뉴스/이벤트

논리적 망분리가 향후 망분리의 대세가 될 수밖에 없는 이유

[칼럼] | 2021-10-29

‘망분리’는 악성코드 유입차단과 개인정보 유출통제 때문에 도입된 망 차단조치다.

보안에 대한 경각심이 부쩍 높아진 2014년부터 전면적으로 도입되기 시작했고,

벌써 7~8년이상 운영/유지되고 있다.

현재 금융기관은 ‘전자금융감독규정’을 통해 인터넷 망분리를 명시화하고 있다.

정보통신망법에서도

‘개인정보 취급서버에 접근하는 단말은 반드시 망분리해야 한다”고 규정하고 있다.

 

망분리는 ‘물리적인 방식’과 ‘논리적인 방식’ 두가지가 있다.

물리적인 방식은 물리적으로 PC를 두 대 운영한다.

터넷이 물리적으로 단절되었기에 모든 보안업무에서 해방된 것은 아니다.

내부망 보안을 위해 PC OS패치, 소프트웨어 업데이트, 안티바이러스 등

보안솔루션 업데이트를 주기적으로 수행해야 한다.

이때 내부망의 PC와 인터넷망의 PC사이 자료 교환을 위해서 ‘망연계 솔루션’을 사용한다.


논리적인 방식은 인터넷 접속망에 PC 가상화 서버들을 두고,

해당 서버에 수백~수천개의 PC이미지를 형성하는 방식으로 이루어진다.

내부망에 위치한 PC는 가상화 서버에 생성된 가상 PC에 접속,

가상PC를 통해 웹 브라우징을 수행한다.

내부망 PC와 가상 PC는 화면제어정보만 공유할 뿐 실제 파일 데이터를 공유하지 않는다.


보안성 자체만을 비교하자면 물리적인 방식이 조금 더 우위에 있다고 볼 수 있다.

국방 및 특수 정보기관이 불편함을 감수하면서도 물리적인 망분리를 선택하는 이유이기도 하다.

그러나 사용 편리성과 관리 편의성 관점으로는 ‘논리적 망분리’가 우위에 있다.

업무 효율성을 고려할 수밖에 없는

대다수의 민간기업과 금융기관이 논리적인 망분리를 선택하는 이유이다.


재택근무시 물리적 망분리는 적용 자체가 불가능하기 때문에 논리적 망분리만을 적용할 수밖에 없다. 중요서버에 접근하는 단말에 대한 망분리도 기존에는 물리적 망분리를 적용한 경우가 있었지만,

이제는 재택근무 때문에 모두 논리적 망분리로 변경되고 있다.

재택근무시 서버 장애대응을 위해서는

재택근무 직원이 최종적으로는 회사 주요 서버에 접근해서 시스템 장애를 복구해야 하는데,

물리적 망분리로는 이러한 조치가 원천적으로 불가능하기 때문이다.


기존에는 가격측면에서도 물리적 망분리와 논리적 망분리 방식에 큰 차이가 없었다.

상황에 따라 논리적 망분리 방식이 물리적 망분리 방식보다 더 높게 구축비용이 책정되기도 했다.

외산제품으로 논리적 망분리를 구축할 경우,

본사지침상 고가정책을 고수하기 때문에 비용차이가 더 두드러지기도 했다.


그러나 2021년 올해부터 가격측면에서의 균형추가 기울기 시작했다.

논리적 망분리 방식이 물리적 망분리 방식대비

절반가격으로 구축하는 사례가 다수 나오기 시작했기 때문이다.

논리적 망분리가 물리적 방식대비 절반가격이 가능한 이유는 크게 두가지이다.


첫번째, 인터넷 접속환경에 맞추어 가상화PC의 컴퓨팅 파워용량과 라이선스를

내부망 PC 대비 절반으로 구성해도 문제가 없기 때문이다.

회사 업무 중 70~80%는 문서작업과 내부 인트라넷 관련된 작업이다.

인터넷 접속이 거의 필요없는 업무이다.

인터넷 접속이 반드시 필요한 업무는 전체 업무 기준으로 30%에 불과하다.

따라서 상시적으로 인터넷 가상화 PC를 운영하지 않고

필요할 때만 동적 제공하는 방식으로 구성하면 필요한 컴퓨팅 파워를 대폭 줄일 수 있다.


예를 들어 임직원 1만명 규모의 기업에 논리적 망분리를 구축한다고 가정해보자.

동시에 인터넷을 사용하는 경우는 최대 약 5천명정도 될 것이다.

따라서 5천대의 가상 PC만 동시에 운영할 수 있는 환경이면 된다.

컴퓨팅 파워도 절반이고 망분리솔루션 라이센스도 절반만 구매하면 되는 것이다.


두번째는 올해부터 시작된 외산제품의 가격 합리화이다.

국내업체가 망분리 시장에 적극적으로 진입함에 따라, 시장가격이 대폭 합리화되기 시작했다.

경쟁이 있으면 결국은 가격경쟁이 촉발되고 최종적으로는 합리적인 수준에서 가격이 형성된다.


이제는 논리적인 망분리를 채택하지 않을 이유가 없다.

공공기관의 경우 10년전 초기 도입시 물리적 망분리 방식으로 상당수 도입됐다.

10년이 지난 지금, 망분리 재구축 시기가 다시 도래했다.

이제는 민간을 넘어 공공까지, 사용성이 편리하고 가격도 절반수준으로 구축가능한

논리적 망분리 방식이 망분리의 대세가 될 것으로 예상해본다.

글. 김 대 환, 소만사 대표이사

 

https://www.dailysecu.com/news/articleView.html?idxno=13

목록

뉴스/이벤트

왜 한국은 외산 DLP의 무덤이 되었을까

[칼럼] | 2021-04-30

외산보안 제품과 국내보안 제품은 태생적으로 개발투자금액이 20~30배 차이 난다.
한국기업이 30억 투자할 때 글로벌기업은 1,000억을 투자해서 개발한다.
따라서 최종 완성도 측면에서는 차이가 날 수밖에 없다.
그럼에도 불구하고 외산보안 제품은 생각보다 뿌리를 내리지 못하고 있기도 하다.
대표적인 분야가 DLP(Data Loss Prevention: 데이터 유출방지)이다.

 

10년 전 기세 좋게 국내에 진입했던 외산DLP솔루션은 조금씩 국내시장에서 철수하는 분위기이다.
해당제품을 10년 간 사용한 고객들은
“이제 더 이상 견디기 힘들다”는 고충을 국내기업에게 토로하기도 한다.
특히 인수합병 후 후유증을 겪고 있는 곳도 간혹 보인다.
라이선스 금액을 올리거나 유지관리금액을 대폭 상향해서
기존 고객들에게 실망을 안겨주기도 한다.
왜 이런 현상이 나타났을까?

 

시장은 고객과 함께 성장한다.
고객이 없으면 시장성장도 불가능하다. 반대로 고객이 있으면 시장도 자연스럽게 성장할 수 있다.
조선, 자동차, 중공업, 전자, 디스플레이, 반도체, 항공우주, 철강, 배터리, 화학 등
고부가가치 제조업이 발달한 곳은 DLP솔루션이 성장할 수 있는 충분한 토양이 된다.

 

글로벌 기업, 외산제품이라고 하지만 결국은 미국기업이고 미국제품이다.
그러나 미국은 DLP 솔루션 시장수요가 많지 않은 지역이다.

 

미국에는 세계적인 제조기업이 많지 않다.
이에 한국에서 미국 Best Practice를 수입하는 것이 아니라,
오히려 한국제조기업의 요구사항을 반영해 미국 DLP 로드맵을 수정해야 할 지경이다.

 

대부분의 IT솔루션은 미국기업이 다 장악하고 있다.
그러나 유독 독일기업이 장악하고 있는 분야가 있다.
누구나 알고 있는 곳이다. 바로 SAP이다.
SAP는 한 때 오라클을 넘보는 수준까지 도달했다.
지금도 시가총액 150조 이상으로 전세계 솔루션업체 중
상위에 랭크되어 있으며 쾌속순항 중이다.
SAP는 제조업이 발달한 독일에서 탄생했다.
SAP가 세계적인 솔루션으로 도약할 수 있었던 것은
SAP 생산관리솔루션인 ERP의 수요처가 가장 탄탄한 곳이 독일이었기 때문일 것이다.

 

현재 제조업이 크게 발달된 국가는 독일, 한국, 중국, 일본 등이 대표적일 것이다.
위와 같은 시장 생태계적 관점에서 볼 때 제조업체의 보안솔루션인 DLP는
오히려 한국에서 시작, 세계적으로 뻗어 나갈 수 있는 대표적인 솔루션이다.
특히나 한국은 로컬보안기업들이 20여년동안 기술력을 축적해온 바 있다.
분야 상관없이 시장환경만 제대로 주어진다면
3년 내로 외산 제품의 80%는 따라갈 수 있다.
5년이면 기능과 성능분야에서 넘어설 수 있다.
소프트웨어 분야에서 R&D 생태계가 잘 구축된 곳은 보안이 유일하기 때문이다.

 

DLP분야는 10년동안 한국기업이 도전해서 글로벌기업을 밀어내고 있는 대표적인 보안분야이다.
20년 전 시장은 외산기업이 절대강자였다.
한국기업의 한국 솔루션을 검토하면 그 회사 직원과의 친분관계를 의심받곤 했다.
성능, 기능은 부족하지만 ‘저렴한 가격, 고객적합화, 유지관리역량’을 내세워 읍소하기도 했다.
이제는 상황이 역전됐다.
“글로벌기업에게 휘둘리지 말고,
10년 이상 기술지원을 꾸준하게 하는 국산제품을 검토하십시오.
핵심기능과 성능에서는 이제 밀리지 않습니다.”라고
당당하게 말할 수 있는 상황이 되었다.

 

한 번 시계추가 기울기 시작하면 판세는 급격하게 달라질 수 있다.
국내 DLP 솔루션 업체의 국내 시장 석권은 이제부터 시작되었다.
5년 후에는 국내시장을 넘어 글로벌 진출도 가능할 것으로 기대한다.

 

[글. 소만사 김대환 대표]

 

https://www.dailysecu.com/news/articleView.html?idxno=123685

 

목록

뉴스/이벤트

서버DLP가 언택트 시대의 DLP 중심이 된 이유

[칼럼] | 2021-04-29

서버 DLP는 서버 내 저장된 정보의 반출과 유출을 통제하는 기술을 의미한다.

과거 전통적인 DLP는 데이터가 회사 외부로 반출되는 것을 통제하는 역할을 했다.
서버에서 데이터를 조회한 후(1단계), 회사 PC에 데이터를 저장하고(2단계),
이후 외부로 반출/유출(3단계)하는 총 3단계를 통제했다.

​회사통제범위를 벗어나는 대표적 채널은 크게 네 가지를 꼽았다.
USB 등 외부저장매체 복사, 메일 등 인터넷전송, 프린터를 통한 출력물,
마지막으로 노트북 등 디바이스 반출이다.

​이에 따라 DLP는 PC, 노트북 등 엔드포인트 단말에서 USB 복사, 출력물 인쇄를 집중적으로 통제했다.
네트워크의 경우 인터넷으로 전송되는 모든 파일을 기록하고 통제하는 것을 기본으로 했다.

​과거 서버DLP는 정보유출을 인지한 이후, 사고 역추적을 위해 도입되었다.
유출자가 어떻게 가장 먼저 데이터를 획득했는지 역추적을 위해
서버 반출내역까지 기록해야 할 필요가 있었다.
1단계 조회, 2단계 PC저장 기록기능은 부수적이며 고도화된 기능으로 인식됐다.

그러나 팬데믹 이후 비대면 생활이 기본이 되고,
재택근무가 뉴노멀로 자리잡게 되면서 상황이 달라졌다.
이제 우리는 회사PC가 아니라 집에 있는 PC를 통해
사내 네트워크에 접속한 후 사내 웹어플리케이션을 통해 업무를 수행한다.




집에서 사내망으로 접속한 후 직원들은 회사 웹어플리케이션에 바로 접속하여
데이터를 조회하거나 단말로 다운로드하게 된다.
이는 앞서 말한 1단계(조회)가 3단계(유출)로 이어지는 행동이 된다.
따라서, 중요정보를 체계적으로 보관하고 있는 서버 내 정보반출을 통제하고 추적하는 것이
DLP의 중요한 초점이 됐다. 이에 따라 서버DLP의 중요성이 부각되고 있다.

서버 DLP의 핵심기능은 Discover와 Prevent(Monitor)로 귀결된다.
Discover는 중요한 정보가 어디에 있는지 데이터 자산을 식별하는 행위이다.
주요 DBMS 테이블, 스토리지 서버에 저장된 파일에 기밀정보 또는 개인정보가 포함되어 있는지추적한다. 불필요한 정보는 삭제하여 유출위험을 해소하고,
보관된 파일은 암호화 저장하여 악용되지 않도록 보호한다.




Discover는 자산식별 기능이며, 가장 기본적인 기능이지만 제대로 사용하고 있는 곳은 생각보다 많지 않다.
DBMS에 저장된 데이터를 전수검사하는 것은 생각보다 어려운 일이기 때문이다.
실제로 비정형필드(CLOB, BLOB)에 저장된 데이터는 전수검사에 1주일 이상 걸리기도 한다.
스토리지 서버는 수백TB에 육박하기도 한다.
서버는 정의상 특정 개인의 소유가 아니기 때문에 방치된 데이터가 많이 발견되는 장소이기도 하다.
하나의 데이터 서버에서 1천만건의 주민번호가 발견되는 것은 일상다반사다.
이렇듯 검색에 오랜 시간이 소요되기 때문에 서버 내 정보를 검사하는 것은 검색속도가 핵심경쟁력이 된다.

​ Prevent는 사전통제라는 의미가 있고,
Monitoring은 사전통제보다는 정보수집 측면이 강조된 기술이지만
여기서는 Prevent로 통용하고자 한다.
Prevent는 서버로부터 외부로 전송되는 데이터를 실시간으로 분석한다.
데이터 안에 개인정보나 기밀정보가 포함되어 있을 경우 반출 전 사전통제한다.
예를 들어 서버 내에서 주민번호가 5건이상 포함된 파일을 다운로드하는 행위를 차단하는 것이 Prevent의 기능이다.

​ 서버로부터 데이터를 반출하는 경로는 크게 3가지로 요약할 수 있다.
쿼리툴(Query Tool), 터미널 서비스, 그리고 웹이다.
서버에서 USB로 파일을 복사하여 반출하는 매우 드문 경우에 해당하며 대부분 서버의 USB포트는 차단되어있다.

DB서버는 쿼리를 통해서 데이터를 조회한다.
카드사 고객데이터 분석팀은 수시로 마이닝 작업을 하기 때문에
수백명이 지속적으로 고객데이터셋을 분석하는 쿼리를 던진다.
‘데이터 유출통제’ DLP관점에서는 ‘무엇을 조회했는가’가 아니라 ‘무엇을 가져갔는가’가 중요한 이슈가 된다.
따라서 응답값을 기록하고 저장하는 것은 Prevent에서 중요한 기능이다.

​ ​ 터미널 서비스는 유닉스 계열 텍스트기반 터미널서비스인 Telnet/SSH, FTP/SFTP가 대표적이다.
특히 FTP/SFTP는 파일 다운로드와 업로드에 특화된 터미널 서비스이다.
따라서 FTP/SFTP로 전송된 파일은 특별히 집중적으로 관리해야 한다.
윈도우 서버는 주로 RDP(Remote Desktop Protocol)와 같은 GUI기반의 터미널 서비스를 통해서 접근한다.

​ 마지막으로 웹브라우저를 통해 웹어플리케이션에서 데이터를 조회하는 것은
서버 내 정보를 가져가는 대표적인 시나리오이다.

​ 몇 년 전 정부기관에서 웹애플리케이션을 통해 다운로드한 데이터를 기반으로
국회에 질의한 적이 있었는데, 그 때 해당 데이터 안에 개인정보가 포함되어 있었다.
이후 다운로드된 데이터 내역을 모두 저장하는 규정이 개인정보관련 고시에 포함되기도 했다.

​ 네트워크 DLP솔루션의 ‘Prevent’는 회사 외부로 나가는 웹데이터를 분석하는 기능이라면,
서버DLP의 ‘Prevent’는 회사 내부 웹애플리케이션 서버팜에서
(재택근무, 지사, 원격접속)사용자가 웹브라우저를 통해 조회한 데이터를 기록, 통제하는 것을 의미한다.
파일 다운로드 뿐만 아니라 웹화면 저장 및 재현까지
현재 서버DLP ‘Prevent’기능은 끊임없이 확장되고 있다.

​ 클라우드 컴퓨팅, 모바일 컴퓨팅, 그리고 팬데믹 이후 언택트 시대에서는
네트워크 경계선이 더욱 희미해질 것이다.
따라서 단말(Endpoint)과 서버(Host)로 보안중심이 옮겨가는 것은 필연적인 일이 될 것이다.
서버DLP 역시 전통적인 DLP에서 비중을 계속 넓혀가며 확장될 것이다.

목록

뉴스/이벤트

화상회의 개인정보 유출 방지 대책 마련해야

[칼럼] | 2020-11-23

김대환 소만사 대표 “정보보호 수준 유지 화상회의 진행해야”

소만사 김대환 대표이사

화상회의는 비대면 시대의 새로운 업무표준이 되고 있다.

물리적 미팅을 위해 최소 몇 시간이나 며칠간 이동해야 했던 사례를 고려해보면,

화상회의는 시간·비용적 절감효과도 큰 편이다.

따라서 생산성 향상에도 긍정적인 영향을 미치고 있다.

화상회의는 사내 직원뿐 아니라 외부 전문가와의 적극적인 정보공유 활성화도 가능하게 했다.

특히 해외출장 중 직원과 소통이 가능해졌고,

재택근무시에도 사내근무처럼 업무긴장감을 유지할 수 있는 좋은 수단이 됐다.

그러나 이러한 화상회의는

개인정보유출과 악성코드유입 측면에서 잠재적인 위험성을 내포하고 있다.

특히 줌(ZOOM)을 비롯한 화상회의 솔루션은

원활한 회의진행을 위해 파일전송기능을 가지고 있다.

이를 통해 파일 업로드와 다운로드 모두 가능하다.

업무 생산성 해치지 않으면서 보안 위협 제거해야

재택근무 시행 전, 회사 내부에서 외부로 파일을 전송하거나 다운로드 받을 때

통상적으로 일반 웹서비스 전송, 메일전송 두 가지 밖에 없었다.

해당 채널은 중간 네트워크 보안장비에 의해서

정보유출과 악성코드 유입을 사전에 통제, 필터링 한 이후에 정보공유가 이뤄졌다.

그 외의 채널은 생산성 측면에서 효과가 없고 보안통제 비용도 상당했기에

보안정책에 따라 사용을 차단하고 있었다.

현재도 대규모 기업과 금융기관은 망분리 정책을 통해

인터넷 자료공유를 원천적으로 제한하기도 한다.

이런 관점에서 화상회의 채널은 통제되지 않은

제 3의 개인정보 유출 채널, 악성코드 유입통로가 될 수 있다.

정보보호는 업무 생산성을 해치지 않은 상태에서 이뤄지는 것이 가장 바람직하다.

따라서 화상회의 솔루션을 기업기관에서 사용하도록 적극권장하는 상태에서

보안 위협만 외과수술처럼 제거해 나가야 할 것이다.

정보호호 수준 유지하는 화상회의 진행해야

화상회의 솔루션이 보편화되면서 이에 대한 기술적 보호조치도 업그레이드 되고 있다.

화상회의 솔루션 기업들은 종단간 암호화와 사용자 인증을 강화하면서

화상회의 중 중요정보가 유출되거나 권한 없는 사용자가 회의실에 들어오지 않도록 하고 있다.

또한 화상회의 보호를 지원하는 솔루션은

화상회의 솔루션에서 공유되는 파일 내에 개인정보가 포함돼 있을 경우 전송을 차단하도록 한다.

최소한 사후감사 자료로 활용할 수 있도록 파일 그 자체를 로그로 남기는 것도 가능하다.

꼭 필요한 경우에는 상급자의 결재를 거친 후 전송되도록 조치할 수 있다.

또한 파일 내 악성코드가 포함되어 있으면 해당 파일공유를 차단하는 방식으로

엔드포인트PC와 정보자산을 보호해야 한다.

화상회의는 코로나19가 종식된 이후에도 보편적으로, 적극적으로 활용될 것이다.

사내 인프라와 업무환경의 변화에 따라서 사내 보호조치도 적극적으로 업그레이드되어야 한다.

이를 통해 업무 생산성의 증대와 더불어

정보보호 수준도 유지할 수 있는 경영목표를 달성할 수 있다.

http://www.datanet.co.kr/news/articleView.html?idxno=153140

목록

뉴스/이벤트

공공기관 정보보호 책임관 도입이 시급한 이유

[칼럼] | 2020-09-28

한국 사이버 보안에는 수백가지 문제점이 있다.

열악한 시장과 투자환경, 형사처벌제도로 인한 인재부족, 사내 보안 조직 홀대, SW통합 발주 제 값 받기 등 매우 다양하다. 문제가 많은 만큼 해결책도 수십, 수백가지가 될 수 있다.

24년차 한국 보안 생태계에 몸담은 필자는 해결책을 단 한 가지로 압축해보았다. ‘공공기관 정보보호 책임관 제도도입’이다. 여기에는 ‘공공기관’과 ‘책임관’ 두개의 키워드가 들어있다.

먼저 ‘책임관’은 이는 민간기업의 임원을 의미한다. 필자는 국내 한 기업과 20년동안 일하면서 보안조직의 성장을 지켜봤다. 부장급 보안책임자가 있었을 때는 최소 한도의 투자만 진행됐다. 상이 책임자는 보안을 약 2% 정도밖에 생각하지 않았다. 보안 담당자도 ‘보안직군’에 대한 자부심이 없었다. 함께 일하는 업체 또한 고통스러울 수밖에 없었다.

이 회사는 10년 정체기 동안 뼈아픈 보안사고를 수차례 경험한 끝에 보안전담 임원자리를 마련했다. 보안전담 임원이기 때문에 업무가 오직 보안이었고, 성과도 보안으로 평가받게 되었다. 이후 10년동안 투자와 조직이 늘어나고, 직원 사기와 자부심이 높아졌다. 당연히 보안 수준도 높아졌다. 협력업체에도 숨통이 트였다. 이처럼 조직 최상위 의사결정권자가 관심에 따라 전체 생태계가 영향을 받는다.

중앙정부부처에는 정보보호 책임관이 몇 곳 있다. 산업통상자원부, 국토교통부(국토부)를 대표로 들 수 있다. 2015년 산업부에 ‘정보보호과’가 생기고 ‘정보보호책임관’이 부임하니 한국전력공사, 한국수력원자력 등 산하 주요 에너지 공기업에 ‘정보보호처장’이 임명됐다. 이후 5년동안 해당기관의 보안수준은 꾸준히 높아졌다.

두번째 키워드는 ‘공공기관’이다. 민간기관에서는 이미 임원급 정보보호최고책임자(CISO) 전담제가 시행되고 있다. 정보통신망법은 자산 5조원 이상 정보통신서비스 제공자에게 CISO를 임원으로 두도록 규정하고 있다. 금융기관은 2015년부터 자산 10조원 이상, 직원 1000명 이상인 경우 CISO를 임원으로 두고 있다. 기업의 부담감 호소에도 민간에서는 임원급 CISO 제도 운영 정책이 실시되고 있다.

공공기관은 대부분 정보보호책임관이 없다. 공공이 처리하고 있는 개인정보 규모는 민간기업보다 큰 곳이 매우 많다. 보건복지부 의료/복지정보를 고려하면 국내에서 가장 큰 개인정보처리자가 복지부 산하 공공기관임을 짐작할 수 있다. 국세청 납세기록을 정리하면 국민 사회생활 이력을 재현할 수 있고, 교육부정보로는 국민생애 12년 동안의 주요 활동 기록을 알 수 있다.

국민연금, 건강보험, 고용보험, 수도세, 전기세, 가스세, 재산세, 근로소득세 등 정기적으로 고지되는 비용청구기관이 보유한 국민 개인정보 규모는 대부분 민간기업보다 훨씬 광범위하고 세세하다. 민간에 견주면 통신사와 은행이 처리하는 개인정보량과 같다.

공공부문은 민감한 국민정보를 대규모 처리하기 때문에 ‘정보보호 책임관’은 민간이 아니라 공공부터 시작되었어야 한다. 비용부담이 큰 민간은 법으로 강제할 정도로 필요성이 충분히 인정됐지만 반면에 선제로 나서서 모범을 보여야 하는 공공에서는 오히려 시행되지 못했다.

‘정보보호 책임관’ 필요성은 명확하다. 20대 국회는 ‘정보보호 책임관’ 임명을 포함한 전자정부법 개정안이 발의했지만 우선순위에서 밀려 통과시키지 못했다. 21대 국회에서는 통과되기를 기대한다.

https://www.etnews.com/20200928000075

 

목록

뉴스/이벤트

재택근무 도입 후, 개인정보 유출 위험 최소화하려면

[칼럼] | 2020-09-01

코로나19 재확산으로 인해 다시 재택근무를 시행하는 기업이 늘어났다.

대기업은 대부분 VDI(Virtual Desktop Infrastructure, 데스크톱가상화) 인프라가 구축되어 있다.
사무실로 출근하지 않아도 원격에서 VDI를 통해 사내 네트워크에 접속해 그룹웨어, 메일확인 등 일상적인 업무를 수행할 수 있다.
VDI로 접속하면 윈도우 화면정보만 전송되기 때문에 재택근무 PC로 파일이 업로드/다운로드 되지 않는다.
정보유출이나 악성코드 유입 위험으로부터 안전하다.



그러나 VDI 라이선스는 매우 고가이다.
투자비용이 만만치 않고, 원격접속시에는 사내에서 PC를 이용하는 것보다 반응속도가 느린 단점이 있다.
영상, 디자인 등 특수직종에는 적합하지 않다.
VDI는 컴퓨팅이 서버에서 이루어지고, 엔드포인트 PC에서는 오직 화면만 보이는 구조이다.
개발업무는 대부분 컴퓨팅이 데스크탑 PC에서 이루어지기 때문에, 일반적인 VDI방식으로는 업무하기 쉽지않다.

보안관점에 있어서, 재택근무의 도입은 기존 사내근무에서 발생하지 않았던 문제를 야기시키고 있다.

첫번째, 재택근무는 회사 직원과의 물리적인 접촉을 완벽하게 없앴다. 보는 눈이 없기 때문에 동료에 의한 오남용 견제효과를 무력화시킨다.

두번째, 원격접속으로 들어오는 직원이 영업본부 K과장이 맞는지, 아니면 K과장의 계정을 해킹한 해커인지 확인하기 어렵다. 정교한 본인인증절차가 필요하다.

세번째, 사옥이라는 물리적인 보호체계가 없다. 노트북, 출력물, USB 도난에도 취약하다.

마지막으로 재택근무는 네트워크 보안장비의 도움을 받지 못한다. 악성코드가 재택근무 PC를 공격하면 속수무책으로 보안사고가 발생할 수 있다.


재택근무는 피할 수 없는 선택이다.
기업과 기관은 개인정보/기밀정보 유출통제, 내외부 접속시 데이터 공개범위 세분화, 엔드포인트 PC 보안체계 강화, 강화된 인증체계 구성, 철저한 감사로그 확보라는 보완대책을 마련해야 할 것이다.
특히 개인정보유출은 개인과 법인 모두 형사처벌에 처해질 수 있는 것이 현재의 법체계이다.

재택근무 도입 전 보안담당자는 다음 문제를 해결해야 한다.

첫번째, 개인정보 및 기밀정보 유출을 통제할 수 있어야 한다.

사옥 안에서 근무할 때는 업무상 취득한 개인정보를 외부로 반출하기 쉽지 않다.
USB와 같은 이동식 저장매체를 반입하는 것도 어렵다. 밖으로 가지고 나가는 것도 까다롭다.
문서도 마찬가지다. 모 반도체기업은 특수 코팅된 용지를 사용해서 문서를 출력한다.
회사 밖으로 가지고 나갈 때 센서가 이를 감지하고 경보를 울리기도 한다.
사내에서 근무할 경우, PC에 저장된 개인정보 및 기밀정보 파일에 대해서는 모두 기록이 남는다.
웹메일 및 클라우드 전송, USB 파일 복사, 프린터 출력 등이 통제되고 기록이 남는다.

하지만 재택근무시 이러한 물리적 보호조치 중 몇 가지는 무력화된다.
VDI방식으로 재택근무를 할 경우, 파일 자체가 PC에 다운되지 않기 때문에 안전하다고 생각할 수 있다.
하지만 화면 캡쳐, 사진촬영, 수기로 옮기는 행위는 막을 수가 없다.
회사에서는 스마트폰이나 영상촬영장치를 반입해도 주변 눈치가 보여서 촬영하기 어려우나 재택근무환경에서는 그러한 긴장관계로부터 자유롭다.

재택근무가 자택 내 자기만의 방에서 이루어지면 다행이다.
하지만 그런 환경을 확보할 수 있는 직원은 생각보다 많지 않다.
재택근무를 수행하는 많은 장소 중 하나는 카페이다.
카페에서는 고개만 살짝 돌리면 옆자리 사람이 뭘 하는지, 뭘 보는지 알 수 있는 환경이다.

이 경우에는 화면 워터마킹 기능을 강화하거나, 화면캡쳐 방지(인식) 기능을 적용하는 것이 좋다.


두번째, 내외부에 접속에 따른 정보공개범위 제한이 필요하다.

사내에서 내부 시스템에 접근하는 경우, 단순 데이터 조회에 대해서는 크게 신경 쓰지 않는다.
외부로 노출되는 것이 아니기 때문이다.
그러나 외부에서 조회할 때는 이야기가 달라진다.
단순 조회도 통제할 수 없는 ‘외부노출’ 개념이 적용, 보호되어야 한다.

원격접속시에는 사내메일조회도 ‘외부전송수준’으로 보호해야 할 수도 있다.
어떠한 방식으로도 정보가 노출, 유출될 수 있기 때문이다.
사내 개인정보처리시스템도 접속 장소에 따라서 노출되는 정보수준이 차등화 되어야 할 것이다. 민감한 개인정보, 핵심디자인 설계도면, 보안수준이 높은 회계정보 등은 원격접속시 조회되지 않도록 권한관리를 세분화해야 할 것이다.

그래서 콜센터를 운영하는 모 회사는 재택근무자들에게는 상품설명 등 일반 안내서비스 처리하도록 하고,
고객개인정보 조회가 필요한 서비스는 사내 콜센터에서 운영하는 이원적인 체계를 유지하고 있다.

고객정보, 기밀정보를 조회할 수 있는 웹어플리케이션의 권한관리 조정은 금방 처리할 수 있는 업무가 아니다.
이와 연동된 사내 주요 프로그램과 함께 수정되어야 하기에, 수개월 이상 소요된다.
하지만 감염위험을 최소화하기 위해, 재택근무는 당장 시행돼야 한다. 기다릴 수가 없다.

만일 VPN 원격접속을 통해서 사내 웹어플리케이션에 접속할 경우에는 웹어플리케이션과 PC 사이에 시큐어 웹프록시를 설치하는 것이 좋다.
원격접속시 웹프록시는 사용자 권한에 따라 특정한 메뉴접속을 차단하기도 하고, 민감한 정보가 노출되는 화면에서는 화면조회내역을 모두 남기도록 구축할 수 있기 때문이다.

세번째, 엔드포인트 보안강화와 인증강화가 필요하다.

사내에는 네트워크에서 엔드포인트 PC에 이르기까지, 여러 단계로 악성코드차단/정보유출방지에 관한 기술적 조치가 구축되어 있다.
방화벽, IPS, APT, 유해사이트 접속차단, 웹프록시, 네트워크 DLP, 스팸차단솔루션 등이 네트워크를 겹겹으로 보호하고 있다.
물리적으로 인터넷망과 내부망을 원천적으로 차단하여 ‘망분리 정책’으로 운영하는 곳도 다수 존재한다. 금융기관이 대표적이다.

그러나 재택근무시 사용하는 노트북은 어떠한 네트워크 보안장비의 도움없이 바로 인터넷에 노출된다.
오직 엔드포인트 보안솔루션으로만 보호받을 수 있다.

이에 따라서 재택근무시에는 안티바이러스/EDR, DLP등 주요 엔드포인트 보안솔루션을 반드시 설치하고 정책을 강화해야 한다.
예를 들면 사내시스템 접속시에는 다른 인터넷 트래픽을 모두 차단하는 설정을 하는 것이다.
최근 방화벽과 같은 경계선 보안(Perimeter Security) 솔루션 개발은 살짝 주춤하고,
엔드포인트 보안이 조금 더 강화되는 추세가 보이고 있다.
클라우드 환경 도입 증가 및 재택근무의 확산 때문이다.

네트워크 보안에 무방비한 상태에서 악성코드에 감염될 경우, 내가 사용하는 재택근무 PC가 불법접근 PC로 이용될 수도 있다.
PC가 악성코드에 감염, 장악된 후 내 PC를 숙주로 나도 모르는 사이에 사내 네트워크에 들어와 마음대로 정보를 유출하고 데이터를 위변조시킬 수 있기 때문이다.
로그인 체계를 강화해야 할 것이다.


마지막으로 감사기록 확보와 이상징후를 통제해야 한다.

원격접속으로 들어온 영업본부 K과장이 정말 본인지 맞는지 100% 확신할 수 없기에, 감사로그 확보와 이상징후 분석능력이 더 업그레이드되어 있어야 한다.

최근, 솔루션 개발자와 협력업체 원격지원에 대한 감사로그 확보가 이슈 되고 있다.

솔루션 개발은 일반적인 VDI접속 환경과는 다르다.
VDI는 컴퓨팅이 모두 서버에서 이루어지고, 단순히 화면만을 받아보는 구조인데 개발자들은 모든 컴퓨팅이 개발자 데스크탑에서 이루어진다.
솔루션 컴파일을 위해서는 사내 데스크탑의 강력한 컴퓨팅파워가 필요하고, 사내 데스크탑을 통해서만 사내 소스코드 관리서버와 통신할 수 있기 때문이다.
물론 해외 글로벌회사 중 몇몇은 솔루션 소스코드 자체도 깃허브(Github) 같은 곳에 올려놓고 개발하는 경우가 있긴 하다.

개발자들은 VDI보다 재택근무 PC에서 VPN으로 윈도우터미널서비스에 접속하여 로컬 데스크탑처럼 작업하는 것을 더 선호한다.
윈도우 터미널 서비스 내역은 자체적으로 감사로그가 기록되지 않는 단점이 있었다.
이를 보완하기 위해 RDP(Remote Desktop Protocol) 프록시 등을 통해서 작업 감사기록을 남기는 것을 검토해야 한다.

원칙적으로 협력업체는 자사에서 원격터미널 서비스를 통해 거래처 네트워크 인프라와 서버에 접근할 수 없다. 금지하고 있다.
특히 금융기관은 감독규정 등으로 엄격하게 규제하고 있다.
그러나 코로나19로 인하여 협력업체가 회사사옥에 방문, 근무하는 것을 제한하게 되면서 그 절충안으로 원격접속을 통한 지원을 용인하고 있다.
장애발생시 협력업체의 빠른 지원이 필요한 것은 코로나19 이전에도 이후에도 동일하기 때문이다.
이 경우 사내직원이 원격접속 내역을 실시간으로 모니터링하고 있기는 하다.
그러나 원격접속을 통해 작업한 내역에 관하여 세부적인 감사기록을 자동적으로 남기는 것도 반드시 검토되어야 한다.

재택근무는 한 두 달 시행하고 끝나는 것이 아니다.
바이러스가 종식될 때까지 상당기간 계속 지속될 것으로 예측된다.
보안 담당자는 새로운 비즈니스 환경에 따라, 새로운 보안 대응체계를 구축해 나가야 할 것이다.
국내 보안 솔루션 업체들은 클라우드, 재택근무 관련 기술개발을 꾸준히 진행해왔으며 적용사례를 확대해 나가고 있다.
화면 캡처방지, 화면 워터마킹, RDP프록시를 통한 터미널서비스 접속기록관리, 시큐어웹프록시, VPN, VDI 솔루션 등이 대표적이다.

​ 물론 언제나 가장 중요한 것은 ‘보안에 대한 마인드’이기에, 직원들의 보안인식 또한 재택근무에 맞추어 강화되어야 할 것이다.

​ 글. 김대환 소만사 대표이사

​ ​ https://www.dailysecu.com/news/articleView.html?idxno=112973

목록

뉴스/이벤트

우리나라는 왜 아직까지 EDR 도입이 더딜까?

[칼럼] | 2020-08-20

세계최대의 정보보안전시회 RSAC, 블랙햇(Black Hat)에 참가한 보안솔루션 기업들이 전면적으로 내세운 제품은
EDR(Endpoint Detection and Response: 엔드포인트 위협탐지 및 대응)이었다.

2013년 처음 언급된 보안기술은 어느덧 1조 8천억원 규모의 큰 시장을 만들어냈다.
(글로벌 시장조사기관 ‘리서치앤마켓’에서는 EDR시장이 2026년까지 8조 5억원 규모로 성장할 것이라 예상하고 있다.)
이제는 ‘차세대 엔드포인트 보안’이라는 수식어를 떼어내도 될 정도로 ‘EDR’은 정보보안의 상징적인 기술이 되었다.

해외 EDR 기업 ‘크라우드스트라이크’는 작년 시가총액 13조원 공개 이후 단숨에 메이저 위치를 차지했다.
‘VM웨어’는 ‘카본블랙’을 인수했다. ‘엘라스틱서치’도 ‘엔드게임’을 인수하면서 EDR 시장에 진입했다.
가상화, 검색엔진 등 보안과 관련이 없는 글로벌 기업이 인수합병을 통해 EDR 시장에 진입했다는 것은 그만큼 EDR 시장 잠재성이 무궁무진하다는 의미일 것이다.

그러나 국내에서는 효과적으로 EDR을 사용하고 있는 기업을 찾아보기 어렵다.
세가지 부정적인 인식이 있어, 도입을 망설이고 있기 때문이다.



첫번째, ‘엔드포인트 위협탐지 및 대응’ 솔루션이라고 하지만 ‘전문가의 판단’이 최종적으로 필요한 솔루션이라는 인식이 있어서 일 것이다.

자동화 솔루션인 것처럼 포장하지만 사람이 개입하는 구조라고 생각하기 때문이다.
EDR 솔루션이 엔드포인트 단에서 악성행위를 탐지하는 것은 맞다.
하지만 악성행위가 ‘맞다/아니다’로 알려주지 않고 강수확률처럼 100% 기준 퍼센테이지로 나타내기 때문에,
EDR 에이전트가 보안담당자에게 “악성확률 60%의 행위를 탐지했습니다”라고 안내했을 경우 보안담당자는 곤란해진다.
결국 최종결정은 사람이 해야 한다. 책임은 결국 사람이 지게 된다.

EDR 관제 인력을 자체 고용하는 것도 어려운 일이다.
검증되고 숙련된 위협탐지 전문가를 구하기란 ‘하늘의 별 따기’이다.
어렵게 한사람을 구하더라도 24시간 보안관제가 필요한 상황에서는 한두사람으로 커버할 수 없다.
구축비용도 비싼데 인건비도 만만치 않게 든다.
수십억을 투입하여 구매할 때도 경영진 눈치가 보이는데,
구축 후에도 유지비가 꾸준히 발생하기 때문에 선뜻 도입하기 망설여진다.


두번째, 망분리에 대한 무조건적인 믿음이 EDR의 도입을 막아서고 있다.

2010년 기점으로, 해커들이 내부전산망으로 침입하여 피해가 발생하다보니 다수의 기업과 기관은 이에 대한 방어대책으로 ‘망분리’를 적용했다.
2012년에는 전자금융감독규정 제15조, 정보통신망법 시행령 15조(2020년8월5일 기점으로 개인정보보호법 시행령으로 이관)에 이용자수 일평균 100만명 이상이거나
매출액 100억원 이상인 정보통신 서비스 제공자 대상으로 망분리 규정이 신설되었다. 의무사항인 것이다.

한 대의 PC에서 내부망과 외부망을 분리해 외부보안 위협이 원칙적으로 들어올 수 없도록 구축했기 때문에
보안위협이 발생할 확률을 대부분 제거했다는 것이 망분리의 장점이다.
그래서 EDR 도입을 강력히 주장할 설득력이 떨어지게 된다.


세번째, 인건비는 인건비대로 들어가는 상황에서 망분리가 잡지 못하는 잔존위험을 해결하려는 목적으로 수십억원 이상을 투입해 구축하는 것은 비효율적이라고 생각한다.

주요위협을 스스로 판단하여 알아서 차단하는 것도 아니고, 큰 위협을 탐지하는 것도 아닌데 비용은 수십억이 투입된다.
높은 비용이 투자되는 만큼 구축/안정화기간도 오래 소요되는 EDR은 속칭 ‘가성비가 떨어진다’고 여기는 것이다.


해당 포스팅에서는 전산, 보안담당자가 EDR에 관해 가지고 있는 세 가지 편견에 대해 해소해보고자 한다.


첫번째, EDR은 ‘Detection’ 중심 솔루션이기 때문에 사용자 개입이 반드시 필요하다?

X. 결론은 아니다.

과거에는 그랬다. 하지만 2018년 ‘Mitre(마이터)’사의 ‘ATT&CK Matrix’ (이후 마이터어택) 공개이후 Detection에서 Response로 중심축이 이전되었다.
마이터어택은 실제 관측에 기반하여 분석한 자료를 토대로 최신공격방법, 대응방법, 관련 솔루션을 망라한 ‘사이버 킬체인 보고서’이다.

EDR 업체들이 해당 보고서를 활용, 반영하기 시작하면서 사람의 최종 결정이 없더라도 공격에 대한 예측과 ‘대응’이 용이해졌다.
EDR 솔루션이 엔드포인트 단에서 혼자 탐지도 하고 해결방법도 찾고, 알아서 차단할 수 있게 된 것이다.

‘마이터어택’을 기반으로 대응까지 자동화하는데 성공했기에 이제 보안담당자는 과거 EDR을 사용할 때처럼 빈번하게 최종결정을 하지 않아도 된다.
대부분 자동화되어 EDR에게 맡겨도 된다.

회사 PC에 랜섬웨어 파일이 유입되었다면 EDR이 알아서 차단할 것이다.
제로데이어택이 발생할 경우에는 백엔드에서 일어나는 행위를 기준으로 위협을 판단하고,
EDR 서버에 전송하여 사내 모든 EDR 에이전트에 해당 위협을 업데이트, 적용시킬 것이다.
이후 해당 정보를 TI(Threat Intelligence, 위협 인텔리전스)에 공유하고,
TI는 EDR을 도입한 다른 기업/기관의 EDR 서버에 동일한 내용을 배포하여 확산을 막아줄 것이다.

기계학습(Machine Learning: 머신러닝) 도 꾸준히 발전하고 있다.
시간이 흐를수록 탐지/대응능력은 더욱 정교해질 것이다.

기술발전과 사례가 늘어남에 따라, EDR 전문기업에서 관제, 분석 서비스를 제공하기 시작했다.
보안위협분석 전문가를 고용하기 위해 찾아 나서지 않아도 된다.
내부에서 직접 EDR 관련 업무를 수행하지 않아도 된다.
전문화된 서비스를 이용하면 되기에, 많은 유지관리 비용을 투입하지 않아도 충분히 활용할 수 있다.


두번째, 망분리 적용기관은 굳이 EDR을 도입하지 않아도 된다.

X. 그렇지 않다.

망분리는 내부 정보자산을 보호하기 위해 외부망과 내부망을 분리시켜서 악성코드, 랜섬웨어, 바이러스, 웜 등 외부 위협요소의 유입을 아예 막아버리는 방식이다.

하지만 아래 4가지 문제로 인하여 망분리는 점차 축소되거나 제한될 것이다.

일부직원들은 우회경로를 만들어 쥐구멍으로 몰래 외부 네트워크를 이용하기도 한다.
보안담당자가 모르는 곳에 허점이 생기고, 그 경로를 통해 보안사고가 발생한다면 아주 빠르게 내부망은 초토화될 것이다.
망분리에 대한 믿음이 있기에 그 이외에는 조치하지 않았을 것이 분명하니까.
상황을 깨닫게 되었을 때는 이미 해결할 수 없을 정도로 걷잡을 수 없이 커져버린 상태일 것이다.

외부 디바이스로 인해 감염될 경우 막을 방법이 없다.
대만 반도체기업 TSMC(타이지덴)는 생산설비 업데이트를 위해 바이러스 검사가 완료되지 않은 USB를 연결했다가 생산설비가 바이러스에 감염됐다.
하루동안 생산라인 3곳의 가동이 중단되었으며 이로 인해 손실액은 한화 2,800억 정도일 것으로 추산했다.
생산설비에 망분리를 구축하여 네트워크와 멀리 떨어뜨려 놓아도 이렇게 외부요인에 의해 감염되고 손실을 일으킬 수 있다.
무균실에 떨어진 세균 하나는 방해요소가 없다는 걸 아는 순간 순식간에 세력을 확장한다.

시대의 흐름 역시 망분리에서 벗어나고 있다.
망분리는 내부에서만 적용된다.
코로나19의 영향으로 임직원의 안전을 위해 재택근무를 도입하고 활용한 곳이 늘어났다.
클라우드/모바일 컴퓨팅 비중이 증가했다.
견고하던 ‘안전한 내부망’의 개념이 점점 줄어들고 있는 것이 지금의 현실이다.

핀테크 스타트업계도 망분리에 대해 부정적이다.
‘전자금융’으로 성장한 핀테크 기업들은 망분리를 ‘외부 오픈소스코드를 반영하여 개발하는 연구소의 업무생산성을 저해하는 요인’이라고 주장하고 있다.

모 CISO는 “망분리 방식에서 협업을 통한 업무를 진행할 경우 업무생산성이 50% 이하로 떨어진다.”고 이야기했다.
이어 “핀테크 기업 특성상 업데이트가 필요한 오픈소스 라이브러리 관리를 위해서는 인터넷 연결이 필수적이지만 망분리 규정을 따르면 반드시 차단해야 한다.
별도의 불필요한 작업이 수행되기에 작업속도는 현저히 떨어질 수밖에 없다. “라고 망분리의 비효율성을 설명했다.

핀테크 기업은 기존 금융, 민간대기업과 다르게 적은 수의 인원으로 꾸려지기 때문에 사업규모도 작다.
그럼에도 불구하고 망분리, 망연계를 위해 몇 억을 투자해야 한다면 비효율적일 것이다.
과도한 규제 때문에 성장 가능성이 높은 사업을 경영자들이 외면하고 다른 산업으로 눈을 돌리게 된다면 국가적으로도 큰 손실일 것이다.

망분리는 시대의 흐름에 따라 점차 중요성이 줄어들게 될 것이다.
2010년 초반, 그 때는 전산서비스의 안전을 위해 반드시 필요했던 규제였지만 10년이 지난 지금은 다른 기술로도 충분히 보호할 수 있기 때문이다.

결국 엔드포인트(PC) 자체에서 보안을 강화하는 것은 거스를 수 없는 추세이다.

세번째, 구매하기에는 가격도 비싼데 가격대비 그렇게 효과적으로 사용할지 의문이다
△. 어느정도는 동의한다.

당장 도입하기에는 구축비용이 부담스럽다. 구축과 안정화에 필요한 기간 역시 길다.
현재도 충분히 망분리를 통해 주요 보안위협을 막고 있는데, 자잘한 잔존위협을 보안하기 위해 수십억을 투자하는 것은 ‘가성비’가 떨어진다고 여길 수도 있다.

그렇다고 해서 도입을 안 할 수는 없다. EDR이 보안 트렌드인 것은 모두가 인정하는 사실이기 때문이다.

이 경우에는 선택할 수 있는 방법이 두 가지가 있다.

1) 수십억을 투입하여 1년 프로젝트로 기획하고 전면적으로 구축한다.
2) 기존 에이전트에 EDR 기능을 추가하면서 점진적으로 차츰차츰 적용, 고도화 한다.

2) 번의 경우 비용이 상대적으로 저렴하고 구축/안정화 시간이 짧다는 장점이 있다.
1차로 적용을 해보고 향후 구축방향을 결정할 수도 있기 때문에 도입사 입장에서는 부담이 적다.
국내에는 기존 보안솔루션을 중심으로 EDR 기능을 개발, 적용한 솔루션이 많다.
소만사는 DLP 솔루션을 중심으로, 안랩은 안티바이러스 솔루션 중심으로, 지니언스는 NAC을 중심으로 EDR 기능을 접목하여 개발, 고도화하고 있다.




미국에 ‘CWT’라는 기업이 있다. 컨퍼런스/세미나/ 출장 등을 전담하는 B2B 전문 여행사인데 직원수만 1만8천명이며, 연간매출은 1.8조원 수준의 큰 기업이다.

이 회사가 올해 7월, 사내 PC 3만대가 Ragnar Locker 랜섬웨어에 감염되어 해커에게 한화 약 53억원 상당의 비트코인을 지불하고 암호화문제를 해결했다.
(관련기사 링크) 재미있는 점은, 해커가 복호화 비용을 받은 후
CWT에게 보안 관련 어드바이스를 해줬다는 것이다.
해커가 조언해준 보안사항은 다음과 같다.

1. 로컬 암호는 꺼라
2. 관리자 세션은 강제로 종료시켜라
3. 그룹정책에서 WDigest 값을 0으로 설정해라. 값이 0이면 메모리에 저장을 안한다.
4. 암호는 매달 바꿔라
5. 사용자에게 준 권한은 최소설정해라. 필요한 앱에서만 접근하도록 엄격하게 관리해라.
6. 대부분 Applocker 정도면 다 지킬 수 있다.
7. 필요한 어플리케이션만 허가해라.
8. 안티바이러스 믿지마라.
9. EDR(Endpoint Detection& Respones)을 설치하고 보안관리자들에게 사용하도록 지시해라.
10. 적어도 3명의 관리자가 24시간 일하는 것을 추천한다.
여유있으면 4명의 관리자가 하루에 8시간씩 3교대하면 더 좋다.


다른 것은 잊어도 좋다. 9번만 기억하면 된다.

참고:

https://blogs.gartner.com/avivah-litan/2017/03/15/morphing-edr-market-grows-to-1-5-billion-in-2020/
https://www.researchandmarkets.com/reports/4704049/endpoint-detection-and-response-global-market
https://news.hada.io/topic?id=2588
https://blog.naver.com/best_somansa/222060484545

목록

뉴스/이벤트

SSL/TLS 역사와 현재, 그리고 가시성 확보 필요성

[칼럼] | 2020-06-18

지금 이 웹페이지에서도 확인하실 수 있습니다. 주소창 옆 자물쇠.

사업체, 공공기관은 작은 규모라도 자사를 드러내고 소개할 수 있는 웹사이트를 모두 보유하고 있다. 홈페이지를 통해 내 사업체의 정보를 미리 안내하고 유령회사가 아니라는 신뢰를 줄 수 있기 때문일 것이다.

지금 인터넷 창을 열고 생각나는 웹사이트 아무 곳이나 접속해보자. 작은 규모의 웹사이트일 수록 좋다. 혹시 주소창 왼쪽에 자물쇠가 표시되어 있는가? 아니면 다른 표시가 나타나 있는가? 사실 새로 창을 열지 않아도 된다. 지금 보고 있는 이 블로그 주소창을 보자. 자물쇠 아이콘이 표시되어 있다.

자물쇠가 없는 웹사이트에서는 자물쇠 대신 ‘주의요함’이 표시되어 있을 것이다. 클릭하면 ‘이 사이트에서 입력하는 비밀번호, 신용카드 번호 등이 공격자에 의해 도용될 수 있다’는 경고 메시지가 노출된다. 들어갔다가 사단이 날 것 같은 느낌이 든다.

1초도 머물러 있으면 안될 것 같은 느낌

주소창의 자물쇠 표시는 ‘이 웹사이트는 공격자로부터 안전하게 보호되고 있다’는 의미이다. 해당 표시가 뜨는 곳은 SSL/TLS 로 암호처리된 웹사이트이다. 암호화로 한 번 덮어씌운, 보안이 되는 사이트이기 때문에 누가 내 정보를 중간에 탈취할 위험이 없어 안심된다. 온전히 클라이언트 PC를 사용하는 나와 웹서버를 사용하는 웹사이트 둘 만이 가진 개인키와 공개키로 내용을 암호화하고 복호화하면서 정보를 읽어 들이기 때문에 제3자는 내가 무엇을 하는지 알 수 없다.

* SSL/TLS의 위치 : 이렇게 싹 암호로 덮어씌워서 나간다.

SSL/TLS를 제공하는 웹서비스가 최근 몇 년 사이에 급증하긴 했지만 SSL/TLS는 이미 90년대 초반에 만들어진 기술이다. 넷스케이프사에서 통신 보안을 위해 내부적으로 개발한 규약인데 SSL(Secure Sockets Layer: 보안 소켓 레이어)이라고 불렸다. 1.0은 보안결함이 심각했기에 외부에 공개되지는 않았다. 95년 2월에 공개된 2.0부터 공개적으로 사용되기 시작했다.

SSL 통신규약은 3.0 버전이 마지막이며, 1999년 TLS(Transport Layer Security) 1.0이 릴리즈 되면서 정식 명식은 TLS로 명명되었다. SSL이 아니라 TLS로 불리는 것이 더 정확한 표현이나 SSL이라는 용어가 더 익숙하여 SSL/TLS로 혼용하여 사용되고 있다.

현재 나와있는 프로토콜 중 2018년에 릴리즈된 ‘TLS 1.3’이 가장 최신 버전이다.

악수 한 후에 이야기 나눕시다. 핸드셰이크.

만남이 있다면 사전에 통성명을 주고받고 시작하는 것이 인지상정이다. 다짜고짜 용건만 냅다 던지면 대화가 묵살될 수 있다. SSL/TLS에서도 핸드셰이크가 수반되어야 한다. 암호화기반이기 때문에 서로 암호키를 교환하여 전송에 필요한 절차를 만들어야 하기 때문이다.

SSL/TLS 핸드셰이크는 크게 4단계로 나눌 수 있다.

1. 보안기능설정: 프로토콜 버전, 세션ID, 암호조합, 압축방법 등을 공유한다. 상대가 어떤 언어를 어떻게 사용하는지 (한국어/영어/독일어 중 무슨 언어를 쓰는지 서로 대화가 가능한 언어가 무엇인지) 확인하는 단계이다.

2. 서버인증과 키 교환: 서버가 필요하다고 생각될 경우 인증서/키교환을 보낸 후 클라이언트 PC에게 인증서를 요청한다. 위장한 제3자가 난입하는 경우를 막기 위해서다. 상황에 따라 수행하지 않는 경우도 있다.

3. 클라이언트인증과 키 교환: 서버가 요청한 클라이언트 PC 사용자의 인증서를 전달하는 단계다. 이때 인증서를 보내 위변조 등 부정행위가 없음을 확인시켜준다.

4. 종료: 서로 암호조합을 교환한다. 내가 보내는 패킷을 해독할 수 있도록 공개키를 보낸다. 세팅이 끝났다. 지금부터 암호화된 통신이 시작된다.

악수하며 정보를 교환하고 서로를 파악하면 그 때부터 앉아서 편하게 대화를 진행할 수 있게 된다. 사용언어도 합의 하에 설정했겠다, 제3자는 그들이 무슨 말을 해도 알아들을 수 없다.

보안회사는 다 SSL/TLS 기반 웹사이트 씁니다.

글로벌 기업들은 2015년 전후로 SSL/TLS 기반 웹서비스를 제공했다.

구글의 경우 지메일, 구글닥스 등 정보의 보안이 필요한 서비스에 SSL/TLS를 먼저 적용하기도 했다. (현재는 모든 서비스를 SSL/TLS에서 제공한다.) 국내는 2016년 이후부터 전환이 시작되었다. 조금 늦은 편이다. 본래 국내에서는 은행 등 일부 기관에서만 한정적으로 사용했던 것인데 해킹기법이 지능화됨에 따라 이를 상쇄하기 위해 도입을 시작한 것이다. 국내 웹서비스 중에서는 네이버, 다음카카오가 암호화웹 기반으로 맨 처음 전환했다. 이 이후로 점차 공공기관, 국내 클라우드 서비스, 쇼핑몰 등도 암호화웹 규약을 채택하기 시작했고 현재는 90%이상의 웹사이트는 대부분 암호화웹을 사용하고 있다.

보안솔루션 개발사들은 100% SSL/TLS기반 웹사이트를 운영하고 있다. 만약 HTTP 기반 웹사이트를 보유하면서 정보보호를 외치고 있다면 몸이 좋지 않은 헬스트레이너가 회원들에게 “체중감량 하시려면 절식하시고 운동 열심히 하셔야 합니다!”라고 말하는 것과 비슷한 맥락이 될 것이다.

HTTP웹에 SSL/TLS이 적용되면 아래 요소들이 암호화되어 안전하게 오고 갈 수 있게 된다.

– URL (내가 어 느 페이지에 접속했는지 숨겨줌)

– 문서내용 (내가 무슨 내용을 보고 있는지 안알랴줌)

– 브라우저 양식 내용 (취약점이 있는 브라우저를 이용하더라도 브라우저를 모르니 해킹이 어려워짐)

– 쿠키 (티끌을 모아 유추하려 해도 알 수가 없게 됨)

– HTTP 헤더내용 (내가 발송한 정보를 어디사는 누구에게 보내더라도 행선지는 물론이고 내가 무엇을 보냈는지도 알 수 없음)

복호화 키가 없으면 내용을 볼 수가 없다. 패킷을 탈취하더라도 난수로 구성된 패킷일 뿐이다. 그 덕분에 우리는 해킹 불안에서 벗어나 안전한 웹환경을 보장받고 즐겁게 웹서핑을 할 수 있게 되었다.

SSL/TLS는 우리에게 아래와 같은 안전성을 보장한다.

1. HTTP 보다 뛰어난 보안성을 제공한다.

2. 패킷이 암호화되어 오고 가기 때문에 누군가가 패킷을 가로채도 해커는 내용을 알아낼 수 없다.

3. 핸드셰이크 절차를 통해 서로를 인증하고 인증확인이 되어야 통신이 구현되기 때문에 나를 사칭하는 일도 발생하지 않는다.

안전성을 보장받은 기술임은 확실하다. 하지만 완벽한 보안은 아직까지 없는 것 같다.

이토록 안전성을 보장받은 기술임에도 불구, 허점이 있기 마련이다.

어떤 사람들은 강점을 역으로 이용해서 공격을 수행한다.

쉽게 말해 악용이라고 합니다.

SSL/TLS의 보안성을 악용해 다음과 같은 공격을 수행하기도 한다.

1. 정보유출 경로로 악용

SSL 개발 목적은 통신과정의 ‘도청, 패킷탈취, 위변조를 막기 위해서’ 였다. 기존 통신규약에 암호화 한번 덧 입히면 쉽게 해킹할 수 없을 거라는 생각으로 개발했었다. 하지만 이로 인하여 되려 클라이언트PC와 서버 사이에서 어떤 정보가 오고 가는지 알 수 없게 만들어버렸다. 한번 암호화되어 덧입혀져 나가기 때문에 내가 주민번호를 1만건 유출해도, 종합부동산세 납부대상자 명단을 모두 끌고 와도 기존 보안 솔루션으로는 파악할 수 없다. 복호화키는 클라이언트PC와 서버 단 둘만 알고 있기 때문에 제3자인 보안 솔루션은 무엇이 언제, 누구에게, 몇 건이 밖으로 유출되었는지 알 수 없다.

해커들 못 보게 하려고 만든 기술이 기존 보안솔루션에게도 적용된 것이다.

과거에는 인증이 필요한 페이지에서만 부분적으로 사용됐었지만 현재는 클라우드, 메일, 메신저 등도 대부분 SSL/TLS를 사용하고 있다. 정보유출 가능성이 있는 통로에 SSL/TLS가 덧입혀진 것이다. 해커의 탈취행위는 막을 수 있게 되었지만 내부자의 유출행위는 막을 수 없게 되었다.

SSL/TLS 기반 웹트래픽은 꾸준히 증가하고 있다. 줄어들지 않을 것이다.

2. 악성코드 유입 통로로 악용

악성코드/랜섬웨어는 PDF, 워드, 한글파일로 위장한 실행파일을 클릭함으로써 감염된다. 이 외에도 의심스러운 URL을 클릭해서 감염되기도 한다. 해당 링크에 접속하는 순간, 드라이브바이다운로드(Drive By Download) 공격으로 인해 악성코드/랜섬웨어 파일을 자동으로 다운로드 받게 되는데 이 파일은 당신의 PC와 사내 네트워크를 아작낼 수도 있다. 정보유출은 물론이고 데이터가 위변조되거나 디도스 공격의 장기말로 이용될 수도 있다.

기존에는 유해사이트 차단 솔루션이 URL을 확인하고 접속 전에 해당 URL을 통제/차단해낼 수 있었지만, 위에서 이야기한 것과 같은 맥락으로 SSL/TLS 암호화웹을 쓰면 URL도 암호화된다. 그래서 내가 어떤 페이지에 접속했는지 보안 솔루션이 파악할 수가 없게 된다.

이미 20만대 이상의 C&C서버들은 SSL/TLS를 활용하고 있다. 기업을 타깃으로 한 네트워크 공격의 50% 이상은 SSL/TLS을 이용해 발생했다. 크립토락커, 스팸봇, VMZeus 등 유명 랜섬웨어/봇넷/루트킷등은 SSL/TLS를 사용해 이미 악성행위를 벌이고 있다.

2008년 인도 뭄바이에서 발생한 테러사건을 배경으로 한 영화 <호텔 뭄바이>에서 테러리스트들은 혼란스러운 틈을 타 겁에 질린 행인들 사이에 섞여 호텔문을 두드리고, 호텔 문이 열리는 순간 호텔 잠입에 성공한다. 악성코드 감염도 이와 비슷하다. 평범한 패킷인 척 숨어들어오면 알 수가 없다.

DLP솔루션과 악성코드 차단 솔루션에 국한된 내용이 아니다.

보안을 수행하고 있는 대부분의 솔루션으로는 대응이 쉽지 않다.

최근에는 SSL/TLS 가시성확보 장비를 도입하여 패킷을 확인하고 통제여부를 결정하고 있으나 가시성확보 장비가 충분히 확보되지 않은 상태라면 매초 발생하는 트래픽을 감당하지 못해 성능장애가 발생할 수 있다.

결론은 장비가 충분히 증설되어야 한다는 뜻인데 비용부담이 만만치 않다. 비용부담으로 인해 어떤 회사는 업무효율성과 보안성 두 가지 선택지에서 고민하다가 업무효율을 더 중시하기로 결정하게 된다. 당장 감당이 되지 않으니 SSL/TLS 트래픽이 발생하면 일단 통과시키기로 결정하게 된다.

높은 성능의, 연동범위도 넓고, 컴플라이언스도 준수하는 ‘T-Proxy’

소만사의 SSL/TLS 가시성 확보 및 복호화 솔루션 ‘T-Proxy’는 가시성을 확보하여 DLP, 유해사이트차단, IPS, IDS, APT 솔루션 등과 연동하여 내외부에서 발생하는 보안위협을 해소해준다. 이를 통해 위협을 인지하고 분석, 차단, 로깅하여 보안위협에 대응할 수 있다. 인라인 및 미러링 장비 연동이 가능하므로 원하는 보안제품에서 SSL/TLS 가시성을 확보, 보안할 수 있다.

소만사 ‘T-Proxy’는 ICAP연동 영향을 받지 않는 솔루션이다. 외산대비 30%이상 향상된 패킷처리 성능을 보유하고 있다. 이는 보안인프라 전반에 걸쳐 효율성을 증대화 시킨다.

소만사는 개인정보보호법, 신용정보법, 전자금융거래법 등 정보보호관련 컴플라이언스를 준수하는 솔루션을 개발하는 기업이다. ‘T-Proxy’ 역시 기술적 보호조치 100% 이행을 목적으로 개발되었다. ‘T-Proxy’를 도입한 기업과 기관들은 이를 통해 집단소송/법적처벌 가능성을 최소화할 수 있다. ‘T-Proxy’는 현재 100곳 이상에 적용되어 있다. 이 곳에서 ‘T-Proxy’는 각 기업/기관의 개인정보보호와 안전한 웹환경을 보장하고 있다.

보안 안하다가 사고 나서 언론에 노출되고 소송걸리고 처벌받음

VS 번거롭더라도 보안 다 하고 통제해서 사고 안남

자 이제 누가 더 비효율적이지?

SSL/TLS는 사람들에게 안전한 웹환경을 보장해주었다. 하지만 다른 시각에서 보면 보안전문가들에게 또 다른 과제를 안겨주기도 했다. 위장(camouflage)에 관한 보안허점을 수면 위로 올리기도 했으니 말이다.

패킷탈취 없이 안전하게 전송하려고 암호화한 것을 다시 복호화해서 열어보고 확인한 후에 보낸다니 일을 번거롭게 두 번하는 것처럼 보일 수도 있다. 보안솔루션은 업무효율성을 방해하지 않기 위해 최선의 노력을 하고는 있으나 아직까지는 상충하고 있다. 비효율적으로 보일 수 있다.

하지만 모든 웹서비스가 SSL/TLS로 바뀌었고 바뀌고 있는 상황에서, 기존 솔루션으로는 전혀 차단할 수 없는 상황에서, 위와 같은 ‘번거로운 일’을 하지 못해 개인정보가 유출되고 언론에 공개되고 집단소송과 형사처벌에 직면하게 된다면 비효율적인 행동은 ‘암호화 패킷을 복호화하지 않고 그냥 흘려보내고 들여보낸 행위’가 될 것이다.

보안위협에서 나와 우리회사와 국가의 네트워크 인프라를 보호하기 위해서는

SSL/TLS 가시성 확보 및 복호화는 선택이 아닌 필수이다.

참고:

소만사 웹키퍼 https://www.somansa.com/solution/safe-browsing/ssl-tls-solution-webkeeper/

소만사 메일아이 https://www.somansa.com/solution/outflow-control/ssl-tls-network-dlp-solution/

영문 위키피디아 https://en.wikipedia.org/wiki/Transport_Layer_Security

국문 위키백과 https://ko.wikipedia.org/wiki/%EC%A0%84%EC%86%A1_%EA%B3%84%EC%B8%B5_%EB%B3%B4%EC%95%88

도서 네트워크 보안에센셜, 윌리엄 스탈링스 저

도서 정보보안 가이드북, 이상진 저

목록

뉴스/이벤트

회사 네트워크에 SSL/TLS 웹트래픽 가시성을 확보해야 하는 이유

[칼럼] | 2020-04-17

    처음엔 편했던 것 같다. 통제범위에서 벗어난 기분이 들었던 것 같다.
    – 기존 유해사이트 차단 솔루션이 SSL/TLS 웹서비스는 통제하지 못함을 알게 된 과거의 나


회사에 설치되어 있던 기존 ‘미러링 기반 유해사이트 차단 솔루션’은 SSL/TLS 기반 웹서비스 이용현황을 통제, 차단하지 못한다고 했기 때문이다.
SSL/TLS 암호화 트래픽이 오고 가도, 패킷이 암호화상태로 왔다 갔다 하기 때문에 확인하기 어렵다고 했다.
패킷을 미러링 방식으로 복사해서 들여다보는 ‘기존 유해사이트 차단 솔루션’은 그저 포장지에 쌓인,
또는 암호로 구성된 ‘암호화 패킷’만 보기 때문에 클라이언트 서버에서 무엇을 PC에 보냈는지,
PC는 무엇을 요청한 것인지 알 길 없다고 했다.

‘유해사이트 차단 솔루션’은 보통 불법/비업무/악성코드 배포사이트 접속을 차단하는 역할을 수행한다.
사실 상식을 가진 직장인이라면 회사에서 불법사이트에 접속하진 않을 것이다.
불법토토나 테러조장사이트에 들어갈 일은 사실 거의 없다.
하지만 비업무사이트는 조금씩은 들어가긴 한다.
잔업과 야근이 일상인 한국 직장인들에게 잠깐의 비업무 사이트 접속은 숨통을 트일 수 있게 하는 잠깐의 휴식 같은 거니까.
주식 그래프도 살짝 구경하고, 쇼핑몰에서 봄맞이 옷도 구매하고,
주말 캠핑을 위해 날씨 사이트에서 주말 날씨도 체크하면서 10분~30분 정도는 쉬어 주기도 한다.

보안 담당자의 시야에서 벗어나니 편하다.



라고 생각할 수 있겠지만, 사실 이는 심각한 결과를 초래할 수 있다.


1.악성코드, 랜섬웨어, 바이러스 등에 감염될 수 있다.

보안성이 취약한 사이트를 해커가 해킹한 후 내부에 악성코드를 심어 놓을 수 있다.
해당 사이트에 접속시 ‘드라이브 바이 다운로드(Drive By Download)’ 공격에 의해
자동으로 실행파일이 설치되어 PC에 악영향을 끼칠 수 있으며 사내 네트워크 전체가 마비될 수도 있다.

메일을 통하여 교묘하게 포장된 ‘악성코드 링크’를 받을 수도 있다.
“메일 사서함이 가득찼습니다” 또는 “저작권 위반으로 신고접수 되었습니다.
세부내용을 확인하시려면 다음 신고접수 사이트에서 확인하십시오” 라고 유인할 수도 있다.
클릭하는 순간, 똑같이 ‘드라이브 바이 다운로드’ 공격의 희생양이 된다.

기존 유해사이트 차단 솔루션은 해당 웹사이트의 URL을 보고 판단을 했다.
사내직원이 접속한 사이트 정보가 평문으로 오가기 때문에 빠르게 확인하고 차단을 수행할 수 있었다.
하지만 SSL/TLS(주소창에는 HTTPS라고 써 있다. 자물쇠 모양으로.) 암호화 웹에 접속할 경우에는 악성여부를 판단하지 못한다.
알게 모르게 PC가 이미 오염되어 있을 수도 있다.

사태를 파악했을 때는 이미 내 PC파일 뿐 아니라 회사 네트워크 전체가 악성코드와 랜섬웨어로 마비된 이후일지도 모른다.


2. 내 PC가 정보유출의 통로가 될 수 있다.

두 가지 경우로 언급하고자 한다.
해커에 의한 정보탈취와 내부자에 의한 개인정보 유출로 나누어 이야기하고자 한다.

해커에 의한 정보탈취: 위에서 언급한 악성코드 감염 이후의 심화행위가 될 수 있다.
해커는 개인정보처리자가 보유한 데이터를 손에 넣은 후 악용할 수 있다.
데이터를 변조하여 금품을 요구하거나(랜섬웨어) 개인정보를 탈취한 후 판매하거나 공개하여 금전적 이득을 취하거나 기업, 크게는 국가의 평판을 추락시키기도 한다.
정보탈취는 보통 네트워크를 통해 이루어진다.
PC권한을 확보한 후 원격접속을 통해 덤프를 떠서 POP3S, SMTPS, FTPS, SMTP, STARTTLS 나 웹메일, 클라우드로 개인정보를 유출하기도 한다.
당연한 이야기이지만, SSL/TLS 암호화 기반 트래픽 환경을 기존 네트워크 장비로는 막을 수 없다.


내부자에 의한 정보탈취: 하지만 데이터는 금전적인 이익과 연결되는 경우가 많기에 정보구매자도, 불법조회자도 존재한다.
기존 네트워크 보안 솔루션이 암호화된 패킷을 읽지 못한다는 점을 알고 과감하게 SSL/TLS 기반 웹서비스로 정보를 유출하기도 한다.
로깅도 되지 않기 때문에 알아차릴 수도 없다는 것을 알기 때문이다.



양날의 검, SSL/TLS

SSL/TLS 웹서비스는 보안성 여부에서는 안전한 기술인 것은 맞다.
그러나 정보가 송수신되는 행위에 대해서는 보안에 위협이 되는 채널로 악용될 수 있는 기술이기도 하다.
장점과 단점이 공존한다.
‘웹프록시’는 PC와 클라이언트 서버사이에서 암호화로 오가는 정보를 중간에서 복호화하여 가시성을 확보해준다.
평문으로 복호화 해주어 보안 솔루션에게 넘겨준다.
악성코드 차단과 정보유출 차단을 수행하는 SWG(Web SecureGateWay)와 DLP(Data Loss Prevention)의 보안범위를 넓혀준다.

뿐만 아니라 IPS, IDS, APT, 포렌식 등 다른 보안 솔루션에도 연동이 가능하다.
웹프록시는 기존 네트워크 장비가 수행하지 못하는 보안업무를 ‘보완’해준다.

웹프록시는 SSL/TLS 암호화웹 트래픽을 검사, 복호화하여 솔루션에 제공해준다
웹프록시는 복호화한 패킷을 보안솔루션에 제공해주는데, Inline(인라인)/Mirroring(미러링) 모두 적용이 가능하다.
각 보안 솔루션에 맞는 방식으로 구축이 가능하다는 장점이 있다.

복호화된 정보는 각 보안솔루션의 탐지서버에서 분석된다.
분석이 완료되면 해당 트래픽의 목적지가 결정된다.
개인정보나 악성코드가 들어있으면 반출 또는 유입이 차단된다. 문제없는 트래픽이라면 문제없이 송수신된다.


웹프록시가 가져야 할 덕목

보안은 보수적으로 수행하는 것이 안전하기는 하다.
하지만 그렇다고 해서 개인정보가 들어있다고 무조건 전송을 차단하고,
장애가 발생해 네트워크가 마비되어도 무조건 차단하는 방식을 고수한다면 융통성이 없는 운영방식이라고는 불만을 받을 수 밖에 없을 것이다.
업무의 효율성을 중시하는 사내 임직원들의 반발이 거셀 것이다.
1분1초가 급한 계약서, 견적서, 정부과제 등이 사내 네트워크 장애로 발송이 되지 않는다면 당사자의 매서운 눈초리를 견딜 수 없을 것이다.

​ 웹프록시를 적용하더라도 융통성있게 보안업무를 수행해야 한다.
예를 들자면, 개인정보가 일정개수 이상 포함되어 있어도 발송 목적지가 신뢰할 만한 곳이라면 화이트리스트 정책을 통해 송수신하도록 정책을 설정하면 효율적일 것이다.
하드웨어나 소프트웨어에 장애가 발생할 경우 바이패스하거나 자동복구기능을 통해 세션을 유지하여 가용성을 보장한다면 업무가 수월할 것이다.
이와 동시에 이슈가 발생하면 빠르게 해결해야 할 것이다.
자체 디버깅 정보와 pcap(패킷캡쳐)를 제공하여 다양한 데이터를 기반으로 빠른 지원을 약속한다면 보안담당자와 사내임직원의 업무환경을 모두 만족시킬 수 있을 것이다.

소만사 T-Proxy, 기획단계부터 DLP 및 유해사이트 차단 솔루션과 일체화

소만사 웹프록시 솔루션 ‘T-Proxy’는 기획단계부터 DLP 및 유해사이트 차단솔루션과의 일체화를 목적으로 설계된 하드웨어 솔루션이다.
DLP, 유해사이트 뿐만 아니라 IPS, IDS, APT 솔루션 등과도 자연스러운 연동이 가능하다.
아울러 ICAP을 벗어 던진 솔루션이기에 외산대비 30%이상 향상된 성능을 자랑하고 있다.
보안인프라 전반에 걸쳐 효율성을 증대시킬 수 있었다.

소만사는 개인정보보호법, 신용정보법, 전자금융거래법 등 정보보호관련 컴플라이언스를 준수하는 솔루션을 개발한다.
T-Proxy’ 역시 기술적 보호조치를 100% 이행한다.
‘T-Proxy’를 도입한 기업과 기관들은 이를 통해 집단소송/법적처벌 가능성을 최소화할 수 있게 되었다.
T-Proxy는 현재 100곳 이상에 적용되어 각 기업/기관에서 개인정보와 안전한 웹환경을 보장하고 있다.

SSL/TLS 웹트래픽은 매년 꾸준히 증가하고 있으며, 현재도 많은 기업과 기관들이 SSL/TLS 기반으로 전환하고 있다.
비영리기관단체 마저도 말이다. 이제는 SSL/TLS(HTTPS)가 아닌 곳을 찾기 힘들어졌다.



“기껏 암호화하여 안전성을 확보한 SSL/TLS 트래픽을 왜 다시 복호화하여 일을 두번 하는가”라는 부정적인 시선으로 SSL/TLS 복호화를 바라보는 시선도 있긴 하다. 진부한 말이지만,
이제 SSL/TLS 차단은 선택이 아닌 필수사항이다.,

모든 웹서비스는 SSL/TLS로 가고 있기 때문에,
그 SSL/TLS 웹트래픽은 기존 네트워크 보안 솔루션으로는 전혀 차단할 수 없기에
당신의 회사는 반드시 SSL/TLS 웹트래픽 가시성을 확보해야만 한다.

시대의 흐름은 이미 SSL/TLS로 바뀐지 오래다.

패닛스니핑의 위험을 차단하기 위해서 암호화는 필수적인 것이고,
데이터 송수신에서 발생하는 악성코드감염, 개인정보유출 등 보안위협에 대응하기 위해서는
복호화를 통한 가시성 확보 역시 필수적인 것이라 생각한다.



SSL/TLS 가시성확보 및 복호화 수행 소만사 어플라이언스



보안 환경은 시시각각 변화하고 있다.
오늘 안전한 사이트가 내일은 악성코드 배포 사이트가 될 수 있다.
오늘 안전한 PC가 내일은 해커에 의해 PC 관리자 권한이 탈취될 수도 있다.
오늘 듬직하고 믿음직한 동료는 내일 금전적 유혹을 이기지 못하고 정보를 불법조회, 유출할 수도 있다.

보안위협에서 대한민국 네트워크 인프라를 보호하기 위해,
개인정보/기밀정보를 보호하기 위해
소만사는 오늘도 고군분투하고 있다.

유해사이트 차단 솔루션 웹키퍼 SG

네트워크 기반 내부정보 유출방지 솔루션 메일아이

목록

뉴스/이벤트

n번방 사건, 공공기관 개인정보 오남용을 효과적으로 통제하려면

[칼럼] | 2020-04-08

개인정보는 금전적 이익과 연결되는 경우가 많기에 위험부담을 안고 정보를 구매하는 사람도, 정보를 불법조회하는 사람도 존재 합니다.
보안담당자는 상시 잠재적인 위험이 있음을 인지하고 통합관제 수행, 사고유형분석, 개인정보보호교육을 진행하여 오남용을 최소화, 사고 확산을 최소화해야 합니다.


사회복무요원이 국민의 개인정보를 무단 조회하여 오남용한 사례가 발생했다.
해당 사회복무요원은 불법으로 조회한 정보를 바탕으로 여아살해를 모의했으며,
취득한 정보를 바탕으로 성착취 협박에 악용했다.

​ 해당 사건으로 인해 병무청은 3일,
사회복무요원의 개인정보 취급업무 부여를 금지하는 복무관리지침 시행과 동시에
행정안전부와 함께 지침 위반여부에 대해 실태조사를 할 계획이라고 밝혔다.

​ 도대체 어찌 이런 어처구니없는 일이 발생할 수 있을까?
이런 상황이 일어나게 된 현실에 국민들은 분노하고 공분하고 있다.

​ 씁쓸하지만 정보시스템 설계자의 입장에서 보면,
‘개인정보 불법접근’은 일어날 수밖에 없는 사고였다.
과격하게 말하면 이미 수차례 발생했던 사고였고, 이번 기회에 크게 알려진 것뿐이다.
이렇게 악랄한 방식으로 활용될 줄은 몰랐지만 말이다.

​ 정보처리시스템을 설계하면서 ‘개인의 도덕성에 전적으로 의존하는 것은 매우 위험한 일’ 이다.
선량하고 도덕적인 사람만이 시스템을 사용할 것이라고 가정하면서
시스템을 설계하는 것은 보안관점에서 있을 수 없는 일이다.

​ 정보처리시스템을 설계할 때에는 ‘제로 트러스트’ 기반 아래에
적법한 절차를 거쳐 인증받은 사용자라 하더라도
해당사용자가 100% 맞지 않을 수는 있다는 가정 하에서 수행해야 한다.


개인정보는 금전적인 이익과 연결되는 경우가 많다.

​ 출장을 떠난 배우자가 정말 출장 간 것이 맞는지 무선 기지국의 수신정보를 토대로 혹시나 서울한복판에 있는 것은 아닌지 궁금할 것이다.
VIP 고객정보를 확보하고 싶은 사업자는 마케팅을 위해서 고액 종합부동산세 납부자의 명단을 얻고 싶을 것이다.
채무를 변제하지 않고 잠적한 사람의 최근 전입 신고한 집주소를 알고 싶을 것이다. 결혼할 배우자의 월 소득이 궁금할 것이다.

공공기관은 업무특성상 국민의 의료, 교육, 소득, 채무내역, 가족관계, 병역과 같은
개인정보를 보유하고 있다.
해당 정보는 유출될 경우 개인의 평판을 좌우할 수도 있을 정도로 민감한 정보이기도 하다.

세상에는 이러한 정보를 얻기 위해 수십만 원 정도는 기꺼이 지출할 의사를 가진 상당수의 사람들이 존재한다.
그리고 또 다른 사람들은 위험부담이 있음에도 불구하고 금전적 이득 혹은 개인적 이득 때문에 불법조회에 가담한다.
행정 민원서비스를 처리하는 사회복무요원과 같은 약한 고리를 공략할 방법은 이렇게 너무나도 많다.

일부 공공기관은 이러한 ‘대국민 서비스 시스템’에서
개인정보 오남용 혹은 부정사용이 발생할 것을 선제적으로 예측했다.
이를 방지하기 위해 ‘개인정보 통합관제 시스템’을 선도적으로 구축했다.

​ 특히 보건복지부는 이미 10여 년 전부터 ‘개인정보 통합 관제센터’를 운영해왔다.

​ 물론 ‘개인정보 통합 관제센터’를 설립하고 운영한다고 해서 오남용이 효과적으로 통제되지는 않는다.
필자의 센터운영 경험에 비추어 볼 때 끊임없이 새로운 사고 유형을 분석하고,
상시적인 모니터링과 더불어 개인정보 처리자에 대한 보안의식 고취 교육을 꾸준하게 진행해야만 한다.

​ 위와 같은 노력에도 불구하고 개인정보 오남용 사례는 100% 완벽히 근절되지 않는다.
대국민 서비스 운영자는 매년 수천 명씩 바뀐다.
그 분들 중에서는 보안의식이 철저한 분들도 계시지만,
아직은 긴장감이 떨어지는 분들도 계실 수밖에 없다.

​ ‘대국민 서비스 시스템’에는 상시 잠재적인 위험이 존재하고 있다.
그렇기 때문에 ‘개인정보 통합 관제센터’는 개개인 또는 일원의 개인정보 오남용이
대형 보안사고로 번지기 전에 신속하게 발견, 사고의 확산을 막아내는 것이 주된 목표가 된다.

​ 이번 사고가 법의 심판을 받는 것과 동시에,
이후 공공기관의 ‘대국민 서비스 시스템’을 설계할 때
데이터 오남용에 대한 상시적인 모니터링 및 분석 시스템 확대의 계기가 되기를 바란다.


​ 이야리 공학박사 / ㈜ 소만사 컨설팅 실장




목록