News/ Event

마이터 어택, EDR의 수준을 끌어올리다.

[칼럼] | 2019-11-25

MITRE ATT&CK 등장

미국 연방정부의 지원을 받는 비영리 연구개발 단체인 ‘MITRE(마이터)’는

본래 국가안보관련 업무를 수행했다.

국가안보, 항공교통, 국토보안관리시스템 구축 등 인프라와 관련된 부문을 주로 연구했다.

그러나 점점 국가간 사이버공격의 영향력이 커지고 피해가 늘어나면서

자연스럽게 해당 부분에 대한 연구가 시작되었다.

그렇게 발간된 것이 ‘ATT&CK(어택)’이다.

‘ATT&CK’은 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 ‘사이버공격 킬체인 보고서’다.

의학으로 비유를 하면, 인체에 해를 끼치는 증상에 관한 치료법과

투약제품을 모두 정리해둔 자료라고 볼 수 있겠다.

MITRE ATT&CK, 예측과 탐지, 대응이 가능해지다

‘ATT&CK’은 실제 관측에 기반, 분석한 자료를 토대로 프레임워크를 구성했다.

11단계에 걸쳐 11개의 전술을 서술했다.

전술은 다음과 같이 정리되어 있다.

전술(Tactics)

1. 초기 접속(Initial Access):

악성코드를 유포하거나 첨부파일에 악성코드를 심어

공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성행위를 위한 초기 진입방식.

2. 실행(Execution):

공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술.

3. 지속(Persistence):

공격 기반을 유지하기 위한 전술.

운영체제에서 사용하는 파일을 공격자가 만든 악의적인 파일로 대체하여 지속적인 악성 행위를 수행하거나

높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당.

4. 권한 상승(Privilege Escalation):

공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술.

시스템의 취약점, 구성 오류 등을 활용.

높은 권한을 가진 운영체제로 악의적인 파일을 삽입하는 기법 또는 시스템 서비스 등록 기법 등으로 권한상승.

5. 방어 회피(Defense Evasion):

공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위해 사용하는 전술.

보안 소프트웨어 제거/비활성화, 악성코드의 난독화/암호화,

신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지.

6. 접속 자격 증명(Credential Access):

공격자가 계정 이름이나 암호 등을 훔치기 위한 전술.

정상적인 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고,

목적을 달성하기 위해 더 많은 계정을 만들 수 있음.

7. 탐색(Discovery):

공격자가 시스템과 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술.

공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향을 정할 수 있음.

8. 내부 확산(Lateral Movement):

공격자가 네트워크에서 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술.

공격자는 자신의 원격 접속 도구를 설치하여 내부 확산을 수행하거나,

운영 체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근함.

9. 수집(Collection):

공격자가 목적과 관련된 정보 또는 정보의 출처가 포함된 데이터를 수집하기 위해 사용하는 전술.

데이터를 훔치고 유출하는 것이 목적.

10. 명령 및 제어(Command and Control):

공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술.

11. 유출(Exfiltration):

공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술.

공격자는 데이터를 탐지되는 것을 피하기 위해 데이터를 압축/암호화 후 전송하거나

데이터의 크기 제한 설정을 통해 여러 번 나누어 전송하는 방식을 사용.

12. 임팩트(Impact):

공격자가 가용성을 낮추고 무결성을 손상시키기 위해

운영 프로세스, 시스템, 데이터를 조작하고 중단시키고 나아가 파괴하는 데 사용하는 전술.

 

MITRE는 각 전술에 사용된 기법들을 일목요연하게 정리했다.

더 나아가 피해를 경감할 수 있는 방법, 해당 악성행위를 사용하는 공격그룹,

프로그램 샘플까지 제공하고 있다.

‘ATT&CK’ 공개 후 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다.

대응체계 구성이 가능해지니 EDR의 완성도가 높아졌다.

수많은 사례와 기술에 대해 학습한 결과, 변종 악성코드와 공격 예측이 가능해진 것이다.

사전에 예견하고 대책을 세울 수 있게 되어 ‘Response’의 기능이 대폭 향상되었다.

만일 최초의 공격으로 이미 악성행위를 받은 상태라면

‘피해경감 기법’을 참고해 피해를 확산시키지 않고 최소화할 수 있게 되었다.

매일매일 바뀌는 공격기법 속에서 ‘ATT&CK’은

지속적으로 보안기술과 보안위협에 대해 업데이트 하고 있다.

지난 7월에만 해도 485개의 전술기법, 91개의 해킹그룹, 397개의 악성코드에 대해 업데이트 했다.

뿐만 아니라 더 이상 사용하지 않는 전술과 기법에 대해서도 별도로 정리하기 때문에

항상 최신형상 유지와 동시에

‘죽은 기법의 변종 등장’에 대해서도 꾸준히 대응책을 마련할 수 있게 되었다.

대응에 중점을 둔 EDR, 이제 어떻게 진화할까

탐지(Detection)는 가능하되

대응(Response)에서는 확실한 해법을 내세우지 못하던 ‘EDR’ 이었지만

‘ATT&CK’의 공개는 흐름을 바꿔 놓았다.

EDR 기업들은 해당 프레임워크를 활용하기 시작했고,

그 결과 EDR은 높은 수준의 악성행위 대응전략을 사용자들에게 보장할 수 있게 되었다.

다시 말하면 모두가 일정 수준의 대응방식을 취할 수 있게 되었다

TI(Threat Intelligence: 위협 인텔리전스) 연동의 경우

EDR 기업 모두 정확도를 높이기 위해 타사의 DB를 구매/공유하므로 큰 차이가 없다.

해쉬차단 역시 서로 공유하는 구조이기 때문에 데이터의 품질은 동일하다.

머신러닝, 딥러닝은 현재 모두 같은 출발 선상에 있기에 비교하기에는 무리가 있다.

어떻게 보면 또 다른 경쟁시장이 등장했다.

독보적인 강점을 가진 EDR로 살아남아야 하는 시대가 온 것이다.

EDR은 인수합병 중

엔드포인트 보안의 흐름이 EDR로 굳혀진지는 오래됐다.

실제 환경에서 정보 탈취행위, 악성코드 주입, 데이터 파괴/암호화 행위 등

보안위협이 발견되면 빠르게 대응해 정보자산을 보호하고,

확산을 막는 방식이 가장 효과적임을 알게 된 것이다.

보안 기업들은 자신의 강점에 EDR을 결합하는 방식을 취하고 있다.

글로벌 보안기업 중 일부는 EDR 기업의 인수를 진행하고 있다.

포티넷은 ‘엔실로’를 인수했다.

엘라스틱은 ‘엔드게임’을 인수했다.

VM웨어는 ‘카본 블랙’을 인수했다.

SIEM이나 클라우드 보안 등 자신의 강점을 내세운 EDR이 출시될 것이다.

DLP와 EDR

질문을 던져 본다.

“왜 회사에서는 악성코드, 랜섬웨어 감염을 막기 위해 노력할까?”

컴퓨터가 느려지니까? 업무에 방해가 되니까? 업무효율을 따지면 맞는 말이긴 하다.

가장 중요한 것은 악성코드/랜섬웨어 감염으로 인하여

내부에 보관된 정보가 탈취되거나 변조되어 발생하는 후폭풍을

사전에 차단하기 위해서 일 것이다.

내부정보의 유출/변조 시

브랜드 이미지 하락, 신뢰도 하락, 고객이탈, 소송, 형사처벌 등

겪어야 할 풍파가 끊임없이 밀려올 테니까 말이다.

앞서 이야기했지만 최초의 공격은 아무도 막을 수 없다.

그저 가능한 효과적으로 신속하게 대응하는 것이 유일한 방법이다.

대응에 우선순위를 두어야 한다.

중요한 정보가 우선 보호되어야 한다는 의미이다.

데이터 중요도에 따라 보호수준을 차별화해야 한다.

주기적으로 중요정보를 식별해서 분류할 필요가 있다.

위협감지시 중요정보부터 우선 보호하도록 구상해야 한다.

사전에 대응전략을 설정해야 사내기술정보(도면, 기밀, 특허), 개인정보 등

중요정보가 랜섬웨어에 감염돼 암호화되거나

해커에 의해 탈취되는 위험이 발생할 경우 신속하게 대응할 수 있다.

해커는 정보를 탈취하거나 데이터 파괴, 변조, 암호화를 수행할 때 네트워크를 통해 잠입한다.

달리 말하면 네트워크만 잘 통제한다면 유출행위는 막을 수 있다.

제로데이 공격으로 인해 정보유출 위기에 놓여있다고 해도

해커가 유출을 시도할 수 있는 모든 네트워크 경로를 통제하고 있다면 최악의 상황은 면할 수 있다.

해킹이 교묘해질수록 보안기술도 고도화된다

초기 악성코드는 자신의 프로그래밍 능력을 과시하기 위한 수단으로 활용됐다.

이후 경쟁사, 경쟁자의 업무를 방해하는 목적으로 사용되었으며,

시간이 흘러 기밀정보, 개인정보 등 ‘정보탈취’ 수단으로 악용되었다.

현재는 기존 데이터를 파괴, 변조, 암호화하여 데이터를 볼모로 잡고 금전적인 이득을 취하고 있다.

악성행위를 차단하고 통제할 때 마다 해커는 더 교묘한 수법으로 권한을 획득해 위협한다.

해킹의 수법은 끝이 없어 하루에도 변조된 기법만 수백 수만개가 생성된다.

일일이 시그니처를 파악해 업데이트 하는 것은 시간이 오래 소요되고 인력소모가 크다.

샌드박스를 이용하는 것은 이미 회피능력이 탑재된 악성코드에게는 무용지물이다.

실제 상황에서 발생한 데이터를 토대로 그들이 더 이상의 전술을 펼치지 못하도록 대응해야 한다.

PC에서 발견한 악성행위 정보와 대응방식은

EDR 서버에 전송해 전세계 모든 PC에 악성행위가 전파, 확산되지 않도록 방어하는 것이

현재 개발된 보안기술 중 가장 효과적인 방식이다.

해커가 신박한 방법으로 기술을 개발해 우리를 교란시킬 수록, 우리도 진화한다.

정답은 EDR이다.

참고자료:

https://attack.mitre.org

https://www.mitre.org

http://www.etnews.com/20191101000018

http://news.heraldcorp.com/view.php?ud=20191021000851

https://byline.network/2019/08/30-57/

목록

News/ Event

글로벌 EDR 트렌드 그리고 ‘DLP’와 ‘EDR’

[칼럼] | 2019-10-14

DLP와 EDR 결합 통해 악성행위 차단하고

주요한 정보 우선적으로 보호해야

– 소만사 부사장 최일훈

2018년 EDR 트렌드

작년의 대세 역시 EDR이었다.

다만 2018년에는 Detection(탐지)의 성향이 강한 솔루션이 주를 이루었다.

당시의 EDR 솔루션들은 적극적으로 행위를 제어하는 것 보다는

엔드포인트에서 발생하는 이슈들을 최대한 수집하고 분류한 후

보안관리자가 대응할 수 있도록 도와주는 포렌식 도구의 느낌이 강했다.

즉, 정보는 수집하여 줄 수 있으나 판단과 대응은 보안담당자에게 맡기는 구조였다.

ATT&CK, EDR에 대응력을 불어넣다

이런 상황을 보완하고자 하는 움직임이 있었다.

미국의 비영리 단체인 ‘MITRE’에서 ATT&CK 모델을 발표했다.

ATT&CK은 사이버공격 관련 킬체인 관리보고서다.

킬체인은 본래 군사용어로 공격형 방위시스템을 일컫는다.

정보보안업계에서 킬체인은 ‘사이버 공격 방위시스템’으로 이해하면 되겠다.

ATT&CK은 2015년 발표된 후 조금씩 개선/고도화됐다.

2018년 봄에는 상세한 기법과 함께 정리된 데이터를 오픈소스로 공개했다.

그리고 이 시점부터 EDR 기업들은 ATT&CK을 적극적으로 활용하기 시작했다.

ATT&CK은 initial access, execution, discovery, Exfiltration 등

11개의 전술과 각 전술에서 사용되는 기법들을 일목요연하게 정리했다.

각 기업에 관한 설명, 탐지방법, 기법을 사용한 해킹그룹의 사례도 제공하고 있다.

더 나아가 각 엔드포인트 보안제품군이

각 기법들에 대해 어떻게 대응하고 있는지 확인이 가능해

자사제품과의 객관적인 평가가 가능하다.

ATT&CK을 토대로 EDR 기업들은

각 공격기법에 대해 적극적으로 대응할 수 있게 되었다.

2018년은 Detection의 비중이 컸다면 2019년은 Response로 조금 더 진화했다.

국내 EDR 역시 ‘대응’에 초점

글로벌 트렌드에 맞추어 국내 EDR 솔루션 역시 대응(Response) 중심으로 변화하고 있다.

탐지엔진의 위치를 엔드포인트로 과감하게 변경하고 있다.

공격이 감지되면 바로 대응(Response) 할 수 있도록 조치하는 것이다.

2019년의 EDR은 ‘Endpoint Detection’에 ‘& Response’가 강화됐다.

정확하고 신속한 위협대응으로 확산을 막는 것이 현실적으로 가능해졌다.

EDR이 극복해야 할 과제

때때로 이런 질문을 받는다.

“EDR이 탐지했을 때는 이미 최초의 PC 한 대는 감염된 것 아닌가요? 그건 감염사고잖아요.”

맞는 말이다. 전세계에서 최초 한 번은 감염된다.

다만, 그 이후 우리회사뿐만 아니라

EDR이 도입된 전세계 다른 엔드포인트 감염은 막을 수 있다.

EDR은 신종/변종 발견시 기존 대응 솔루션보다 신속하고 자동화된 대응능력을 가졌다.

실제 엔드포인트단에서 프로세스행위 기준으로 분석하기 때문에

정확한 패턴분석력을 가지고 있다.

물론 단점도 있다.

파급력이 어마어마한 악성코드, 바이러스를 실시간으로 대응하기 위해서는

작은 정보도 놓치지 않고 수집해야 한다.

그래서 엔드포인트에서 정보를 광범위하게 수집한다.

엔드포인트 부하가 발생할 수밖에 없다.

악성코드, 바이러스는 PC와 서버뿐만 아니라 모바일 환경에도 영향을 끼친다.

그러나 모바일 플랫폼의 EDR은 아직 출시되지 않았다.

아직까지는 모바일 환경에서의 악성코드, 바이러스, 랜섬웨어 차단은

기존의 시그니처 방식을 이용하고 있다.

스마트폰 활용이 보편화돼 자유로운 웹서핑이 가능해진 요즘,

모바일을 위한 EDR의 필요성이 대두되고 있다.

DLP(Data Loss Prevention:내부정보유출방지)와 EDR

EDR(Endpoint Detection & Response)은 말 그대로 엔드포인트 탐지 및 대응 솔루션이다.

엔드포인트 단에서 무엇인가를 탐지하고 대응하는 행동을 한다.

여러 업체들이 EDR 시장에 들어와 자신의 제품을 선보이고 있지만

우월한 성능을 자랑하고 있는 곳은 극소수이다.

하지만 이들은 EDR에 특화된 기업이다.

그래서 어떤 정보가 더 중요하며 유출되어서는 안되는지 구분하지 못한다.

중요한 정보와 그렇지 않은 정보를 구분해서 보호하지 않는다.

회사 등산대회에서 찍은 단체 사진과 2019년 신규가입 고객정보파일이 있다고 하자.

둘 다 랜섬웨어로 인하여 암호화되었다면 어떤 파일이 더 치명적인 문제를 일으킬 수 있을까?

대응에도 우선순위가 있다. 중요한 정보가 우선 보호되어야 한다.

PC 안에 보관된 개인정보파일, DB/서버 내 고객 데이터베이스,

네트워크를 통해 전송시도된 개인정보파일 등을

통합적으로 연계, 관리하는 솔루션이 필요하다.

이를 통해 중요정보 오염에 선제적 대응을 할 줄 알아야 한다.

즉 무엇을 지켜야 하는지 알고 지켜야 한다.

소만사의 EDR 솔루션은 DLP와 연계됐다.

정보의 우위를 알기에 비상상황 발생시 중요정보부터 우선 보호가 가능하며,

유출통제기능으로 정보유출을 차단하기에 우월하다.

개인정보보호 솔루션은 그 동안 두 단계의 변화를 겪었다.

처음에는 개인정보 파일 검출, 삭제, 암호화를 통해 위험요소를 제거했다.

두번째는 매체, 출력물, 네트워크를 통한 유출의 경로를 차단했다.

이제는 DLP와 EDR의 결합을 통해 악성행위를 차단하고

주요한 정보를 우선적으로 보호해야 한다.

엔드포인트에서 탐지하고 엔드포인트에서 대응해야 한다.

더 나아가 엔드포인트를 통해 정보가 흘러나가지 않도록

네트워크와 연동하여 전방위 대응체계를 구상해야 한다.

해킹공격은 매일매일 지능적으로 고도화되고 있다.

보안 허점은 끊임없이 늘어난다.

EDR을 통해 방어하고 대응해야 할 때다.

https://www.dailysecu.com/news/articleView.html?idxno=73316

목록

News/ Event

[DLP 바로알기⑤] 엔드포인트 DLP의 한계, 네트워크 DLP로 상쇄

[칼럼] | 2018-07-31

it-838379_640.jpg
최일훈 소만사(대표 김대환) 연구소장의 <DLP(Data Loss Prevention) 바로알기> 칼럼을 연재하고 있다. 짧고 쉬운 문체로 설명한 만큼, DLP에 대한 이해도를 높이고 내부정보유출방지를 목적으로 DLP 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. [편집자 주] 엔드포인트 DLP는 출력물, 외부저장매체를 통한 개인정보 유출을 통제할 뿐만 아니라 사외 인터넷망 사용과 암호화 채널로 파일 보내는 것을 통제하는 역할을 하기도 해. 쉽게 말하면 네트워크 DLP처럼 웹메일, 메신저, 웹하드를 통한 전송을 차단할 수도 있어. 그러면 네트워크 보안할 때 네트워크 DLP는 필요 없어도 되는 것 아니냐고? 그건 절대 아니야. 네트워크는 네트워크 DLP로 지켜야 하는 3가지 이유를 지금부터 설명해줄게. ◇엔드포인트 DLP 설치방식인 에이전트 방식으로 네트워크를 보안하는 것은 구조적으로 불가능 첫째, 에이전트가 설치 안 된 PC는 보안이 안되기 때문이야. 그리고 에이전트가 설치되어 있다고 해도 사용자가 임의로 에이전트를 꺼버리면 통제가 불가능하지. 게다가 보통 엔트포인트 DLP는 윈도우 OS 기반으로 만들어졌기 때문에 맥, 리눅스, 유닉스 기반 PC에는 에이전트 설치가 어려운 편이야. 사내 디자이너가 맥을 사용할 경우 그 PC는 해커, 또는 나쁜 마음을 먹은 내부자에 의해 유출경로로 활용될 확률이 높지. (최근에는 맥, 리눅스 기반 엔드포인트 DLP도 출시되었지만 아직까지도 많은 엔드포인트 DLP 솔루션들이 해당 OS를 커버하지 못하고 있어) 두번째, 웹메일 유출패턴이 변했다고 생각해봐. 바로바로 업데이트를 해서 보안의 허점을 막아야 하는데 PC마다 업데이트 다 하고 난 뒤에 보면 개인정보는 그 사이에 이미 유출되었을 수도 있겠지. 적시적기에 업데이트를 수행하는 것은 어려운 일이야. 마지막으로, 로그가 개별 PC에 일일이 쌓이기 때문에 통합적으로 로그를 분석할 수가 없어. 수천대 PC에서 발생한 로그를 한 곳에 모으는 것 자체가 매우 어려워. 하루에 1대 PC에서 100MB의 로그가 쌓인다고 가정해보자. 수천대 PC에서 각각 발생한 로그를 매일매일 한 곳으로 통합해야 할거야. 만일 네트워크 전송환경이 좋지 않거나 직원이 중간에 PC를 꺼버린다면? 매일매일이 끔찍하겠지. ◇가트너 DLP보고서의 정식명칭 ‘Enterprise DLP(엔터프라이즈 DLP)’ 그렇기 때문에 가트너에서는 엔드포인트 DLP 방식만으로 네트워크를 보안하는 것을 DLP로 인정을 안 해. 미국 IT 시장조사기관인 가트너는 매년 IT 각 부문별로 ‘매직 쿼드런트’ 보고서를 발간하고 있어. ‘매직 쿼드런트’는 제품수준, 실행가능성, 시장점유율, 마케팅, 고객만족도 기준에 따라 제품을 평가하는 공신력 있는 보고서인데 2016년부터 DLP관련 보고서 명칭을 아예 ‘Enterprise DLP’로 바꿔버렸어. 가트너에서 말하는 ‘Enterprise DLP’는 조직의 중요한 데이터를 보호할 수 있는 복합적인 탐지기술을 보유해야 하고, 중앙에서 관리할 수 있는 시스템이 수반되어야 해. 또 엔드포인트, 네트워크를 통한 데이터 유출을 모두 제어할 수 있어야 해. 이 말인 즉, 엔드포인트 DLP만 보유한 기업은 등재될 수 없다는 뜻이야. 엔드포인트 DLP만으로는 효과적인 유출통제가 이뤄지지 않는 다는 의미이기도 하지. 엔드포인트부터 네트워크까지 전 구간의 개인정보 유출행위를 중앙에서 통제할 수 있어야 ‘Enterprise DLP’의 등재자격이 주어져. 그렇기 때문에 인터넷을 통한 정보유출 방지는 네트워크 DLP에서 수행하는 것이 정답이야. 엔드포인트 DLP에서는 네트워크 DLP에 대한 보완적 역할을 수행하는게 맞고! 글. 최일훈 소만사 연구소장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★   http://www.dailysecu.com/?mod=news&act=articleView&idxno=36956

목록

News/ Event

[DLP 바로알기④] 패킷 자체가 암호화 상태로 전송되는 HTTPS

[칼럼] | 2018-07-19

최일훈 소만사(대표 김대환) 연구소장의 <DLP(Data Loss Prevention) 바로알기> 칼럼을 연재하고 있다. 짧고 쉬운 문체로 설명한 만큼, DLP에 대한 이해도를 높이고 내부정보유출방지를 목적으로 DLP 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. [편집자 주] ◇HTTPS, HTTP에 보안이 강화된 버전으로 훔쳐보기 공격에 강한 웹서비스 웹브라우저에서 ‘구글’ 사이트에 접속하면 주소부분이 초록색 자물쇠와 함께 ‘HTTP’가 아닌 ‘<HTTPS://>www.google.com’으로 써있는 것을 확인할 수 있어. HTTPS는 웹통신 프로토콜인 HTTP에 보안이 강화된 버전으로 보통 암호화웹(Start/TLS라고 부르기도 함)이라고 불러. 암호화웹은 원래 로그인이나 인증페이지처럼 비밀번호 입력페이지에 적용됐던 기능인데 전송 중 훔쳐보기공격(Sniffing Attack)이 발생해도 해커가 어떤 정보인지 알 수 없다는 것이 장점이었어. 최근에는 모든 서비스가 HTTPS화 되는 추세야. 로그인 사용자 인증이 필요한 모든 서비스는 HTTPS로 되어있어. 페이스북, 트위터, 지메일, 네이버메일, 다음메일 등이 대표적이지. 구글의 경우 로그인이 필요없는 검색부분도 모두 HTTPS로 되어있어. 한 걸음 더 나아가 크롬브라우저는 HTTPS가 아니면 안전하지 않다라는 표시가 뜨고 있지. 이러한 추세는 더욱 더 가속화될 전망이야. ◇양날의 검처럼 내부정보 유출에는 취약한 ‘HTTPS’ 다시 돌아가서, 해커가 사내 전산망에 침투해서 개인정보를 탈취하고 파일을 만든 후 암호화웹을 통해서 외부로 유출한다면 어떻게 될까? 또 내부직원의 실수 혹은 고의에 의해 개인정보가 유출된다면 어떻게 될까? 암호화웹은 오히려 문제를 크게 일으키게 될거야. 예를 들어보자, 지메일로 대용량 첨부파일 및 다중압축파일로 VIP고객 고유식별정보를 유출한다고 가정해보자. 패킷이 암호화 처리되어 외부로 나가기 때문에 네크워크 보안 솔루션은 깜깜이가 될거야. 전송되는 정보가 보이지 않기 때문에 회사는 유출 사실을 알지 못할뿐더러 사고발생 후에도 어디서 어떻게 유출됐는지 사고경위 파악 자체를 못 할거야. 보이지 않기 때문에 보호할 수 없는 거지. DLP의 최후의 보루는 기록이라고 했는데 이걸 수행할 수가 없게 되는 거야. ◇대안은 오직 ‘웹프락시’ 이 문제에 대한 대안은 바로 ‘웹프락시’야. 중간에서 클라이언트에게는 서버의 역할을 하고, 서버에게는 클라이언트 역할을 하면서 중간에 패킷을 중개해서 패킷 안에 어떤 개인정보가 들어있는지 확인하는 거야. 예전에는 미러링 방식을 사용했기 때문에 사전통제가 불가능하고 단순하게 기록만 할 수 있었어. 하지만 프록시 방식을 사용하면 사전통제가 가능해져서 정책이상의 개인정보가 들어있을 경우 차단/기록하고 그렇지 않을 경우 그대로 외부로 내보낼 수 있게 됐어. 즉, 소잃고 외양간 고치는 일을 하지 않아도 된다는 거지. 예전에는 패킷을 복호화하고 가시성을 확보하는 프록시 장비랑 내용을 분석하는 DLP 장비를 각각 따로 두었는데 아무래도 각자 다른 제품이다 보니 성능이 떨어지거나 부하가 일어나는 경우가 있었어. 그래서 설계단계에서부터 프록시와 DLP 장비를 일체화 해서 성능을 높이 끌어올린 제품이 탄생하게 되었어. 암호화웹 보안을 안정적으로 운용하려면 일체형 장비가 필요할거야. (To be continued.) 글. 최일훈 소만사 연구소장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★ http://www.dailysecu.com/?mod=news&act=articleView&idxno=36691

목록