지되는 것을 피하기 위해 데이터를 압축/암호화 후 전송하거나

데이터의 크기 제한 설정을 통해 여러 번 나누어 전송하는 방식을 사용.

12. 임팩트(Impact):

공격자가 가용성을 낮추고 무결성을 손상시키기 위해

운영 프로세스, 시스템, 데이터를 조작하고 중단시키고 나아가 파괴하는 데 사용하는 전술.

 

MITRE는 각 전술에 사용된 기법들을 일목요연하게 정리했다.

더 나아가 피해를 경감할 수 있는 방법, 해당 악성행위를 사용하는 공격그룹,

프로그램 샘플까지 제공하고 있다.

‘ATT&CK’ 공개 후 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다.

대응체계 구성이 가능해지니 EDR의 완성도가 높아졌다.

수많은 사례와 기술에 대해 학습한 결과, 변종 악성코드와 공격 예측이 가능해진 것이다.

사전에 예견하고 대책을 세울 수 있게 되어 ‘Response’의 기능이 대폭 향상되었다.

만일 최초의 공격으로 이미 악성행위를 받은 상태라면

‘피해경감 기법’을 참고해 피해를 확산시키지 않고 최소화할 수 있게 되었다.

매일매일 바뀌는 공격기법 속에서 ‘ATT&CK’은

지속적으로 보안기술과 보안위협에 대해 업데이트 하고 있다.

지난 7월에만 해도 485개의 전술기법, 91개의 해킹그룹, 397개의 악성코드에 대해 업데이트 했다.

뿐만 아니라 더 이상 사용하지 않는 전술과 기법에 대해서도 별도로 정리하기 때문에

항상 최신형상 유지와 동시에

‘죽은 기법의 변종 등장’에 대해서도 꾸준히 대응책을 마련할 수 있게 되었다.

대응에 중점을 둔 EDR, 이제 어떻게 진화할까

탐지(Detection)는 가능하되

대응(Response)에서는 확실한 해법을 내세우지 못하던 ‘EDR’ 이었지만

‘ATT&CK’의 공개는 흐름을 바꿔 놓았다.

EDR 기업들은 해당 프레임워크를 활용하기 시작했고,

그 결과 EDR은 높은 수준의 악성행위 대응전략을 사용자들에게 보장할 수 있게 되었다.

다시 말하면 모두가 일정 수준의 대응방식을 취할 수 있게 되었다

TI(Threat Intelligence: 위협 인텔리전스) 연동의 경우

EDR 기업 모두 정확도를 높이기 위해 타사의 DB를 구매/공유하므로 큰 차이가 없다.

해쉬차단 역시 서로 공유하는 구조이기 때문에 데이터의 품질은 동일하다.

머신러닝, 딥러닝은 현재 모두 같은 출발 선상에 있기에 비교하기에는 무리가 있다.

어떻게 보면 또 다른 경쟁시장이 등장했다.

독보적인 강점을 가진 EDR로 살아남아야 하는 시대가 온 것이다.

EDR은 인수합병 중

엔드포인트 보안의 흐름이 EDR로 굳혀진지는 오래됐다.

실제 환경에서 정보 탈취행위, 악성코드 주입, 데이터 파괴/암호화 행위 등

보안위협이 발견되면 빠르게 대응해 정보자산을 보호하고,

확산을 막는 방식이 가장 효과적임을 알게 된 것이다.

보안 기업들은 자신의 강점에 EDR을 결합하는 방식을 취하고 있다.

글로벌 보안기업 중 일부는 EDR 기업의 인수를 진행하고 있다.

포티넷은 ‘엔실로’를 인수했다.

엘라스틱은 ‘엔드게임’을 인수했다.

VM웨어는 ‘카본 블랙’을 인수했다.

SIEM이나 클라우드 보안 등 자신의 강점을 내세운 EDR이 출시될 것이다.

DLP와 EDR

질문을 던져 본다.

“왜 회사에서는 악성코드, 랜섬웨어 감염을 막기 위해 노력할까?”

컴퓨터가 느려지니까? 업무에 방해가 되니까? 업무효율을 따지면 맞는 말이긴 하다.

가장 중요한 것은 악성코드/랜섬웨어 감염으로 인하여

내부에 보관된 정보가 탈취되거나 변조되어 발생하는 후폭풍을

사전에 차단하기 위해서 일 것이다.

내부정보의 유출/변조 시

브랜드 이미지 하락, 신뢰도 하락, 고객이탈, 소송, 형사처벌 등

겪어야 할 풍파가 끊임없이 밀려올 테니까 말이다.

앞서 이야기했지만 최초의 공격은 아무도 막을 수 없다.

그저 가능한 효과적으로 신속하게 대응하는 것이 유일한 방법이다.

대응에 우선순위를 두어야 한다.

중요한 정보가 우선 보호되어야 한다는 의미이다.

데이터 중요도에 따라 보호수준을 차별화해야 한다.

주기적으로 중요정보를 식별해서 분류할 필요가 있다.

위협감지시 중요정보부터 우선 보호하도록 구상해야 한다.

사전에 대응전략을 설정해야 사내기술정보(도면, 기밀, 특허), 개인정보 등

중요정보가 랜섬웨어에 감염돼 암호화되거나

해커에 의해 탈취되는 위험이 발생할 경우 신속하게 대응할 수 있다.

해커는 정보를 탈취하거나 데이터 파괴, 변조, 암호화를 수행할 때 네트워크를 통해 잠입한다.

달리 말하면 네트워크만 잘 통제한다면 유출행위는 막을 수 있다.

제로데이 공격으로 인해 정보유출 위기에 놓여있다고 해도

해커가 유출을 시도할 수 있는 모든 네트워크 경로를 통제하고 있다면 최악의 상황은 면할 수 있다.

해킹이 교묘해질수록 보안기술도 고도화된다

초기 악성코드는 자신의 프로그래밍 능력을 과시하기 위한 수단으로 활용됐다.

이후 경쟁사, 경쟁자의 업무를 방해하는 목적으로 사용되었으며,

시간이 흘러 기밀정보, 개인정보 등 ‘정보탈취’ 수단으로 악용되었다.

현재는 기존 데이터를 파괴, 변조, 암호화하여 데이터를 볼모로 잡고 금전적인 이득을 취하고 있다.

악성행위를 차단하고 통제할 때 마다 해커는 더 교묘한 수법으로 권한을 획득해 위협한다.

해킹의 수법은 끝이 없어 하루에도 변조된 기법만 수백 수만개가 생성된다.

일일이 시그니처를 파악해 업데이트 하는 것은 시간이 오래 소요되고 인력소모가 크다.

샌드박스를 이용하는 것은 이미 회피능력이 탑재된 악성코드에게는 무용지물이다.

실제 상황에서 발생한 데이터를 토대로 그들이 더 이상의 전술을 펼치지 못하도록 대응해야 한다.

PC에서 발견한 악성행위 정보와 대응방식은

EDR 서버에 전송해 전세계 모든 PC에 악성행위가 전파, 확산되지 않도록 방어하는 것이

현재 개발된 보안기술 중 가장 효과적인 방식이다.

해커가 신박한 방법으로 기술을 개발해 우리를 교란시킬 수록, 우리도 진화한다.

정답은 EDR이다.

참고자료:

https://attack.mitre.org

https://www.mitre.org

http://www.etnews.com/20191101000018

http://news.heraldcorp.com/view.php?ud=20191021000851

https://byline.network/2019/08/30-57/

목록

News/ Event

글로벌 EDR 트렌드 그리고 ‘DLP’와 ‘EDR’

[칼럼] | 2019-10-14

DLP와 EDR 결합 통해 악성행위 차단하고주요한 정보 우선적으로 보호해야

– 소만사 부사장 최일훈

2018년 EDR 트렌드

작년의 대세 역시 EDR이었다.

다만 2018년에는 Detection(탐지)의 성향이 강한 솔루션이 주를 이루었다.

당시의 EDR 솔루션들은 적극적으로 행위를 제어하는 것 보다는

엔드포인트에서 발생하는 이슈들을 최대한 수집하고 분류한 후

보안관리자가 대응할 수 있도록 도와주는 포렌식 도구의 느낌이 강했다.

즉, 정보는 수집하여 줄 수 있으나 판단과 대응은 보안담당자에게 맡기는 구조였다.

ATT&CK, EDR에 대응력을 불어넣다

이런 상황을 보완하고자 하는 움직임이 있었다.

미국의 비영리 단체인 ‘MITRE’에서 ATT&CK 모델을 발표했다.

ATT&CK은 사이버공격 관련 킬체인 관리보고서다.

킬체인은 본래 군사용어로 공격형 방위시스템을 일컫는다.

정보보안업계에서 킬체인은 ‘사이버 공격 방위시스템’으로 이해하면 되겠다.

ATT&CK은 2015년 발표된 후 조금씩 개선/고도화됐다.

2018년 봄에는 상세한 기법과 함께 정리된 데이터를 오픈소스로 공개했다.

그리고 이 시점부터 EDR 기업들은 ATT&CK을 적극적으로 활용하기 시작했다.

ATT&CK은 initial access, execution, discovery, Exfiltration 등

11개의 전술과 각 전술에서 사용되는 기법들을 일목요연하게 정리했다.

각 기업에 관한 설명, 탐지방법, 기법을 사용한 해킹그룹의 사례도 제공하고 있다.

더 나아가 각 엔드포인트 보안제품군이

각 기법들에 대해 어떻게 대응하고 있는지 확인이 가능해

자사제품과의 객관적인 평가가 가능하다.

ATT&CK을 토대로 EDR 기업들은

각 공격기법에 대해 적극적으로 대응할 수 있게 되었다.

2018년은 Detection의 비중이 컸다면 2019년은 Response로 조금 더 진화했다.

국내 EDR 역시 ‘대응’에 초점

글로벌 트렌드에 맞추어 국내 EDR 솔루션 역시 대응(Response) 중심으로 변화하고 있다.

탐지엔진의 위치를 엔드포인트로 과감하게 변경하고 있다.

공격이 감지되면 바로 대응(Response) 할 수 있도록 조치하는 것이다.

2019년의 EDR은 ‘Endpoint Detection’에 ‘& Response’가 강화됐다.

정확하고 신속한 위협대응으로 확산을 막는 것이 현실적으로 가능해졌다.

EDR이 극복해야 할 과제

때때로 이런 질문을 받는다.

“EDR이 탐지했을 때는 이미 최초의 PC 한 대는 감염된 것 아닌가요? 그건 감염사고잖아요.”

맞는 말이다. 전세계에서 최초 한 번은 감염된다.

다만, 그 이후 우리회사뿐만 아니라

EDR이 도입된 전세계 다른 엔드포인트 감염은 막을 수 있다.

EDR은 신종/변종 발견시 기존 대응 솔루션보다 신속하고 자동화된 대응능력을 가졌다.

실제 엔드포인트단에서 프로세스행위 기준으로 분석하기 때문에

정확한 패턴분석력을 가지고 있다.

물론 단점도 있다.

파급력이 어마어마한 악성코드, 바이러스를 실시간으로 대응하기 위해서는

작은 정보도 놓치지 않고 수집해야 한다.

그래서 엔드포인트에서 정보를 광범위하게 수집한다.

엔드포인트 부하가 발생할 수밖에 없다.

악성코드, 바이러스는 PC와 서버뿐만 아니라 모바일 환경에도 영향을 끼친다.

그러나 모바일 플랫폼의 EDR은 아직 출시되지 않았다.

아직까지는 모바일 환경에서의 악성코드, 바이러스, 랜섬웨어 차단은

기존의 시그니처 방식을 이용하고 있다.

스마트폰 활용이 보편화돼 자유로운 웹서핑이 가능해진 요즘,

모바일을 위한 EDR의 필요성이 대두되고 있다.

DLP(Data Loss Prevention:내부정보유출방지)와 EDR

EDR(Endpoint Detection & Response)은 말 그대로 엔드포인트 탐지 및 대응 솔루션이다.

엔드포인트 단에서 무엇인가를 탐지하고 대응하는 행동을 한다.

여러 업체들이 EDR 시장에 들어와 자신의 제품을 선보이고 있지만

우월한 성능을 자랑하고 있는 곳은 극소수이다.

하지만 이들은 EDR에 특화된 기업이다.

그래서 어떤 정보가 더 중요하며 유출되어서는 안되는지 구분하지 못한다.

중요한 정보와 그렇지 않은 정보를 구분해서 보호하지 않는다.

회사 등산대회에서 찍은 단체 사진과 2019년 신규가입 고객정보파일이 있다고 하자.

둘 다 랜섬웨어로 인하여 암호화되었다면 어떤 파일이 더 치명적인 문제를 일으킬 수 있을까?

대응에도 우선순위가 있다. 중요한 정보가 우선 보호되어야 한다.

PC 안에 보관된 개인정보파일, DB/서버 내 고객 데이터베이스,

네트워크를 통해 전송시도된 개인정보파일 등을

통합적으로 연계, 관리하는 솔루션이 필요하다.

이를 통해 중요정보 오염에 선제적 대응을 할 줄 알아야 한다.

즉 무엇을 지켜야 하는지 알고 지켜야 한다.

소만사의 EDR 솔루션은 DLP와 연계됐다.

정보의 우위를 알기에 비상상황 발생시 중요정보부터 우선 보호가 가능하며,

유출통제기능으로 정보유출을 차단하기에 우월하다.

개인정보보호 솔루션은 그 동안 두 단계의 변화를 겪었다.

처음에는 개인정보 파일 검출, 삭제, 암호화를 통해 위험요소를 제거했다.

두번째는 매체, 출력물, 네트워크를 통한 유출의 경로를 차단했다.

이제는 DLP와 EDR의 결합을 통해 악성행위를 차단하고

주요한 정보를 우선적으로 보호해야 한다.

엔드포인트에서 탐지하고 엔드포인트에서 대응해야 한다.

더 나아가 엔드포인트를 통해 정보가 흘러나가지 않도록

네트워크와 연동하여 전방위 대응체계를 구상해야 한다.

해킹공격은 매일매일 지능적으로 고도화되고 있다.

보안 허점은 끊임없이 늘어난다.

EDR을 통해 방어하고 대응해야 할 때다.

https://www.dailysecu.com/news/articleView.html?idxno=73316

목록

News/ Event

SSL/TLS 트래픽의 보안 허점, 해결 방안은? – SSL/TLS 복호화를 통한 가시성 확보 솔루션

[칼럼] | 2019-04-16

주소창 옆 작고 앙증맞은 자물쇠 하나, 바로 SSL/TLS
구글 지메일, 네이버 웹메일, 구글 드라이브, 드롭박스, 인스타그램, 페이스북 등…
하다 못해 일반기업/기관 홈페이지와 NGO단체 홈페이지까지…
우리가 사용하는 대부분의 웹서비스들은 대부분 SSL/TLS 기반으로 만들어져 있습니다.
주소창 옆에 작고 앙증맞은 자물쇠 하나가 새초롬하게 달려있죠.
HTTPS라고 하면 더 이해하기 쉬울까요?
 





SSL/TLS, 원래 금융기관에서 주로 사용했던 기술

SSL/TLS는 기존 HTTP의 한계를 상쇄하기 위해 도입되었습니다.
왜냐하면 HTTP에서는 패킷이 그대로 보였기 때문입니다.
오고 가는 패킷 속에서 비밀번호, 인증번호 등이 노출되면 안됐거든요.
해커들이 탈취할 수 있으니까요.
 
그래서 SSL/TLS는 인증서, 비밀번호가 탈취되면 치명적인 결과를 초래할 수 있는
은행, 증권, 보험 등의 금융 기관에서 주로 사용했던 기술입니다.

  패킷의 송수신이 그대로 보이는 HTTP 프로토콜, 도감청의 위험 있어
하지만 시간이 지날수록 개인정보, 기밀정보에 대한 관심이 두드러졌고
실제로 해커들이 패킷이 송수신되는 채널에 몰래 도청장치를 심어놓고
패킷을 관찰 또는 가로채는 일까지 벌어졌습니다. (이를 패킷 스니핑이라고 하죠)
암호화된 패킷이 송수신 되는 SSL/TLS, 도감청의 위험 없어
정보유출을 걱정한 보안 담당자들은 서둘러 모든 패킷이 암호화되어 오고 가도록 웹서비스를 변경했습니다.
그것이 바로 SSL/TLS입니다.

  SSL/TLS가 적용되면 서버와 클라이언트 PC 사이에 둘만의 암호를 가져
그 외의 사람들은 알아볼 수 없게 됩니다.
해커가 패킷을 가로채는데 성공하더라도 암호화처리 되어 있기 때문에 패킷을 봐도 뭐가 뭔지 알 수 없지요.
 
SSL/TLS 암호화 트래픽은 이제 전세계 프로토콜의 72%를 차지
원래 2015년 기준으로 SSL/TLS 기반 웹서비스는 전세계 프로토콜의 25% 정도 밖에 되지 않았습니다.
국내는 도입속도가 이보다 더딘 편이었습니다.
그런데 어느 순간부터 다음 웹메일, 네이버 웹메일이 SSL/TLS 기반으로 변신을 시작하더니
다른 웹서비스도 하나하나 SSL/TLS 기반으로 바뀌기 시작했습니다.

  왜냐하면 구글에서 SSL/TLS를 적용하지 않은 사이트들은
‘주의 요함: 이 사이트에 접속하는 접속자는 신용카드번호, 비밀번호를 도난당할 수 있음’으로
무섭게 표시했거든요.

  포티넷의 2018년 3분기 ‘글로벌 보안 위협 전망 보고서’에 따르면
SSL/TLS 트래픽은 이제 전체 네트워크 트래픽의 72%이상을 차지한다고 합니다.
금융, 정보통신, 클라우드 등 보안이 중시되는 산업은 이미 80%이상 적용이 완료되었고요.
3년 사이에 약 3배 증가한 셈입니다.

  스니핑 위험에서는 벗어났지만… DDos, APT, 악성코드 공격은?
자, 이제 패킷이 암호화되어 송수신 되니 해커의 정보탈취 위험에서는 벗어났습니다.

  ​ 스니핑 위험에서 벗어났어요!
하지만 해커가 SSL/TLS 웹서비스를 이용해서 역으로 공격을 한다면 어떻게 될까요?
암호화된 패킷이 클라이언트 PC로 전송되기 때문에
송수신자간의 데이터 교환이 일어나는 발생하는 일에 대해서는 깜깜해집니다.
즉 개인정보 유출이나 DDos, APT, 악성코드 공격이 발생할 경우 무력화됩니다.
무엇이 클라이언트PC로 들어왔는지 네트워크에서는 네트워크 보안장비가 파악할 수 없기 때문입니다.
  ​그래서 네트워크 보안장비, DDos, APT 대응장비 및 IPS, IDS 장비들이 제 기능을 발휘하지 못 합니다.
사태를 파악했을 때는 이미 공격을 당한 이후겠죠.

  ​실제로 20만대 이상의 악성코드를 제어하는 C&C서버들이 SSL을 사용하고 있습니다.
기업을 타깃으로 한 네트워크 공격의 50%이 이상이 SSL 트래픽을 이용한다고 합니다.
유명한 랜섬웨어, 봇넷, 루트킷 등은 SSL을 이용하여 공격을 하고 있습니다.
하지만 기존 보안 솔루션은 SSL 가시성을 확보하지 못하고 있죠.
패킷이 암호화되었기 때문에 DLP 솔루션은 내용기반 통제가 안되고
유해사이트 차단 솔루션은 사이트의 차단이 어렵습니다.
IPS/IDS 솔루션은 내가 무슨 공격을 Bypass 했는지도 모를겁니다.

  SSL/TLS 복호화 및 가시성 확보 필요
이러한 상황에서 가장 필요한 것은 바로 SSL/TLS를 복호화해 가시성을 확보하는 기술입니다.
SSL/TLS를 통해 들어오는 패킷을 클라이언트 PC로 들여보내기 전에 복호화한다면
해당 패킷이 평범한 정보인지 아니면 나쁜 마음을 먹고 들어오는 해킹공격인지 파악할 수 있을테니까요.
 
게다가 개인정보가 유출된 후에 후회하는 것보다 아예 패킷을 모두 확인하고 사전에 차단하는게 낫지 않을까요?
시중에 나와있는 SSL/TLS 복호화 솔루션은
443포트를 중심으로 검사하고 복호화하여 보안솔루션에 제공합니다.
보안 솔루션은 정상적인 패킷인지 확인한 후
이를 클라이언트 PC로 중개할지 말지 결정을 합니다.

  조금 더 고도화된 기능을 적용한 솔루션의 경우
  1. 인라인(DLP, IPS, SWG)/미러링(악성코드분석, IDS, 포렌식, APT) 연동방식 지원
  2. 인증서 자동배포
  3. 세션 투명성 보장: 출발지 IP/PORT, 목적지 IP/PORT의 정보변경 없이 유지
  4. 다양한 암호화 프로토콜 커버: HTTPS, SMTPS 등
  5. H/W, S/W 바이패스 기능: 장애가 발생할 경우 바이패스 또는 소프트웨어 자동복구 기능으로 가용성 보장
  6. 이슈분석 자료 제공: SSL/TLS 처리이슈 발생시 디버깅정보 및 pcap파일 다운로드

같은 기능을 제공하기도 합니다.

  소만사의 SSL/TLS 복호화 및 가시성 확보 솔루션은
기획단계부터 보안솔루션과의 일체화를 염두
소만사의 SSL/TLS 트래픽 가시성 확보 솔루션 <T-Proxy v1.0>은 기획단계부터 보안솔루션과의 일체화를 목표로 삼았기 때문에 외산대비 패킷처리 성능이 30%이상 우월합니다.
그렇기 때문에 IPS, APT, IDS, DLP, SWG, 포렌식 장비 등과 연동해도 성능저하가 없습니다.

    네트워크의 흐름은 이제 SSL/TLS!
데이터 송수신에서의 보안위험을 차단하기 위해서는
복호화 솔루션이 반드시 필요합니다.
기껏 암호화한 트래픽을 다시 복호화하다니, 아이러니하다고 생각할 수 있겠습니다.
하지만 시대의 흐름은 이미 SSL/TLS로 바뀌었습니다.
그렇기에 패킷스니핑의 위험을 차단하기 위해서라면 암호화는 필수적인 것이고
데이터 송수신에서 발생하는 보안위험을 차단하기 위해서라면 복호화 역시 필수불가결한 것이라 생각합니다.
변화하는 환경 속에서 끊임없이 발생하고 있는 보안의 허점을 찾아내고 차단하기 위해
소만사는 오늘도 고군분투하고 있습니다.

   







SSL/TLS 복호화 장비는 유해사이트차단, APT, DDos, IDS, IPS 장비와 연동하여 사용할 수 있습니다.
SSL/TLS 복호화 장비는 보통 가시성 확보의 목적으로 사용됩니다.
하지만 개인정보/기밀정보 유출도 막을 수 있다는 사실, 알고 계셨나요?
정확히 말씀드리자면, 가장 중요한 사전통제가 가능합니다.  

소만사에서는 “SSL DLP”라고 부르고 있습니다.

   

“트래픽이 암호화전송 되기 때문에 개인정보유출 사실조차 파악할 수 없는 SSL/TLS 환경”  
해커가 사내정보망에 침입한 후 개인정보/기밀정보를 유출하려고 할 때
사용할 수 있는 유일한 방법은 바로 ‘네트워크’ 입니다.
특히 개인정보, 기밀정보를 유출하고자 할 때,
SSL/TLS를 사용하는 웹서비스를 이용하면 성공할 확률이 높습니다.
왜냐하면 기존의 내부정보 유출방지 솔루션은
트래픽이 암호화 전송되기 때문에 지금 나가는 정보에 무엇이 들어있는지 구분 못하거든요.
  ​ 그냥 패킷이 지나가고 있구나 정도로만 인식할 뿐
그 안에서 아무것도 읽을 수가 없기 때문에 정보유출은 성공하고 맙니다. 치명적이죠.
  “개인정보가 유출될 경우 소송, 기업 이미지하락,형사처벌 위험 발생”
이렇게 유출된 정보는 파급력이 어마어마합니다.
집단소송을 일으키기도 하고요,
기업의 이미지를 추락시킬 수도 있습니다.
최악의 경우 서비스가 아예 폐쇄되거나 회사 자체가 폐업을 하는 경우도 발생할 수 있습니다.

  “SSL DLP, 개인정보유출방지를 위한 강력한 도구”
SSL DLP 솔루션은 위와 같은 최악의 사태를 막아줍니다.
SSL 트래픽을 통한 개인정보/기밀정보 유출을 사전통제하고
사후에 감사자료로 활용할 수 있게 해주기 때문입니다.
그래서 해커가 고의로 개인정보/기밀정보를 유출하려고 해도
내부인의 부주의로 민감한 개인정보를 전송하더라도 사전통제/기록됩니다.  

원리는 아래와 같습니다.

  브라우저를 통해 SSL/TLS로 전송되는 정보는
클라이언트 PC와 네트워크 관문 사이에 위치한 SSL DLP 솔루션이 중개합니다.

  SSL DLP 솔루션은
  1. 밖으로 나가는 패킷을 복호화 한 후
  2. 안에 개인정보/기밀정보가 있는지 분석합니다.
  3. 만약 그 안에 개인정보/기밀정보가 있을 경우 미리 사전에 전송을 차단합니다

  “SSL DLP를 도입할 경우 소송, 형사처벌, 서비스폐쇄 위험 예방 가능”

  SSL/TLS기반 웹서비스를 통한 개인정보유출을 차단하는
SSL DLP 솔루션을 설치한다면 기업/기관은 다음과 같은 효과를 얻을 수 있습니다
 
  1. 국내 개인정보관련 법규를 준수할 수 있습니다
  2. 개인정보/기밀정보의 유출을 사전차단할 수 있습니다
  3. 사전 차단된 로깅기록을 통해 무슨 정보가 무슨 경로로 유출될뻔 했는지 확인하고 대책을 세울 수 있습니다
  4. 더 나아가 집단소송, 형사처벌, 서비스 폐쇄까지 막을 수 있습니다

  “소만사 SSL/TLS 기반 개인정보 유출방지 솔루션 Mail-i”

소만사의 SSL/TLS 기반 개인정보유출방지(DLP: Data Loss Prevention) 솔루션 Mail-i는 설계초기단계부터 SSL/TLS 트래픽 가시성 확보 솔루션 T-Proxy v1.0과의 일체화 계획을 통해 개발되었습니다.

그래서
  1. 프락시와 DLP사이 ICAP연동이라는 무거운 갑옷을 집어던지기 때문에 외산대비 패킷처리 성능이 30% 이상 우월합니다.
  2. 프로토콜 커버리지가 넓어 글로벌 웹서비스는 물론이고 국내에서만 사용하는 SSL/TLS 서비스 역시 정확하게 차단합니다.
  3. 빅데이터 검색엔진을 탑재했습니다. 3년치 데이터는 3분내로 검색이 가능합니다.
  4. 유출되기 전에 사전에 차단하는 것이 가능해졌습니다.
   

  우리나라 제조산업은 세계 최고입니다. 그만큼 보호해야 할 기밀정보/개인정보도 많죠.
그래서 정보보호법이 전세계에 비해 빨리 발달했습니다.
이를 보호하는 기술 역시 가장 먼저 발전했습니다.
그렇기에 DLP 기술은 국내 업체가 세계 최고입니다.
 
Mail-i에 대해 더 자세한 내용을 보길 원하신다면   아래 링크를 클릭해주시면 됩니다
https://www.somansa.com/solution/outflow-control/ssl-tls-network-dlp-solution/
    PDF 다운로드:
https://www.somansa.com/wp-content/uploads/2019/05/SSL-%EB%B0%94%EB%A1%9C%EC%95%8C%EA%B8%B0-SSL-%EA%B0%80%EC%8B%9C%EC%84%B1-%ED%99%95%EB%B3%B4-%EB%B3%B5%ED%98%B8%ED%99%94-%EC%86%94%EB%A3%A8%EC%85%98-.pdf

목록

News/ Event

[유해사이트차단 솔루션의 두뇌-웹 데이터베이스⑥]

[칼럼] | 2018-12-10

지난 한 달간 데일리시큐는 최일훈 소만사 부사장의 <유해사이트 차단 기술이 필요한 이유>에 대해 5회에 걸쳐 칼럼을 연재한 바 있다.
이번에는 <유해사이트차단 솔루션의 두뇌-웹 데이터베이스>를 주제로 연재를 진행한다.
유해사이트를 통해 발생하는 각종 보안사고를 미연에 방지하기 위해 꼭 필요한 내용들이다. -편집자 주-
[연재순서] 1. 어제 생겨난 도박사이트,우리 회사는 어떻게 알고 차단한 거야? 2. 가치사슬의 맨 앞단에<수집>이 있다. 3. <프로슈머>로부터 수집한다 4. 우리는 웹에 있어서 가장 특별한 나라에 살고 있다 5. 한국웹을 외국회사가 DB화 한다는 것이 가능한 일인가 6. 고객사 리스크에 기반하여 분류한다
 
◇고객사 입장에서 리스크가 큰 것부터 분류한다…1차는 악성코드 배포 사이트 수집된 웹사이트정보를 악성코드 분석센터에서 4단계로 정제해. 1차로 글로벌 악성DB와 비교분석하고 2차로 파일시그니처 분석을 하고, 3차로 직접 가상화 환경에서 어떻게 실행되는지 확인해. 필요한 경우 전문가가 직접 파일을 분석해. 악성코드배포사이트로 판정되면 위험DB로 분리하고 하루에 여러 번 재분석을 해. 그래야 악성코드가 치고 들어오면 바로 차단하고 빠지면 바로 차단을 해제할 수 있지.
     
◇악성코드가 없는 사이트를 모아서 2차로 카테고리별로 분류해   악성코드 리스크가 없다고 판단되면 이제 비업무사이트 접속의 리스크를 해결해야지. 아래 과정을 거쳐서 도박, 게임, 커뮤니티, 만화, 증권 등 카테고리별로 분류해. 이런 인프라를 구축하기 위해 10년 이상 시행착오와 끊임없는 개선이 필요할 거야.
가장 먼저 <인공지능 자동분류>를 해. 광대한 인공지능 학습DB 구축한 후 머신러닝으로 텍스트를 분류하고 이후 딥러닝으로 이미지를 분류해. 이후 머신러닝분류결과와 딥러닝분류결과를 교차분석하지. 필요한 경우에 한해 한국웹을 잘 아는 전문가가 등판해. 특히 기존지식으로는 분류할 수 없는 신규웹은 전문가가 분류한 후에 지식화해서 인공지능학습 DB를 업데이트하지.
   
◇분류사이클이 한번 돌 때마다 악성코드감염가능성이 직전의 30%로 줄어들어 웹하드, 음란, 파일공유, P2P 사이트, 상용웹메일 등 대표적 비업무사이트에는 공유지의 비극 혹은 깨진 유리창의 법칙이 적용되게 돼. (깨진 유리창 하나를 방치하면 그 지점을 중심으로 범죄가 확산되기 시작한다는 이론). 관리가 허술할 것으로 생각되므로 자연스럽게 악성코드를 배포하게 되는 거야.
미국에서의 조사에 따르면 악성코드 배포의 가장 일반적인 원인은 음란사이트 접속이야. 모 공공기관 통계에 따르면 음란사이트, 웹하드 접속을 통제하는 것만으로도 악성코드 감염율이 70% 이상 줄어든다고 해.
악성코드방지에 있어서 음란, P2P, 웹하드 등 카테고리 기반의 인터넷 접속통제는 매우 중요해. 한국 웹을 잘 알고 잘 분류하면 싸우지도 않고 악성코드라는 적군을 70% 이길 수 있는 것이지. 손자병법에서는 싸우지 않고 승리하는 것이 최상의 승리라고 했어. 한국웹이라는 특이한 전쟁터에서는 비업무사이트를 잘 분류, 차단하는 솔루션이 바로 최고의 장군인 거야.
필자. 최일훈 소만사 부사장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★
<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
http://www.dailysecu.com/?mod=news&act=articleView&idxno=42732

목록

News/ Event

[유해사이트차단 솔루션의 두뇌-웹 데이터베이스⑤]

[칼럼] | 2018-12-06

지난 한 달간 데일리시큐는 최일훈 소만사 부사장의 <유해사이트 차단 기술이 필요한 이유>에 대해 5회에 걸쳐 칼럼을 연재한 바 있다.
이번에는 <유해사이트차단 솔루션의 두뇌-웹 데이터베이스>를 주제로 연재를 진행한다.
유해사이트를 통해 발생하는 각종 보안사고를 미연에 방지하기 위해 꼭 필요한 내용들이다. -편집자 주-
  [연재순서] 1. 어제 생겨난 도박사이트,우리 회사는 어떻게 알고 차단한 거야? 2. 가치사슬의 맨 앞단에<수집>이 있다. 3. <프로슈머>로부터 수집한다 4. 우리는 웹에 있어서 가장 특별한 나라에 살고 있다 5. 한국웹을 외국회사가 DB화 한다는 것이 가능한 일인가 6. 고객사 리스크에 기반하여 분류한다
     

우린 현장에 있고 그들은 현장에 없다. 우린 실체를 알고 그들은 실체를 모른다. 정확히는 알고자 하지도 않는다. 한국은 우리에게는 100%이고 그들에게는 1%의 시장이기 때문이다.
   

웹 DB화는 판단과 선택의 연속 웹을 데이터베이스화하는 것은 것은 거대한 도서관을 짓거나, 백과사전 전집을 편찬하는 수준의 작업이야. 끝없이 판단과 선택이 이어지지. 옳은 판단과 선택을 하기 위해서는 뭐가 필요할까? 그 분야의 지식과 경험 그리고 무엇보다 애정이 있어야 해. 웹을 DB화하는 것은 바로 여기 존재하는 모든 분야에 대한 지식, 경험, 애정이 있어야 하는 일이야.  

한국웹을 외국회사가 DB화한다는 것이 가능한 일인가 한국에서 미국웹을 DB화했는데 www.Apple.com이나 www.Amazon.com이 빠져있다면 어떨까? 혹은 DB에 있긴 한데 www.Apple.com을 과수원으로, www.Amazon.com을 브라질여행사이트로 분류한다면 미국에서는 얼마나 황당하겠어? 그럼 반대로 한국웹을 외국회사에서 DB화한다면 어떤 일이 생길까? 물론 한국시장을 위해서 한국인을 단기계약직으로 쓰겠지? 그러나 그 분류결과를 누가 감수할까? 분류자를 뽑고 교육하고 심층감수하는 인프라를 구축할까? 투자와 집중 없이 형식적으로 웹을 수집하고 분류하는 것은 마치 텔레비전 보면서 타이핑하는 것과 마찬가지야. 결과물에는 중요한 내용들이 무더기로 빠져있고 오타와 실수로 가득차있겠지. 현장에서는 쓸모가 없어.  

한국기업은 한국시장에 100%를 쏟고, 미국기업은 1% 미만을 쏟아 한국시장은 글로벌 IT시장의 1% 미만이야. 시장은 1%인데 복잡도와 변칙성은 세계 1위야. 외산회사들이 한국시장만을 위해 과연 투자할까? (외산회사들에게 한국시장은 수익은 1%인데 리소스는 10%를 잡아먹는 블랙컨슈머 같은 존재라고 할 수 있지). 피터드러커가 말했지. 누군가의 프론트야드(Front Yard, 앞마당)는 누군가의 백야드(Back Yard, 뒷마당)이라고.   웹은 겉과 속이 다른 경우가 많아서 일일히 들어가서 내용을 분석해야 하는 경우가 많아. 예를 들어<moviejoa.net>을 외국회사는 겉만 보고 문화예술로 분류하고 한국에서는 일일히 들어가보고 P2P로 분류해. 왜냐? 한국시장은 한국기업에게는 프론트야드이고 미국기업에게는 백야드이기 때문이야. <꿀단지점넷>을 한국에서는 P2P로 파악하고 주소와 IP를 페이스오프해도 계속 추적해. 한국시장에서는 P2P가 매우 중요하기 때문이야. 외국회사라면 어떨까? 아예 수집이 안되어서 존재조차 모를 가능성이 제일 크고 기껏 분류해도 쇼핑몰일지도 몰라. 한국시장은 한국기업에게는 프론트야드이고 미국기업에게는 백야드이기 때문이지.
 

실제 외산제품의 한국웹 DB는 어떨까 -한국 P2P분야 상위 100개 중 40개를 모르고 있는 외산 VS 다 막는 한국솔루션 랭키닷컴이라고 있어. 한국인이 많이 접속하는 사이트 랭킹을 매긴 사이트야. 외산솔루션을 설치하고 랭키닷컴 P2P분야 상위 100개에 접속해보았어. 40개를 막지 못해. 너무나 당연히 국내 제품은 백프로 차단하지. 한국에서 P2P는 음란물, 저작권, 네트워크자원소모, 불법성의 종합세트 같은 거야. 외산제품은 아예 이 P2P들을 수집하지 못했거나 아니면 제대로 분류하지 못했어.   -카카오 수십개 서비스를 1개 카테고리로 분류한 외산 VS 수십개로 분류한 한국 솔루션 카카오에는 카톡뿐 아니라 금융, 네비게이션, 컨텐츠, 음악 등 수십개의 서비스가 있어. 외산은 카톡만 알아. 그래서 카카오가 들어가는 도메인을 모두 인터넷커뮤니케이션 하나로 분류해버렸어. 우리는 카카오쇼핑은 쇼핑으로 카카오네비게이션은 생활정보로 카카오페이와 뱅크는 금융으로 각각의 카테고리로 분류했지. 외산제품은 카카오 안에 그렇게 많은 서비스가 있다는 사실을 아예 몰랐거나 아니면 알았어도 일일히 들어가보고 분류할만큼 애정이 없었겠지.
 

웹데이터베이스. 무게와 갯수로 판단한 것인가? 가치로 판단할 것인가? 유치원생에게 만원짜리 한장과 천원짜리 세장 중에 고르라고 하면 천원짜리 세장을 골라. 개수로 판단하기 때문이지. 아무도 안 입는 옷일수록 개별적 존재없이 한데 묶어서 무게로 팔아. 판단기준은 가치일까? 무게와 갯수일까?   열명 중 다섯 명이 하루에 열번씩 접속하는 신규사이트는 못 막고, 만명 중 한명이 1년에 한번 접속하는 오래된 사이트는 막아서 뭐할 것야? 그 두 사이트를 똑같이 한 개로 셀 수 있어? 악성코드가 한시간 단위로 치고 빠지는 사이트를 생각해봐. 어떤 솔루션은 하루에 10회 이상 이 사이트를 분석해서 위험할 때는 차단하고 안전해지면 허용해. 1년이면 3,600번 보안업데이트되는 이 사이트도 개수로 세면 그저 1개일 뿐이야. (네가 머무르는 공간의 가치는 네가 얻는 편익이야? 아니면 그 방에 있는 물건 갯수야? 너는 꼭 필요한 물건만 최상급으로 골라서, 쓰는 순서대로 정리된 방에서 살고 싶어? 뭔지도 모르고 쓸 일도 없는 것들로 꽉 찬 방에서 살고 싶어?)
   

웹데이터베이스. 다른 나라를 기준으로 판단한 것인가? 지금 여기 기준으로 판단할 것인가?

한국마트에서는 달러를 받지 않아. 한국 마트라는 현장에서, 달러로는 지금 이 순간의 배고픔을 해결할 수 없어. 마찬가지로 한국 웹이라는 현장에서 다른 나라 기준의 웹데이터베이스로는 유해사이트접속이라는 문제를 해결할 수 없어. 판단기준은 지금 여기일까? 아니면 머나먼 다른 곳일까? 세상에서 가장 쉬운 일이 가치없는 것을 무조건 많이 모으는 거야. 쓰레기 쌓이는 속도를 생각해봐. 말이 심하다고? 시시각각 변화하는 웹에서 지금 이 곳의 문제를 해결하지 못하는 웹데이터베이스는 아무리 많아도, 아무리 비싸도 의미가 없어.

필자. 최일훈 소만사 부사장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★

목록