News/ Event

이제는 싱글에이전트 도입을 준비해야 하는 시기

[칼럼] | 2020-03-18

‘싱글에이전트’, 비용절감, 성능유지, 안정성 확보, 보안성, 업무효율 혁신 가져와

지금으로부터 10년 전, 모 은행 보안 책임자가 한탄한 적이 있다.

“PC에 설치되는 에이전트 갯수가 너무 많다”고.

고객의 요구사항은 이미 10년 전부터 존재했다. 이제는 한계에 도달했다.

대기업은 전문 보안팀이 있으니 전문적으로 수행할 수 있겠지만,

중견·중소규모의 기업기관은 많은 에이전트를 수월하게 관리할 수 없을 것이다.

중견·중소규모의 기업기관은 보안이슈가 발생했을 때부터 싱글 에이전트에 대한 열망이 컸다.

보안담당자의 요구사항과 함께 어느덧 기술력도 높아졌다.

개별 에이전트 운영 시 얻을 수 있는 장점보다,

통합 에이전트 운영시 누릴 수 있는 장점이 압도적으로 더 커졌다.

이제는 ‘싱글 에이전트’에 도전할 수 있는 시기가 되었다.

#엔드포인트 보안은 <악성코드 차단>과 <데이터 보호>로 나뉜다

엔드포인트 보안이슈는 크게 <악성코드 차단>과 <데이터 보호>로 요약할 수 있다.

큰 그림으로 보면 보안사고는 다음과 같은 시나리오로 발생한다.

<악성코드 차단>은 기존에는 실행파일 패턴 분석의 안티바이러스 솔루션이 보안을 수행했다.

패치관리 시스템도 비슷한 역할을 했다.

패치만 적시에 이루어진다면 악성코드에 감염될 확률이 줄어들었기 때문이다.

최근에는 행위기반의 솔루션인 EDR(endpoint detection and response)로

차세대 보안솔루션 트렌드가 바뀌고 있다.

최초의 공격인 제로데이 어택에 대응하기 위해서는

실제환경에서 실시간으로 대응하는 것이 더 효과적이기 때문이다.

<악성코드 차단> 솔루션은 안티바이러스 솔루션을 거치고,

패치관리를 지나, EDR쪽으로 통합화의 길을 걷고 있다.

<데이터 보호>는 USB 매체제어, 출력물통제, 인터넷 파일전송통제,

파일 암호화, DLP, DRM 등 개별적인 솔루션으로 등으로 개발되어 왔다.

이 분야는 DLP(내부정보유출방지: Data Loss Prevention)솔루션이 통합하고 있는 추세다.

초기에는 특정 솔루션을 지칭하는 단어였지만 현재는 데이터 보호를 통칭하고 있다.

DLP가 유출차단 뿐만 아니라

데이터 검출과 매체제어, 암호화 기능을 함께 수행하고 있기 때문이다.

DLP 솔루션은 국내기업이 강세를 보이고 있다.

대한민국 산업 특성상 제조업이 발달했는데,

이로 인하여 도면, 기술, 생산라인, 제품디자인 등 산업과 관련된 정보를 보유하고 있어

이를 보호하기위해 국내기업의 DLP 기술이 크게 발전했다.

미국이 소스코드, 개인정보, 의료정보보호 측면에서 DLP 기술이 발전한 것과는 다른 양상이다.

DRM은 파일 암호화, 애플리케이션 통제에 중점을 둔 보안 솔루션이다.

DLP와 비교했을 때 기능이 비슷해지는 추세이기에 큰 차이는 없어졌다.

과거에는 DLP와 DRM에 관한 비교자료가 나올 정도로 두 솔루션은 다른 솔루션으로 인식되었다.

하지만 지금은 큰 차이가 없는 솔루션으로 받아들여지고 있다.

#통합, 통합, 통합

보안기업들은 에이전트의 개수를 축소, 통합하는데 집중하고 있다.

<악성코드 차단>과 <데이터보호>로 에이전트의 개수를 2개로 축소하는 것은

단순해 보이지만 매우 큰 혁신이다.

에이전트 개수를 2개로 줄이는데 성공하면,

마지막으로 하나의 솔루션으로 통합하는 것이 목표가 될 것이다.

그래서 보안기업들은 <악성코드 차단>기능을 수행하는 에이전트와

<데이터 보호>를 수행하는 DLP 통합을 목표로 단일화에 도전하고 있다.

글로벌 업체들은 장기적인 로드맵을 가지고 싱글 에이전트에 도전하고 있다.

전통 PC보안강자인 시만텍, 맥아피 이외에도 OS와 오피스로 유명한 MS(마이크로소프트)가

악성코드 차단에 투자하고 있다.

보안산업이 20년 동안 성장하고 안정됨에 따라,

우리나라에서도 20년간 기술력과 고객을 바탕으로 싱글에이전트 프로젝트에 도전하고 있다.

몇몇 대기업은 현재 통합 프로젝트를 수행하고 있다.

‘싱글에이전트’의 출시는

비용절감, 성능유지, 안정성 확보, 보안성, 업무효율 측면에서 혁신을 가져올 수 있다.

총소유비용(TCO: Total cost of Ownership)의 절감을 가져올 수 있고,

안정적인 환경 속에서 정교한 통제가 가능해진다.

대기업과 중견·중소기업 모두가 원하는 솔루션이다.

싱글에이전트는 모든 보안 담당자가 꿈꾸는 꿈의 기술인 것이다.

[글. 소만사 최일훈 부사장]

출처 : 데일리시큐(https://www.dailysecu.com)

https://www.dailysecu.com/news/articleView.html?idxno=106928

목록

News/ Event

[싱글에이전트] 우리회사에 설치된 보안 에이전트는 몇 개?

[칼럼] | 2020-03-13

대기업은 PC에 몇 개의 보안 에이전트를 설치할까

PC에 설치되는 PC보안 에이전트 종류는 15개를 훌쩍 넘는다.

DLP, USB매체제어, 출력물보안, PC개인정보검색, 안티바이러스, PC보안, EDR, DRM,

패치관리 시스템, 소프트웨어 자산관리, PC유해사이트 차단, 지키미(공공기관 보안점검 에이전트),

문서중앙화, 랜섬웨어 차단, 키보드보안 등

대기업에서는 평균 5~6개의 에이전트가 PC에 설치된다.

보안사고 발생, 정부정책 법령변화, 그리고 해킹기술의 발달로 인하여

PC보안 에이전트 개수는 꾸준히 증가해왔다.

예를 들면, 2011년 개인정보보호법 제정에 따라 PC 개인정보 검색/삭제/암호화 솔루션이 설치되었다.

최근에는 악성코드 변종이 폭발적으로 증가함에 따라

패턴기반 안티바이러스 에이전트가 아닌, 행위기반 EDR 에이전트가 PC에 설치되기 시작했다.

각각의 보안 솔루션은 특정 이슈에 대해서 최고의 성능올 보인다.

예시를 들어보겠다.

출력물 보안 솔루션은 워터마킹, 출력물 로그관리, 출력물 결재,

출력물 개인정보 검색, 토너 절감기능을 가지고 있다.

출력물 보안 솔루션은 출력물 보안에 대해서는 가장 최적화된 기능을 제공한다.

하지만 부팅 후 작업표시줄에 에이전트 트레이 아이콘이 하나둘씩 나타나

한 쪽을 꽉 채우는 모습을 보면 내 PC를 혹사 시키고 있는 것 같아 애처로워 보일 때가 있다.

중견수, 좌익수 사이에 공이 떠 있으면 누가 잡아야 할까?

여러 개의 에이전트를 PC에 설치할 경우 발생할 수 있는 문제는 다음과 같다.

첫번째, 성능문제가 발생한다.

엑셀 프로그램 클릭만 했을 뿐인데

갑자기 PC가 먹통되는 경험이 최소 한 번 정도는 있을 것이다.

보안 에이전트가 백그라운드에서 동작하기 때문에 발생하는 문제다.

한정된 PC 메모리에서 에이전트 5개 이상이 동시에 실행되고 있기에

시스템에 부하가 발생하는 것은 당연한 일일지도 모르겠다.

두번째, 안정성 문제가 발생한다.

장애발생은 치명적이다. 새로운 보안 솔루션이 도입되면 PC에 블루스크린이 자주 뜰 때가 있다.

난감해진다. 블루스크린은 보안 솔루션의 후킹(Hooking) 때문에 발생한다.

보안 솔루션은 이상행위를 감지해야 한다.

때문에 USB, 출력물, 메신저, 오피스 프로그램 등을 통제해야 하므로 디바이스 이벤트를 후킹할 때가 있다.

안정성이 떨어질 수밖에 없다.

5개의 솔루션이 죄다 후킹을 하다가 그 중에 하나가 삐끗하기라도 하면 PC가 먹통이 된다.

5개의 솔루션 중 무엇이 문제를 일으켰는지 확인할 길이 없기에

때때로 5개의 보안업체가 한 곳에 모여 문제를 해결하기도 한다.

세번째, 보안성이 저하된다.

보안 솔루션이 다른 보안 솔루션을 적으로 인식하기도 한다.

서로 충돌한다.

보안위협을 찾아내는 것이 역할이기 때문에

중복으로 보안하는 구간에서 만나게 되면 서로를 보안 위협으로 인식할 수가 있다.

이를 해결하기 위해 충돌방지기능을 추가하면 보안에 사각지대가 생길 수 있다.

마치 야구 경기 중에 중견수, 좌익수끼리 서로 눈치보다가 어이없이 실책하는 경우 같다고 보면 되겠다.

네번째, 업그레이드가 번거롭다.

진정한 지옥문은 PC OS가 업그레이드될 때 열린다.

OS의 업그레이드는 곧 보안 솔루션 에이전트의 업그레이드를 의미한다.

만일 그 사이 업체가 사업에서 철수하거나 폐업하거나 합병되었을 경우

새로운 OS 보안에 대책이 없는 상태이기 때문에 새롭게 솔루션을 도입해야 할 수도 있다.

충돌/안정화문제는 다시 한번 점검해야 할 사항이 될 것이고 말이다.

마지막으로 일관성이 없는 경우가 있다.

대표적인 것이 개인정보 분석능력이다.

하나의 엑셀 파일에 대해 분석을 했을 때 개인정보 검색 솔루션은 주민번호 100건을 탐지하고,

출력물 보안 솔루션은 95건을, USB 통제 솔루션은 90건을 탐지한다면 문제가 된다.

업체마다 개인정보 정확도가 다를 수는 있지만 정확하게 탐지하지 못하면

이는 도입한 기업, 기관의 위험부담이 된다.

이렇게 많은 문제가 있음에도 불구하고 에이전트 개수는 줄지 않고 늘어나기만 했다.

왜냐하면 보안 솔루션 하나를

직원 6천명의 PC에 설치하고 안정화하려면 1년의 시간이 소요됐기 때문이다.

그렇기 때문에 에이전트를 새롭게 설치하고 안정화하는 것은

보안담당자 입장에서는 다시 겪고 싶지 않은 경험일 것이다.

기존 솔루션에 다른 솔루션을 추가해 어떻게 해서든 버텨나가는 것이 마음은 편할 것이다.

소프트웨어 에이전트는 업그레이드시 큰 비용이 소요되지 않는다.

개발사의 입장에서도 기능추가보다는 새로운 솔루션을 출시하는 것이 매출확대에 더 도움이 된다.

그래서 비효율적임에도 불구하고 PC에 설치되는 에이전트의 개수는 계속 늘어나기만 했다.

​[글. 소만사 최일훈 부사장]

출처 : 데일리시큐(https://www.dailysecu.com)

https://www.dailysecu.com/news/articleView.html?idxno=106872

목록

News/ Event

마이터 어택, EDR의 수준을 끌어올리다.

[칼럼] | 2019-11-25

MITRE ATT&CK 등장

미국 연방정부의 지원을 받는 비영리 연구개발 단체인 ‘MITRE(마이터)’는

본래 국가안보관련 업무를 수행했다.

국가안보, 항공교통, 국토보안관리시스템 구축 등 인프라와 관련된 부문을 주로 연구했다.

그러나 점점 국가간 사이버공격의 영향력이 커지고 피해가 늘어나면서

자연스럽게 해당 부분에 대한 연구가 시작되었다.

그렇게 발간된 것이 ‘ATT&CK(어택)’이다.

‘ATT&CK’은 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 ‘사이버공격 킬체인 보고서’다.

의학으로 비유를 하면, 인체에 해를 끼치는 증상에 관한 치료법과

투약제품을 모두 정리해둔 자료라고 볼 수 있겠다.

MITRE ATT&CK, 예측과 탐지, 대응이 가능해지다

‘ATT&CK’은 실제 관측에 기반, 분석한 자료를 토대로 프레임워크를 구성했다.

11단계에 걸쳐 11개의 전술을 서술했다.

전술은 다음과 같이 정리되어 있다.

전술(Tactics)

1. 초기 접속(Initial Access):

악성코드를 유포하거나 첨부파일에 악성코드를 심어

공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성행위를 위한 초기 진입방식.

2. 실행(Execution):

공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술.

3. 지속(Persistence):

공격 기반을 유지하기 위한 전술.

운영체제에서 사용하는 파일을 공격자가 만든 악의적인 파일로 대체하여 지속적인 악성 행위를 수행하거나

높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당.

4. 권한 상승(Privilege Escalation):

공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술.

시스템의 취약점, 구성 오류 등을 활용.

높은 권한을 가진 운영체제로 악의적인 파일을 삽입하는 기법 또는 시스템 서비스 등록 기법 등으로 권한상승.

5. 방어 회피(Defense Evasion):

공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위해 사용하는 전술.

보안 소프트웨어 제거/비활성화, 악성코드의 난독화/암호화,

신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지.

6. 접속 자격 증명(Credential Access):

공격자가 계정 이름이나 암호 등을 훔치기 위한 전술.

정상적인 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고,

목적을 달성하기 위해 더 많은 계정을 만들 수 있음.

7. 탐색(Discovery):

공격자가 시스템과 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술.

공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향을 정할 수 있음.

8. 내부 확산(Lateral Movement):

공격자가 네트워크에서 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술.

공격자는 자신의 원격 접속 도구를 설치하여 내부 확산을 수행하거나,

운영 체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근함.

9. 수집(Collection):

공격자가 목적과 관련된 정보 또는 정보의 출처가 포함된 데이터를 수집하기 위해 사용하는 전술.

데이터를 훔치고 유출하는 것이 목적.

10. 명령 및 제어(Command and Control):

공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술.

11. 유출(Exfiltration):

공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술.

공격자는 데이터를 탐지되는 것을 피하기 위해 데이터를 압축/암호화 후 전송하거나

데이터의 크기 제한 설정을 통해 여러 번 나누어 전송하는 방식을 사용.

12. 임팩트(Impact):

공격자가 가용성을 낮추고 무결성을 손상시키기 위해

운영 프로세스, 시스템, 데이터를 조작하고 중단시키고 나아가 파괴하는 데 사용하는 전술.

 

MITRE는 각 전술에 사용된 기법들을 일목요연하게 정리했다.

더 나아가 피해를 경감할 수 있는 방법, 해당 악성행위를 사용하는 공격그룹,

프로그램 샘플까지 제공하고 있다.

‘ATT&CK’ 공개 후 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다.

대응체계 구성이 가능해지니 EDR의 완성도가 높아졌다.

수많은 사례와 기술에 대해 학습한 결과, 변종 악성코드와 공격 예측이 가능해진 것이다.

사전에 예견하고 대책을 세울 수 있게 되어 ‘Response’의 기능이 대폭 향상되었다.

만일 최초의 공격으로 이미 악성행위를 받은 상태라면

‘피해경감 기법’을 참고해 피해를 확산시키지 않고 최소화할 수 있게 되었다.

매일매일 바뀌는 공격기법 속에서 ‘ATT&CK’은

지속적으로 보안기술과 보안위협에 대해 업데이트 하고 있다.

지난 7월에만 해도 485개의 전술기법, 91개의 해킹그룹, 397개의 악성코드에 대해 업데이트 했다.

뿐만 아니라 더 이상 사용하지 않는 전술과 기법에 대해서도 별도로 정리하기 때문에

항상 최신형상 유지와 동시에

‘죽은 기법의 변종 등장’에 대해서도 꾸준히 대응책을 마련할 수 있게 되었다.

대응에 중점을 둔 EDR, 이제 어떻게 진화할까

탐지(Detection)는 가능하되

대응(Response)에서는 확실한 해법을 내세우지 못하던 ‘EDR’ 이었지만

‘ATT&CK’의 공개는 흐름을 바꿔 놓았다.

EDR 기업들은 해당 프레임워크를 활용하기 시작했고,

그 결과 EDR은 높은 수준의 악성행위 대응전략을 사용자들에게 보장할 수 있게 되었다.

다시 말하면 모두가 일정 수준의 대응방식을 취할 수 있게 되었다

TI(Threat Intelligence: 위협 인텔리전스) 연동의 경우

EDR 기업 모두 정확도를 높이기 위해 타사의 DB를 구매/공유하므로 큰 차이가 없다.

해쉬차단 역시 서로 공유하는 구조이기 때문에 데이터의 품질은 동일하다.

머신러닝, 딥러닝은 현재 모두 같은 출발 선상에 있기에 비교하기에는 무리가 있다.

어떻게 보면 또 다른 경쟁시장이 등장했다.

독보적인 강점을 가진 EDR로 살아남아야 하는 시대가 온 것이다.

EDR은 인수합병 중

엔드포인트 보안의 흐름이 EDR로 굳혀진지는 오래됐다.

실제 환경에서 정보 탈취행위, 악성코드 주입, 데이터 파괴/암호화 행위 등

보안위협이 발견되면 빠르게 대응해 정보자산을 보호하고,

확산을 막는 방식이 가장 효과적임을 알게 된 것이다.

보안 기업들은 자신의 강점에 EDR을 결합하는 방식을 취하고 있다.

글로벌 보안기업 중 일부는 EDR 기업의 인수를 진행하고 있다.

포티넷은 ‘엔실로’를 인수했다.

엘라스틱은 ‘엔드게임’을 인수했다.

VM웨어는 ‘카본 블랙’을 인수했다.

SIEM이나 클라우드 보안 등 자신의 강점을 내세운 EDR이 출시될 것이다.

DLP와 EDR

질문을 던져 본다.

“왜 회사에서는 악성코드, 랜섬웨어 감염을 막기 위해 노력할까?”

컴퓨터가 느려지니까? 업무에 방해가 되니까? 업무효율을 따지면 맞는 말이긴 하다.

가장 중요한 것은 악성코드/랜섬웨어 감염으로 인하여

내부에 보관된 정보가 탈취되거나 변조되어 발생하는 후폭풍을

사전에 차단하기 위해서 일 것이다.

내부정보의 유출/변조 시

브랜드 이미지 하락, 신뢰도 하락, 고객이탈, 소송, 형사처벌 등

겪어야 할 풍파가 끊임없이 밀려올 테니까 말이다.

앞서 이야기했지만 최초의 공격은 아무도 막을 수 없다.

그저 가능한 효과적으로 신속하게 대응하는 것이 유일한 방법이다.

대응에 우선순위를 두어야 한다.

중요한 정보가 우선 보호되어야 한다는 의미이다.

데이터 중요도에 따라 보호수준을 차별화해야 한다.

주기적으로 중요정보를 식별해서 분류할 필요가 있다.

위협감지시 중요정보부터 우선 보호하도록 구상해야 한다.

사전에 대응전략을 설정해야 사내기술정보(도면, 기밀, 특허), 개인정보 등

중요정보가 랜섬웨어에 감염돼 암호화되거나

해커에 의해 탈취되는 위험이 발생할 경우 신속하게 대응할 수 있다.

해커는 정보를 탈취하거나 데이터 파괴, 변조, 암호화를 수행할 때 네트워크를 통해 잠입한다.

달리 말하면 네트워크만 잘 통제한다면 유출행위는 막을 수 있다.

제로데이 공격으로 인해 정보유출 위기에 놓여있다고 해도

해커가 유출을 시도할 수 있는 모든 네트워크 경로를 통제하고 있다면 최악의 상황은 면할 수 있다.

해킹이 교묘해질수록 보안기술도 고도화된다

초기 악성코드는 자신의 프로그래밍 능력을 과시하기 위한 수단으로 활용됐다.

이후 경쟁사, 경쟁자의 업무를 방해하는 목적으로 사용되었으며,

시간이 흘러 기밀정보, 개인정보 등 ‘정보탈취’ 수단으로 악용되었다.

현재는 기존 데이터를 파괴, 변조, 암호화하여 데이터를 볼모로 잡고 금전적인 이득을 취하고 있다.

악성행위를 차단하고 통제할 때 마다 해커는 더 교묘한 수법으로 권한을 획득해 위협한다.

해킹의 수법은 끝이 없어 하루에도 변조된 기법만 수백 수만개가 생성된다.

일일이 시그니처를 파악해 업데이트 하는 것은 시간이 오래 소요되고 인력소모가 크다.

샌드박스를 이용하는 것은 이미 회피능력이 탑재된 악성코드에게는 무용지물이다.

실제 상황에서 발생한 데이터를 토대로 그들이 더 이상의 전술을 펼치지 못하도록 대응해야 한다.

PC에서 발견한 악성행위 정보와 대응방식은

EDR 서버에 전송해 전세계 모든 PC에 악성행위가 전파, 확산되지 않도록 방어하는 것이

현재 개발된 보안기술 중 가장 효과적인 방식이다.

해커가 신박한 방법으로 기술을 개발해 우리를 교란시킬 수록, 우리도 진화한다.

정답은 EDR이다.

참고자료:

https://attack.mitre.org

https://www.mitre.org

http://www.etnews.com/20191101000018

http://news.heraldcorp.com/view.php?ud=20191021000851

https://byline.network/2019/08/30-57/

목록

News/ Event

글로벌 EDR 트렌드 그리고 ‘DLP’와 ‘EDR’

[칼럼] | 2019-10-14

DLP와 EDR 결합 통해 악성행위 차단하고주요한 정보 우선적으로 보호해야

– 소만사 부사장 최일훈

2018년 EDR 트렌드

작년의 대세 역시 EDR이었다.

다만 2018년에는 Detection(탐지)의 성향이 강한 솔루션이 주를 이루었다.

당시의 EDR 솔루션들은 적극적으로 행위를 제어하는 것 보다는

엔드포인트에서 발생하는 이슈들을 최대한 수집하고 분류한 후

보안관리자가 대응할 수 있도록 도와주는 포렌식 도구의 느낌이 강했다.

즉, 정보는 수집하여 줄 수 있으나 판단과 대응은 보안담당자에게 맡기는 구조였다.

ATT&CK, EDR에 대응력을 불어넣다

이런 상황을 보완하고자 하는 움직임이 있었다.

미국의 비영리 단체인 ‘MITRE’에서 ATT&CK 모델을 발표했다.

ATT&CK은 사이버공격 관련 킬체인 관리보고서다.

킬체인은 본래 군사용어로 공격형 방위시스템을 일컫는다.

정보보안업계에서 킬체인은 ‘사이버 공격 방위시스템’으로 이해하면 되겠다.

ATT&CK은 2015년 발표된 후 조금씩 개선/고도화됐다.

2018년 봄에는 상세한 기법과 함께 정리된 데이터를 오픈소스로 공개했다.

그리고 이 시점부터 EDR 기업들은 ATT&CK을 적극적으로 활용하기 시작했다.

ATT&CK은 initial access, execution, discovery, Exfiltration 등

11개의 전술과 각 전술에서 사용되는 기법들을 일목요연하게 정리했다.

각 기업에 관한 설명, 탐지방법, 기법을 사용한 해킹그룹의 사례도 제공하고 있다.

더 나아가 각 엔드포인트 보안제품군이

각 기법들에 대해 어떻게 대응하고 있는지 확인이 가능해

자사제품과의 객관적인 평가가 가능하다.

ATT&CK을 토대로 EDR 기업들은

각 공격기법에 대해 적극적으로 대응할 수 있게 되었다.

2018년은 Detection의 비중이 컸다면 2019년은 Response로 조금 더 진화했다.

국내 EDR 역시 ‘대응’에 초점

글로벌 트렌드에 맞추어 국내 EDR 솔루션 역시 대응(Response) 중심으로 변화하고 있다.

탐지엔진의 위치를 엔드포인트로 과감하게 변경하고 있다.

공격이 감지되면 바로 대응(Response) 할 수 있도록 조치하는 것이다.

2019년의 EDR은 ‘Endpoint Detection’에 ‘& Response’가 강화됐다.

정확하고 신속한 위협대응으로 확산을 막는 것이 현실적으로 가능해졌다.

EDR이 극복해야 할 과제

때때로 이런 질문을 받는다.

“EDR이 탐지했을 때는 이미 최초의 PC 한 대는 감염된 것 아닌가요? 그건 감염사고잖아요.”

맞는 말이다. 전세계에서 최초 한 번은 감염된다.

다만, 그 이후 우리회사뿐만 아니라

EDR이 도입된 전세계 다른 엔드포인트 감염은 막을 수 있다.

EDR은 신종/변종 발견시 기존 대응 솔루션보다 신속하고 자동화된 대응능력을 가졌다.

실제 엔드포인트단에서 프로세스행위 기준으로 분석하기 때문에

정확한 패턴분석력을 가지고 있다.

물론 단점도 있다.

파급력이 어마어마한 악성코드, 바이러스를 실시간으로 대응하기 위해서는

작은 정보도 놓치지 않고 수집해야 한다.

그래서 엔드포인트에서 정보를 광범위하게 수집한다.

엔드포인트 부하가 발생할 수밖에 없다.

악성코드, 바이러스는 PC와 서버뿐만 아니라 모바일 환경에도 영향을 끼친다.

그러나 모바일 플랫폼의 EDR은 아직 출시되지 않았다.

아직까지는 모바일 환경에서의 악성코드, 바이러스, 랜섬웨어 차단은

기존의 시그니처 방식을 이용하고 있다.

스마트폰 활용이 보편화돼 자유로운 웹서핑이 가능해진 요즘,

모바일을 위한 EDR의 필요성이 대두되고 있다.

DLP(Data Loss Prevention:내부정보유출방지)와 EDR

EDR(Endpoint Detection & Response)은 말 그대로 엔드포인트 탐지 및 대응 솔루션이다.

엔드포인트 단에서 무엇인가를 탐지하고 대응하는 행동을 한다.

여러 업체들이 EDR 시장에 들어와 자신의 제품을 선보이고 있지만

우월한 성능을 자랑하고 있는 곳은 극소수이다.

하지만 이들은 EDR에 특화된 기업이다.

그래서 어떤 정보가 더 중요하며 유출되어서는 안되는지 구분하지 못한다.

중요한 정보와 그렇지 않은 정보를 구분해서 보호하지 않는다.

회사 등산대회에서 찍은 단체 사진과 2019년 신규가입 고객정보파일이 있다고 하자.

둘 다 랜섬웨어로 인하여 암호화되었다면 어떤 파일이 더 치명적인 문제를 일으킬 수 있을까?

대응에도 우선순위가 있다. 중요한 정보가 우선 보호되어야 한다.

PC 안에 보관된 개인정보파일, DB/서버 내 고객 데이터베이스,

네트워크를 통해 전송시도된 개인정보파일 등을

통합적으로 연계, 관리하는 솔루션이 필요하다.

이를 통해 중요정보 오염에 선제적 대응을 할 줄 알아야 한다.

즉 무엇을 지켜야 하는지 알고 지켜야 한다.

소만사의 EDR 솔루션은 DLP와 연계됐다.

정보의 우위를 알기에 비상상황 발생시 중요정보부터 우선 보호가 가능하며,

유출통제기능으로 정보유출을 차단하기에 우월하다.

개인정보보호 솔루션은 그 동안 두 단계의 변화를 겪었다.

처음에는 개인정보 파일 검출, 삭제, 암호화를 통해 위험요소를 제거했다.

두번째는 매체, 출력물, 네트워크를 통한 유출의 경로를 차단했다.

이제는 DLP와 EDR의 결합을 통해 악성행위를 차단하고

주요한 정보를 우선적으로 보호해야 한다.

엔드포인트에서 탐지하고 엔드포인트에서 대응해야 한다.

더 나아가 엔드포인트를 통해 정보가 흘러나가지 않도록

네트워크와 연동하여 전방위 대응체계를 구상해야 한다.

해킹공격은 매일매일 지능적으로 고도화되고 있다.

보안 허점은 끊임없이 늘어난다.

EDR을 통해 방어하고 대응해야 할 때다.

https://www.dailysecu.com/news/articleView.html?idxno=73316

목록

News/ Event

SSL/TLS 트래픽의 보안 허점, 해결 방안은? – SSL/TLS 복호화를 통한 가시성 확보 솔루션

[칼럼] | 2019-04-16

주소창 옆 작고 앙증맞은 자물쇠 하나, 바로 SSL/TLS
구글 지메일, 네이버 웹메일, 구글 드라이브, 드롭박스, 인스타그램, 페이스북 등…
하다 못해 일반기업/기관 홈페이지와 NGO단체 홈페이지까지…
우리가 사용하는 대부분의 웹서비스들은 대부분 SSL/TLS 기반으로 만들어져 있습니다.
주소창 옆에 작고 앙증맞은 자물쇠 하나가 새초롬하게 달려있죠.
HTTPS라고 하면 더 이해하기 쉬울까요?
 





SSL/TLS, 원래 금융기관에서 주로 사용했던 기술

SSL/TLS는 기존 HTTP의 한계를 상쇄하기 위해 도입되었습니다.
왜냐하면 HTTP에서는 패킷이 그대로 보였기 때문입니다.
오고 가는 패킷 속에서 비밀번호, 인증번호 등이 노출되면 안됐거든요.
해커들이 탈취할 수 있으니까요.
 
그래서 SSL/TLS는 인증서, 비밀번호가 탈취되면 치명적인 결과를 초래할 수 있는
은행, 증권, 보험 등의 금융 기관에서 주로 사용했던 기술입니다.

  패킷의 송수신이 그대로 보이는 HTTP 프로토콜, 도감청의 위험 있어
하지만 시간이 지날수록 개인정보, 기밀정보에 대한 관심이 두드러졌고
실제로 해커들이 패킷이 송수신되는 채널에 몰래 도청장치를 심어놓고
패킷을 관찰 또는 가로채는 일까지 벌어졌습니다. (이를 패킷 스니핑이라고 하죠)
암호화된 패킷이 송수신 되는 SSL/TLS, 도감청의 위험 없어
정보유출을 걱정한 보안 담당자들은 서둘러 모든 패킷이 암호화되어 오고 가도록 웹서비스를 변경했습니다.
그것이 바로 SSL/TLS입니다.

  SSL/TLS가 적용되면 서버와 클라이언트 PC 사이에 둘만의 암호를 가져
그 외의 사람들은 알아볼 수 없게 됩니다.
해커가 패킷을 가로채는데 성공하더라도 암호화처리 되어 있기 때문에 패킷을 봐도 뭐가 뭔지 알 수 없지요.
 
SSL/TLS 암호화 트래픽은 이제 전세계 프로토콜의 72%를 차지
원래 2015년 기준으로 SSL/TLS 기반 웹서비스는 전세계 프로토콜의 25% 정도 밖에 되지 않았습니다.
국내는 도입속도가 이보다 더딘 편이었습니다.
그런데 어느 순간부터 다음 웹메일, 네이버 웹메일이 SSL/TLS 기반으로 변신을 시작하더니
다른 웹서비스도 하나하나 SSL/TLS 기반으로 바뀌기 시작했습니다.

  왜냐하면 구글에서 SSL/TLS를 적용하지 않은 사이트들은
‘주의 요함: 이 사이트에 접속하는 접속자는 신용카드번호, 비밀번호를 도난당할 수 있음’으로
무섭게 표시했거든요.

  포티넷의 2018년 3분기 ‘글로벌 보안 위협 전망 보고서’에 따르면
SSL/TLS 트래픽은 이제 전체 네트워크 트래픽의 72%이상을 차지한다고 합니다.
금융, 정보통신, 클라우드 등 보안이 중시되는 산업은 이미 80%이상 적용이 완료되었고요.
3년 사이에 약 3배 증가한 셈입니다.

  스니핑 위험에서는 벗어났지만… DDos, APT, 악성코드 공격은?
자, 이제 패킷이 암호화되어 송수신 되니 해커의 정보탈취 위험에서는 벗어났습니다.

  ​ 스니핑 위험에서 벗어났어요!
하지만 해커가 SSL/TLS 웹서비스를 이용해서 역으로 공격을 한다면 어떻게 될까요?
암호화된 패킷이 클라이언트 PC로 전송되기 때문에
송수신자간의 데이터 교환이 일어나는 발생하는 일에 대해서는 깜깜해집니다.
즉 개인정보 유출이나 DDos, APT, 악성코드 공격이 발생할 경우 무력화됩니다.
무엇이 클라이언트PC로 들어왔는지 네트워크에서는 네트워크 보안장비가 파악할 수 없기 때문입니다.
  ​그래서 네트워크 보안장비, DDos, APT 대응장비 및 IPS, IDS 장비들이 제 기능을 발휘하지 못 합니다.
사태를 파악했을 때는 이미 공격을 당한 이후겠죠.

  ​실제로 20만대 이상의 악성코드를 제어하는 C&C서버들이 SSL을 사용하고 있습니다.
기업을 타깃으로 한 네트워크 공격의 50%이 이상이 SSL 트래픽을 이용한다고 합니다.
유명한 랜섬웨어, 봇넷, 루트킷 등은 SSL을 이용하여 공격을 하고 있습니다.
하지만 기존 보안 솔루션은 SSL 가시성을 확보하지 못하고 있죠.
패킷이 암호화되었기 때문에 DLP 솔루션은 내용기반 통제가 안되고
유해사이트 차단 솔루션은 사이트의 차단이 어렵습니다.
IPS/IDS 솔루션은 내가 무슨 공격을 Bypass 했는지도 모를겁니다.

  SSL/TLS 복호화 및 가시성 확보 필요
이러한 상황에서 가장 필요한 것은 바로 SSL/TLS를 복호화해 가시성을 확보하는 기술입니다.
SSL/TLS를 통해 들어오는 패킷을 클라이언트 PC로 들여보내기 전에 복호화한다면
해당 패킷이 평범한 정보인지 아니면 나쁜 마음을 먹고 들어오는 해킹공격인지 파악할 수 있을테니까요.
 
게다가 개인정보가 유출된 후에 후회하는 것보다 아예 패킷을 모두 확인하고 사전에 차단하는게 낫지 않을까요?
시중에 나와있는 SSL/TLS 복호화 솔루션은
443포트를 중심으로 검사하고 복호화하여 보안솔루션에 제공합니다.
보안 솔루션은 정상적인 패킷인지 확인한 후
이를 클라이언트 PC로 중개할지 말지 결정을 합니다.

  조금 더 고도화된 기능을 적용한 솔루션의 경우
  1. 인라인(DLP, IPS, SWG)/미러링(악성코드분석, IDS, 포렌식, APT) 연동방식 지원
  2. 인증서 자동배포
  3. 세션 투명성 보장: 출발지 IP/PORT, 목적지 IP/PORT의 정보변경 없이 유지
  4. 다양한 암호화 프로토콜 커버: HTTPS, SMTPS 등
  5. H/W, S/W 바이패스 기능: 장애가 발생할 경우 바이패스 또는 소프트웨어 자동복구 기능으로 가용성 보장
  6. 이슈분석 자료 제공: SSL/TLS 처리이슈 발생시 디버깅정보 및 pcap파일 다운로드

같은 기능을 제공하기도 합니다.

  소만사의 SSL/TLS 복호화 및 가시성 확보 솔루션은
기획단계부터 보안솔루션과의 일체화를 염두
소만사의 SSL/TLS 트래픽 가시성 확보 솔루션 <T-Proxy v1.0>은 기획단계부터 보안솔루션과의 일체화를 목표로 삼았기 때문에 외산대비 패킷처리 성능이 30%이상 우월합니다.
그렇기 때문에 IPS, APT, IDS, DLP, SWG, 포렌식 장비 등과 연동해도 성능저하가 없습니다.

    네트워크의 흐름은 이제 SSL/TLS!
데이터 송수신에서의 보안위험을 차단하기 위해서는
복호화 솔루션이 반드시 필요합니다.
기껏 암호화한 트래픽을 다시 복호화하다니, 아이러니하다고 생각할 수 있겠습니다.
하지만 시대의 흐름은 이미 SSL/TLS로 바뀌었습니다.
그렇기에 패킷스니핑의 위험을 차단하기 위해서라면 암호화는 필수적인 것이고
데이터 송수신에서 발생하는 보안위험을 차단하기 위해서라면 복호화 역시 필수불가결한 것이라 생각합니다.
변화하는 환경 속에서 끊임없이 발생하고 있는 보안의 허점을 찾아내고 차단하기 위해
소만사는 오늘도 고군분투하고 있습니다.

   







SSL/TLS 복호화 장비는 유해사이트차단, APT, DDos, IDS, IPS 장비와 연동하여 사용할 수 있습니다.
SSL/TLS 복호화 장비는 보통 가시성 확보의 목적으로 사용됩니다.
하지만 개인정보/기밀정보 유출도 막을 수 있다는 사실, 알고 계셨나요?
정확히 말씀드리자면, 가장 중요한 사전통제가 가능합니다.  

소만사에서는 “SSL DLP”라고 부르고 있습니다.

   

“트래픽이 암호화전송 되기 때문에 개인정보유출 사실조차 파악할 수 없는 SSL/TLS 환경”  
해커가 사내정보망에 침입한 후 개인정보/기밀정보를 유출하려고 할 때
사용할 수 있는 유일한 방법은 바로 ‘네트워크’ 입니다.
특히 개인정보, 기밀정보를 유출하고자 할 때,
SSL/TLS를 사용하는 웹서비스를 이용하면 성공할 확률이 높습니다.
왜냐하면 기존의 내부정보 유출방지 솔루션은
트래픽이 암호화 전송되기 때문에 지금 나가는 정보에 무엇이 들어있는지 구분 못하거든요.
  ​ 그냥 패킷이 지나가고 있구나 정도로만 인식할 뿐
그 안에서 아무것도 읽을 수가 없기 때문에 정보유출은 성공하고 맙니다. 치명적이죠.
  “개인정보가 유출될 경우 소송, 기업 이미지하락,형사처벌 위험 발생”
이렇게 유출된 정보는 파급력이 어마어마합니다.
집단소송을 일으키기도 하고요,
기업의 이미지를 추락시킬 수도 있습니다.
최악의 경우 서비스가 아예 폐쇄되거나 회사 자체가 폐업을 하는 경우도 발생할 수 있습니다.

  “SSL DLP, 개인정보유출방지를 위한 강력한 도구”
SSL DLP 솔루션은 위와 같은 최악의 사태를 막아줍니다.
SSL 트래픽을 통한 개인정보/기밀정보 유출을 사전통제하고
사후에 감사자료로 활용할 수 있게 해주기 때문입니다.
그래서 해커가 고의로 개인정보/기밀정보를 유출하려고 해도
내부인의 부주의로 민감한 개인정보를 전송하더라도 사전통제/기록됩니다.  

원리는 아래와 같습니다.

  브라우저를 통해 SSL/TLS로 전송되는 정보는
클라이언트 PC와 네트워크 관문 사이에 위치한 SSL DLP 솔루션이 중개합니다.

  SSL DLP 솔루션은
  1. 밖으로 나가는 패킷을 복호화 한 후
  2. 안에 개인정보/기밀정보가 있는지 분석합니다.
  3. 만약 그 안에 개인정보/기밀정보가 있을 경우 미리 사전에 전송을 차단합니다

  “SSL DLP를 도입할 경우 소송, 형사처벌, 서비스폐쇄 위험 예방 가능”

  SSL/TLS기반 웹서비스를 통한 개인정보유출을 차단하는
SSL DLP 솔루션을 설치한다면 기업/기관은 다음과 같은 효과를 얻을 수 있습니다
 
  1. 국내 개인정보관련 법규를 준수할 수 있습니다
  2. 개인정보/기밀정보의 유출을 사전차단할 수 있습니다
  3. 사전 차단된 로깅기록을 통해 무슨 정보가 무슨 경로로 유출될뻔 했는지 확인하고 대책을 세울 수 있습니다
  4. 더 나아가 집단소송, 형사처벌, 서비스 폐쇄까지 막을 수 있습니다

  “소만사 SSL/TLS 기반 개인정보 유출방지 솔루션 Mail-i”

소만사의 SSL/TLS 기반 개인정보유출방지(DLP: Data Loss Prevention) 솔루션 Mail-i는 설계초기단계부터 SSL/TLS 트래픽 가시성 확보 솔루션 T-Proxy v1.0과의 일체화 계획을 통해 개발되었습니다.

그래서
  1. 프락시와 DLP사이 ICAP연동이라는 무거운 갑옷을 집어던지기 때문에 외산대비 패킷처리 성능이 30% 이상 우월합니다.
  2. 프로토콜 커버리지가 넓어 글로벌 웹서비스는 물론이고 국내에서만 사용하는 SSL/TLS 서비스 역시 정확하게 차단합니다.
  3. 빅데이터 검색엔진을 탑재했습니다. 3년치 데이터는 3분내로 검색이 가능합니다.
  4. 유출되기 전에 사전에 차단하는 것이 가능해졌습니다.
   

  우리나라 제조산업은 세계 최고입니다. 그만큼 보호해야 할 기밀정보/개인정보도 많죠.
그래서 정보보호법이 전세계에 비해 빨리 발달했습니다.
이를 보호하는 기술 역시 가장 먼저 발전했습니다.
그렇기에 DLP 기술은 국내 업체가 세계 최고입니다.
 
Mail-i에 대해 더 자세한 내용을 보길 원하신다면   아래 링크를 클릭해주시면 됩니다
https://www.somansa.com/solution/outflow-control/ssl-tls-network-dlp-solution/
    PDF 다운로드:
https://www.somansa.com/wp-content/uploads/2019/05/SSL-%EB%B0%94%EB%A1%9C%EC%95%8C%EA%B8%B0-SSL-%EA%B0%80%EC%8B%9C%EC%84%B1-%ED%99%95%EB%B3%B4-%EB%B3%B5%ED%98%B8%ED%99%94-%EC%86%94%EB%A3%A8%EC%85%98-.pdf

목록

News/ Event

[유해사이트차단 솔루션의 두뇌-웹 데이터베이스⑥]

[칼럼] | 2018-12-10

지난 한 달간 데일리시큐는 최일훈 소만사 부사장의 <유해사이트 차단 기술이 필요한 이유>에 대해 5회에 걸쳐 칼럼을 연재한 바 있다.
이번에는 <유해사이트차단 솔루션의 두뇌-웹 데이터베이스>를 주제로 연재를 진행한다.
유해사이트를 통해 발생하는 각종 보안사고를 미연에 방지하기 위해 꼭 필요한 내용들이다. -편집자 주-
[연재순서] 1. 어제 생겨난 도박사이트,우리 회사는 어떻게 알고 차단한 거야? 2. 가치사슬의 맨 앞단에<수집>이 있다. 3. <프로슈머>로부터 수집한다 4. 우리는 웹에 있어서 가장 특별한 나라에 살고 있다 5. 한국웹을 외국회사가 DB화 한다는 것이 가능한 일인가 6. 고객사 리스크에 기반하여 분류한다
 
◇고객사 입장에서 리스크가 큰 것부터 분류한다…1차는 악성코드 배포 사이트 수집된 웹사이트정보를 악성코드 분석센터에서 4단계로 정제해. 1차로 글로벌 악성DB와 비교분석하고 2차로 파일시그니처 분석을 하고, 3차로 직접 가상화 환경에서 어떻게 실행되는지 확인해. 필요한 경우 전문가가 직접 파일을 분석해. 악성코드배포사이트로 판정되면 위험DB로 분리하고 하루에 여러 번 재분석을 해. 그래야 악성코드가 치고 들어오면 바로 차단하고 빠지면 바로 차단을 해제할 수 있지.
     
◇악성코드가 없는 사이트를 모아서 2차로 카테고리별로 분류해   악성코드 리스크가 없다고 판단되면 이제 비업무사이트 접속의 리스크를 해결해야지. 아래 과정을 거쳐서 도박, 게임, 커뮤니티, 만화, 증권 등 카테고리별로 분류해. 이런 인프라를 구축하기 위해 10년 이상 시행착오와 끊임없는 개선이 필요할 거야.
가장 먼저 <인공지능 자동분류>를 해. 광대한 인공지능 학습DB 구축한 후 머신러닝으로 텍스트를 분류하고 이후 딥러닝으로 이미지를 분류해. 이후 머신러닝분류결과와 딥러닝분류결과를 교차분석하지. 필요한 경우에 한해 한국웹을 잘 아는 전문가가 등판해. 특히 기존지식으로는 분류할 수 없는 신규웹은 전문가가 분류한 후에 지식화해서 인공지능학습 DB를 업데이트하지.
   
◇분류사이클이 한번 돌 때마다 악성코드감염가능성이 직전의 30%로 줄어들어 웹하드, 음란, 파일공유, P2P 사이트, 상용웹메일 등 대표적 비업무사이트에는 공유지의 비극 혹은 깨진 유리창의 법칙이 적용되게 돼. (깨진 유리창 하나를 방치하면 그 지점을 중심으로 범죄가 확산되기 시작한다는 이론). 관리가 허술할 것으로 생각되므로 자연스럽게 악성코드를 배포하게 되는 거야.
미국에서의 조사에 따르면 악성코드 배포의 가장 일반적인 원인은 음란사이트 접속이야. 모 공공기관 통계에 따르면 음란사이트, 웹하드 접속을 통제하는 것만으로도 악성코드 감염율이 70% 이상 줄어든다고 해.
악성코드방지에 있어서 음란, P2P, 웹하드 등 카테고리 기반의 인터넷 접속통제는 매우 중요해. 한국 웹을 잘 알고 잘 분류하면 싸우지도 않고 악성코드라는 적군을 70% 이길 수 있는 것이지. 손자병법에서는 싸우지 않고 승리하는 것이 최상의 승리라고 했어. 한국웹이라는 특이한 전쟁터에서는 비업무사이트를 잘 분류, 차단하는 솔루션이 바로 최고의 장군인 거야.
필자. 최일훈 소만사 부사장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★
<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
http://www.dailysecu.com/?mod=news&act=articleView&idxno=42732

목록

News/ Event

[유해사이트차단 솔루션의 두뇌-웹 데이터베이스⑤]

[칼럼] | 2018-12-06

지난 한 달간 데일리시큐는 최일훈 소만사 부사장의 <유해사이트 차단 기술이 필요한 이유>에 대해 5회에 걸쳐 칼럼을 연재한 바 있다.
이번에는 <유해사이트차단 솔루션의 두뇌-웹 데이터베이스>를 주제로 연재를 진행한다.
유해사이트를 통해 발생하는 각종 보안사고를 미연에 방지하기 위해 꼭 필요한 내용들이다. -편집자 주-
  [연재순서] 1. 어제 생겨난 도박사이트,우리 회사는 어떻게 알고 차단한 거야? 2. 가치사슬의 맨 앞단에<수집>이 있다. 3. <프로슈머>로부터 수집한다 4. 우리는 웹에 있어서 가장 특별한 나라에 살고 있다 5. 한국웹을 외국회사가 DB화 한다는 것이 가능한 일인가 6. 고객사 리스크에 기반하여 분류한다
     

우린 현장에 있고 그들은 현장에 없다. 우린 실체를 알고 그들은 실체를 모른다. 정확히는 알고자 하지도 않는다. 한국은 우리에게는 100%이고 그들에게는 1%의 시장이기 때문이다.
   

웹 DB화는 판단과 선택의 연속 웹을 데이터베이스화하는 것은 것은 거대한 도서관을 짓거나, 백과사전 전집을 편찬하는 수준의 작업이야. 끝없이 판단과 선택이 이어지지. 옳은 판단과 선택을 하기 위해서는 뭐가 필요할까? 그 분야의 지식과 경험 그리고 무엇보다 애정이 있어야 해. 웹을 DB화하는 것은 바로 여기 존재하는 모든 분야에 대한 지식, 경험, 애정이 있어야 하는 일이야.  

한국웹을 외국회사가 DB화한다는 것이 가능한 일인가 한국에서 미국웹을 DB화했는데 www.Apple.com이나 www.Amazon.com이 빠져있다면 어떨까? 혹은 DB에 있긴 한데 www.Apple.com을 과수원으로, www.Amazon.com을 브라질여행사이트로 분류한다면 미국에서는 얼마나 황당하겠어? 그럼 반대로 한국웹을 외국회사에서 DB화한다면 어떤 일이 생길까? 물론 한국시장을 위해서 한국인을 단기계약직으로 쓰겠지? 그러나 그 분류결과를 누가 감수할까? 분류자를 뽑고 교육하고 심층감수하는 인프라를 구축할까? 투자와 집중 없이 형식적으로 웹을 수집하고 분류하는 것은 마치 텔레비전 보면서 타이핑하는 것과 마찬가지야. 결과물에는 중요한 내용들이 무더기로 빠져있고 오타와 실수로 가득차있겠지. 현장에서는 쓸모가 없어.  

한국기업은 한국시장에 100%를 쏟고, 미국기업은 1% 미만을 쏟아 한국시장은 글로벌 IT시장의 1% 미만이야. 시장은 1%인데 복잡도와 변칙성은 세계 1위야. 외산회사들이 한국시장만을 위해 과연 투자할까? (외산회사들에게 한국시장은 수익은 1%인데 리소스는 10%를 잡아먹는 블랙컨슈머 같은 존재라고 할 수 있지). 피터드러커가 말했지. 누군가의 프론트야드(Front Yard, 앞마당)는 누군가의 백야드(Back Yard, 뒷마당)이라고.   웹은 겉과 속이 다른 경우가 많아서 일일히 들어가서 내용을 분석해야 하는 경우가 많아. 예를 들어<moviejoa.net>을 외국회사는 겉만 보고 문화예술로 분류하고 한국에서는 일일히 들어가보고 P2P로 분류해. 왜냐? 한국시장은 한국기업에게는 프론트야드이고 미국기업에게는 백야드이기 때문이야. <꿀단지점넷>을 한국에서는 P2P로 파악하고 주소와 IP를 페이스오프해도 계속 추적해. 한국시장에서는 P2P가 매우 중요하기 때문이야. 외국회사라면 어떨까? 아예 수집이 안되어서 존재조차 모를 가능성이 제일 크고 기껏 분류해도 쇼핑몰일지도 몰라. 한국시장은 한국기업에게는 프론트야드이고 미국기업에게는 백야드이기 때문이지.
 

실제 외산제품의 한국웹 DB는 어떨까 -한국 P2P분야 상위 100개 중 40개를 모르고 있는 외산 VS 다 막는 한국솔루션 랭키닷컴이라고 있어. 한국인이 많이 접속하는 사이트 랭킹을 매긴 사이트야. 외산솔루션을 설치하고 랭키닷컴 P2P분야 상위 100개에 접속해보았어. 40개를 막지 못해. 너무나 당연히 국내 제품은 백프로 차단하지. 한국에서 P2P는 음란물, 저작권, 네트워크자원소모, 불법성의 종합세트 같은 거야. 외산제품은 아예 이 P2P들을 수집하지 못했거나 아니면 제대로 분류하지 못했어.   -카카오 수십개 서비스를 1개 카테고리로 분류한 외산 VS 수십개로 분류한 한국 솔루션 카카오에는 카톡뿐 아니라 금융, 네비게이션, 컨텐츠, 음악 등 수십개의 서비스가 있어. 외산은 카톡만 알아. 그래서 카카오가 들어가는 도메인을 모두 인터넷커뮤니케이션 하나로 분류해버렸어. 우리는 카카오쇼핑은 쇼핑으로 카카오네비게이션은 생활정보로 카카오페이와 뱅크는 금융으로 각각의 카테고리로 분류했지. 외산제품은 카카오 안에 그렇게 많은 서비스가 있다는 사실을 아예 몰랐거나 아니면 알았어도 일일히 들어가보고 분류할만큼 애정이 없었겠지.
 

웹데이터베이스. 무게와 갯수로 판단한 것인가? 가치로 판단할 것인가? 유치원생에게 만원짜리 한장과 천원짜리 세장 중에 고르라고 하면 천원짜리 세장을 골라. 개수로 판단하기 때문이지. 아무도 안 입는 옷일수록 개별적 존재없이 한데 묶어서 무게로 팔아. 판단기준은 가치일까? 무게와 갯수일까?   열명 중 다섯 명이 하루에 열번씩 접속하는 신규사이트는 못 막고, 만명 중 한명이 1년에 한번 접속하는 오래된 사이트는 막아서 뭐할 것야? 그 두 사이트를 똑같이 한 개로 셀 수 있어? 악성코드가 한시간 단위로 치고 빠지는 사이트를 생각해봐. 어떤 솔루션은 하루에 10회 이상 이 사이트를 분석해서 위험할 때는 차단하고 안전해지면 허용해. 1년이면 3,600번 보안업데이트되는 이 사이트도 개수로 세면 그저 1개일 뿐이야. (네가 머무르는 공간의 가치는 네가 얻는 편익이야? 아니면 그 방에 있는 물건 갯수야? 너는 꼭 필요한 물건만 최상급으로 골라서, 쓰는 순서대로 정리된 방에서 살고 싶어? 뭔지도 모르고 쓸 일도 없는 것들로 꽉 찬 방에서 살고 싶어?)
   

웹데이터베이스. 다른 나라를 기준으로 판단한 것인가? 지금 여기 기준으로 판단할 것인가?

한국마트에서는 달러를 받지 않아. 한국 마트라는 현장에서, 달러로는 지금 이 순간의 배고픔을 해결할 수 없어. 마찬가지로 한국 웹이라는 현장에서 다른 나라 기준의 웹데이터베이스로는 유해사이트접속이라는 문제를 해결할 수 없어. 판단기준은 지금 여기일까? 아니면 머나먼 다른 곳일까? 세상에서 가장 쉬운 일이 가치없는 것을 무조건 많이 모으는 거야. 쓰레기 쌓이는 속도를 생각해봐. 말이 심하다고? 시시각각 변화하는 웹에서 지금 이 곳의 문제를 해결하지 못하는 웹데이터베이스는 아무리 많아도, 아무리 비싸도 의미가 없어.

필자. 최일훈 소만사 부사장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★

목록

News/ Event

[유해사이트차단 솔루션의 두뇌-웹 데이터베이스④]

[칼럼] | 2018-12-06

지난 한 달간 데일리시큐는 최일훈 소만사 부사장의 <유해사이트 차단 기술이 필요한 이유>에 대해 5회에 걸쳐 칼럼을 연재한 바 있다.
이번에는 <유해사이트차단 솔루션의 두뇌-웹 데이터베이스>를 주제로 연재를 진행한다.
해사이트를 통해 발생하는 각종 보안사고를 미연에 방지하기 위해 꼭 필요한 내용들이다. -편집자 주-

[연재순서] 1. 어제 생겨난 도박사이트,우리 회사는 어떻게 알고 차단한 거야? 2. 가치사슬의 맨 앞단에<수집>이 있다. 3. <프로슈머>로부터 수집한다 4. 우리는 웹에 있어서 가장 특별한 나라에 살고 있다 5. 한국웹을 외국회사가 DB화 한다는 것이 가능한 일인가? 6. 고객사 리스크에 기반하여 분류한다

▶한국 검색엔진이 한국 시장점유율 75% 차지 ▶세계 시장점유율 90%인 글로벌 검색엔진의 국내 시장점유율은 10% 미만 ▶한국 메신저가 한국 시장점유율 90% 차지 ▶초당 인터넷속도 세계 1위 ▶국민 인터넷 활용율 세계 1위 ▶초고속통신망 보급율 세계1위

국내 시청률 30% 드라마의 미국시청률은 0.00001%이다 <태양의 후예>는 안 본 사람은 있어도 모르는 사람은 없는 초대박 드라마이다. 만일이 드라마의 시청률조사를 글로벌을 선호한다고 미국 맨해탄에서 하면 어떨까? 시청률은 0.0000001%정도 나올 것이다. 이 드라마 반응조사를 미국 맨해탄과 한국 여의도 아파트 중 어느 곳에서 해야 할까? 국내 시청률 조사는 국내 시청자 대상으로 해야 한다. 아무리 글로벌을 선호한다 해도, 국내 시청률 조사를 미국 시청자 대상으로 하지는 않는다. 마찬가지로 한국에서 유해사이트차단을 잘하려면 한국의 웹을 잘 알아야 한다. 너무나 당연한 일이다.

우리는 웹에 있어서 가장 특별한 나라에서 살고 있다 세계에서 가장 네트워크가 가장 빠르기에, 세계 최고 수준의 도전적, 모험적 네티즌들이 있기에, 공과 사가 뚜렷하지 않는 동양적 문화권이기에, 세계 유일의 분단국가로 남북대치상황에 놓여있기에… 인프라와 국민성과 문화와 정치적 이유가 융합되어 세계에서 가장 특별한 웹이 탄생했다.

-전세계에서 웹하드라는 서비스를 가장 먼저 탄생시킨 나라가 한국이다. 그 역작용으로 7.7 DDos, 3.4DDos, 6.25사이버테러 등 웹하드를 통한 악성코드감염이 발생했다. 따라서 웹하드 카테고리가 최초로 생성되었고 활성화되었다. -세계에서 온라인증권거래가 가장 활발한 나라이다. 따라서 한국에만 HTS증권거래 카테고리가 있다. -근무시간에 비트코인과 가상화폐거래를 가장 많이 하는 나라이다. 따라서 비트코인&가상화폐 카테고리가 생성되었다. -예전 남북대치상황 시절, 북한의 해킹이 상용웹메일을 통해 이뤄졌다. 따라서 상용웹메일카테고리가 생성되었다. -가장 먼저 온라인도박이 활성화된 나라이다. 따라서 온라인도박 카테고리가 활성화되었다.

필자. 최일훈 소만사 부사장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★

목록

News/ Event

[유해사이트차단 솔루션의 두뇌-웹 데이터베이스③]

[칼럼] | 2018-12-06

지난 한 달간 데일리시큐는 최일훈 소만사 부사장의 <유해사이트 차단 기술이 필요한 이유>에 대해 5회에 걸쳐 칼럼을 연재한 바 있다.
이번에는 <유해사이트차단 솔루션의 두뇌-웹 데이터베이스>를 주제로 연재를 진행한다.
유해사이트를 통해 발생하는 각종 보안사고를 미연에 방지하기 위해 꼭 필요한 내용들이다. -편집자 주-
[연재순서] 1. 어제 생겨난 도박사이트,우리 회사는 어떻게 알고 차단한 거야? 2. 가치사슬의 맨 앞단에<수집>이 있다. 3. <프로슈머>로부터 수집한다 4. 우리는 웹에 있어서 가장 특별한 나라에 살고 있다 5. 한국웹을 외국회사가 DB화 한다는 것이 가능한 일인가? 6. 고객사 리스크에 기반하여 분류한다

network-3537394_640.jpg

어느 웹사이트에 사람이 몰리나 VS 어느 길에 차가 밀리나 국민 네비게이션으로 떠오른 스타트업이 있어. 모 기사야. 모 기사는 현장의 정보를 어떻게 수집했을까? 바로 현장의 운전자로부터 수집했어. 사용자들이 정보를 보내고 혜택을 받는 크라우드소싱(Crowd Sourcing)이자 정보의 생산자가 소비자가 되는 프로슈머 방식이지. 김기사 사용자들이 모두 정보원이 되어, 도로 구석구석의 교통상황을 실시간 수집한 후 실시간 분석, 실시간 배포한 거야. 실핏줄 같은 도로마다 쫙쫙 붙은 운전자들이 연결되자. 하늘 너머에서 내려다보시던 인공위성보다 강력한 힘을 발휘한 거야.

의욕에 찬 선한 전문가의 영향력 위키피디아는 상업적 자금투여 없이 인터넷을 정보의 보고로 만들었어. 예전에는 좀 산다 하는 집은 브리태니커 백과사전 전집을 꽂아놓고 폼잡곤 했지. 이제는 브리태니커 백과사전보다 인터넷상의 위키가 훨씬 강력해. 인터넷 위키의 실제 저자는 수만명에 달해. 이 수만명이 곳곳이 흩어져서 새로운 사실을 누구보다 빨리 공유하고 있지.

수집한다. 때로는 프로슈머, 때로는 프로보노로부터 웹데이터베이스의 오류로 피해를 보는 당사자는 누구일까? 바로 고객사야. 많이 접속하는 사이트인데 새로 생겨났다는 이유로 차단되지 않는 경우를 생각해봐. 일시적으로는 접속되니 좋아할 수도 있지만, 장기적으론 생산성 저하, 법적문제, 악성코드 배포 등 피해가 발생해. 반대로 이미 악성코드가 소멸된 사이트인데 계속 차단된다면 어떨까? 업무상 필요한 정보를 못 얻게 되거나, 회사의 보안정책에 대한 불만의 소리가 터져나올 수 있지. 좋은 플랫폼만 있다면 고객사 직원들은 문제해결을 위해 때로는 지식공유의 기쁨을 위하여 기꺼이 웹접속경험을 제공할 거야. (Pro bono전문가 재능기부):‘지식정보의 생산자이자 수혜자이다.

자신의 정보를 제공한 전문가는 백만명의 집단지성을 돌려받는다 유해사이트 차단솔루션이 다양한 곳에 배치되면 김기사나 위키피디아와 같은 효과가 나타나게 돼. 가령 유해사이트차단솔루션이 통신사 2곳, 제조업 5곳, 금융기관 10곳, 공공기관 10곳, 학교 10곳에 설치된다고 생각해봐. 연령, 성별, 취향에 있어 다양한 백만명 이상의 웹접속정보를 실시간으로 수집하게 되는 거야. 예측하지 못한 악성코드감염이 발생했다고 생각해봐. 백만명중 한명은 악성코드 정보를 제공할 테고, 유해사이트차단솔루션은 바로 분석해서 웹 데이터베이스를 보안업데이트하겠지. 한 곳의 사고가 바로 백만곳 모두에게 보안업데이트로 돌아가는 거야. 나는 지금 이순간의 생생한 정보를 제공하고 백만명의 정보를 모은 집단지성을 돌려받는 것이지.

필자. 최일훈 소만사 부사장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★

목록

News/ Event

[유해사이트차단 솔루션의 두뇌-웹 데이터베이스②]

[칼럼] | 2018-11-29

지난 한 달간 데일리시큐는 최일훈 소만사 부사장의 <유해사이트 차단 기술이 필요한 이유>에 대해 5회에 걸쳐 칼럼을 연재한 바 있다. 이번에는 <유해사이트차단 솔루션의 두뇌-웹 데이터베이스>를 주제로 연재를 진행한다. 유해사이트를 통해 발생하는 각종 보안사고를 미연에 방지하기 위해 꼭 필요한 내용들이다. -편집자 주-   [연재순서] 1. 어제 생겨난 도박사이트,우리 회사는 어떻게 알고 차단한 거야? 2. 가치사슬의 맨 앞단에<수집>이 있다. 3. <프로슈머>로부터 수집한다 4. 우리는 웹에 있어서 가장 특별한 나라에 살고 있다 5. 한국웹을 외국회사가 DB화 한다는 것이 가능한 일인가? 6. 고객사 리스크에 기반하여 분류한다   웹데이터베이스는 생선회 같은 거야. 신선한 재료가 가장 중요해 왜 그 바쁜 유명 쉐프들이 직접 새벽시장에 나가 갓 잡아 올린 식자재를 찾아 헤매겠어? 음식의 퀄리티는 재료의 퀄리티가 좌지우지하고 아무리 좋은 것도 시간을 넘기면 의미가 없기 때문이야. 사람들이 실제 접속하는 웹사이트가 푸른 바다를 가르는 은빛 생명체라면, 트렌드가 지나서 아무도 접속하지 않는 사이트들은 썩고 비린내 나는 생선토막이라고 할 수 있지.   우주의 대부분이 폐허이듯 웹의 대부분은 묘지야 웹을 왜 우주로 비유하겠어? 너무나 넓고 끊임없이 변화하기 때문에? 순간순간 생성, 소멸, 변화, 연결되기 때문에? 우주의 대부분이 생명이 살지 않는 폐허이듯, 웹의 대부분은 더 이상 접속하지 않는 웹사이트의 묘지야(기껏해야 1년에 1~2번 들르겠지). 전세계 웹 중 실제 사람들이 접속하는 웹은 아주 일부분이야. 그 중에서도 바로 여기, 즉 한국에서 한국사람들이 접속하는 웹은 또 일부분의 일부분이지. 마치 우주에서 사람이 사는 별이 일부이듯이.   웹사이트의 20%에 전체 접속의 99.99999%가 몰린다 2:8법칙, 파레토법칙 들어봤을 거야. 원인의 20%가 결과의 80%를 좌우하는 현상을 말하지. 백화점에선 20%의 고객이 매출의 80%를 쇼핑하고 집중한 20%의 근무시간에서 성과의 80%가 나오지. 웹에서는 이 파레토법칙이 극단적으로 변형되어 나타나. 즉 20%의 웹사이트에 전체접속의 99.99999%가 몰리고 그 20%의 웹사이트 중에서도 상위 1%에 전체접속의 80% 이상이 집중되어있어. 우리가 매일 접속하는 웹은 이렇게 쏠림현상이 극단적으로 발생하는 곳이야.   나머지 80%는 롱테일. 혜성의 꼬리처럼 먼지가 되어 사라진다
space-1486556_640.jpg
나머지 80% 웹사이트는 몸통이 아니라 긴 꼬리라고 할 수 있지. 그런데 공룡꼬리도 아니고 쥐꼬리도 아니고 혜성의 꼬리야. 혜성의 꼬리는 실체가 없어. 몸통에서 떨어져나온 먼지가 흩뿌려지는 자취일 뿐이야. 꼬리가 길면 잡힌다고 하는데 한국사람 대부분에게는 평생 잡을 일 없는 꼬리들이지. 한국사람들 중, 천명에 한명이 일년에 1번, 만명 중 한명이 2년에 1번 이런 식으로 접속하는 웹사이트들이 먼지처럼 풀썩이면서 길고 긴 꼬리를 이루고 있어.   대표적 유해사이트인 음란사이트의 몸통과 롱테일 전세계 음란사이트는 수천만개 이상이야. 매일 수천개가 생성되고 폐쇄돼. 한글화되어 우리나라 사람들이 자주 방문하는 곳도 있고 아예 가지 않는 사이트도 있어. 너무 당연하게도 가지 않는 사이트 백만개보다 많이 방문하는 상위 1만개 사이트를 막아야 해. 상위 1만개 음란사이트만으로도 전체 접속의 99.99%가 차단되는 것이지. 나머지 0.01%는 전형적인 롱테일이야. 1만개가 99.99%를 설명한다면, 나머지 0.01%에는 100만개도 부족해. 따라서 아무도 방문하지 않은 음란사이트를 개수만 많이 확보하는 것보다 자주 방문하는 사이트를 얼마나 효과적으로 차단하느냐, 혹은 새로 생성된(그래서 우리나라 사람들이 방문까지 이루어진) 사이트를 얼마나 빠르게 업데이트하느냐가 웹데이터베이스의 퀄리티를 결정하게 돼.   웹에서의 Best Input은 <지금 여기서_ 사람들이 가장 많이 접속하는 사이트목록>이야 Best Input, Best Output이란 말이 있어. 좋은 것이 투입되면 좋은 결과가 나온다는 말이지. 웹에서의 Best Input은 전체 접속의 99.99999%가 몰리는 상위 20%의 웹사이트야. 이 사이트들을 누가 수집하느냐가 가치사슬의 맨 앞단이자 결과를 좌우하는 근본역량이야. 반대말로 Garbage In, Garbage Out이 있어. 쓰레기를 투입하면 결과도 쓰레기란 말이지. 웹에서의 Garbage는 <지금 여기서_아무도 접속하지 않는 사이트 더미>야 . 전체 접속의 0.0000000001%로 이루어진 하위 웹사이트들, 상한 생선회, 폐허와 묘지, 먼지로 이루어진 긴 꼬리들이지.   <지금 여기서_ 사람들이 가장 많이 접속하는 사이트목록>을 어떻게 찾을 수 있을까?     필자. 최일훈 소만사 부사장 / acechoi@somansa.com ★정보보안 대표 미디어 데일리시큐!★   http://www.dailysecu.com/?mod=news&act=articleView&idxno=42162  

목록