News/ Event

공공기관 정보보호 책임관 도입이 시급한 이유

[칼럼] | 2020-09-28

한국 사이버 보안에는 수백가지 문제점이 있다.

열악한 시장과 투자환경, 형사처벌제도로 인한 인재부족, 사내 보안 조직 홀대, SW통합 발주 제 값 받기 등 매우 다양하다. 문제가 많은 만큼 해결책도 수십, 수백가지가 될 수 있다.

24년차 한국 보안 생태계에 몸담은 필자는 해결책을 단 한 가지로 압축해보았다. ‘공공기관 정보보호 책임관 제도도입’이다. 여기에는 ‘공공기관’과 ‘책임관’ 두개의 키워드가 들어있다.

먼저 ‘책임관’은 이는 민간기업의 임원을 의미한다. 필자는 국내 한 기업과 20년동안 일하면서 보안조직의 성장을 지켜봤다. 부장급 보안책임자가 있었을 때는 최소 한도의 투자만 진행됐다. 상이 책임자는 보안을 약 2% 정도밖에 생각하지 않았다. 보안 담당자도 ‘보안직군’에 대한 자부심이 없었다. 함께 일하는 업체 또한 고통스러울 수밖에 없었다.

이 회사는 10년 정체기 동안 뼈아픈 보안사고를 수차례 경험한 끝에 보안전담 임원자리를 마련했다. 보안전담 임원이기 때문에 업무가 오직 보안이었고, 성과도 보안으로 평가받게 되었다. 이후 10년동안 투자와 조직이 늘어나고, 직원 사기와 자부심이 높아졌다. 당연히 보안 수준도 높아졌다. 협력업체에도 숨통이 트였다. 이처럼 조직 최상위 의사결정권자가 관심에 따라 전체 생태계가 영향을 받는다.

중앙정부부처에는 정보보호 책임관이 몇 곳 있다. 산업통상자원부, 국토교통부(국토부)를 대표로 들 수 있다. 2015년 산업부에 ‘정보보호과’가 생기고 ‘정보보호책임관’이 부임하니 한국전력공사, 한국수력원자력 등 산하 주요 에너지 공기업에 ‘정보보호처장’이 임명됐다. 이후 5년동안 해당기관의 보안수준은 꾸준히 높아졌다.

두번째 키워드는 ‘공공기관’이다. 민간기관에서는 이미 임원급 정보보호최고책임자(CISO) 전담제가 시행되고 있다. 정보통신망법은 자산 5조원 이상 정보통신서비스 제공자에게 CISO를 임원으로 두도록 규정하고 있다. 금융기관은 2015년부터 자산 10조원 이상, 직원 1000명 이상인 경우 CISO를 임원으로 두고 있다. 기업의 부담감 호소에도 민간에서는 임원급 CISO 제도 운영 정책이 실시되고 있다.

공공기관은 대부분 정보보호책임관이 없다. 공공이 처리하고 있는 개인정보 규모는 민간기업보다 큰 곳이 매우 많다. 보건복지부 의료/복지정보를 고려하면 국내에서 가장 큰 개인정보처리자가 복지부 산하 공공기관임을 짐작할 수 있다. 국세청 납세기록을 정리하면 국민 사회생활 이력을 재현할 수 있고, 교육부정보로는 국민생애 12년 동안의 주요 활동 기록을 알 수 있다.

국민연금, 건강보험, 고용보험, 수도세, 전기세, 가스세, 재산세, 근로소득세 등 정기적으로 고지되는 비용청구기관이 보유한 국민 개인정보 규모는 대부분 민간기업보다 훨씬 광범위하고 세세하다. 민간에 견주면 통신사와 은행이 처리하는 개인정보량과 같다.

공공부문은 민감한 국민정보를 대규모 처리하기 때문에 ‘정보보호 책임관’은 민간이 아니라 공공부터 시작되었어야 한다. 비용부담이 큰 민간은 법으로 강제할 정도로 필요성이 충분히 인정됐지만 반면에 선제로 나서서 모범을 보여야 하는 공공에서는 오히려 시행되지 못했다.

‘정보보호 책임관’ 필요성은 명확하다. 20대 국회는 ‘정보보호 책임관’ 임명을 포함한 전자정부법 개정안이 발의했지만 우선순위에서 밀려 통과시키지 못했다. 21대 국회에서는 통과되기를 기대한다.

https://www.etnews.com/20200928000075

 

목록

News/ Event

재택근무 도입 후, 개인정보 유출 위험 최소화하려면

[칼럼] | 2020-09-01

코로나19 재확산으로 인해 다시 재택근무를 시행하는 기업이 늘어났다.

대기업은 대부분 VDI(Virtual Desktop Infrastructure, 데스크톱가상화) 인프라가 구축되어 있다.
사무실로 출근하지 않아도 원격에서 VDI를 통해 사내 네트워크에 접속해 그룹웨어, 메일확인 등 일상적인 업무를 수행할 수 있다.
VDI로 접속하면 윈도우 화면정보만 전송되기 때문에 재택근무 PC로 파일이 업로드/다운로드 되지 않는다.
정보유출이나 악성코드 유입 위험으로부터 안전하다.



그러나 VDI 라이선스는 매우 고가이다.
투자비용이 만만치 않고, 원격접속시에는 사내에서 PC를 이용하는 것보다 반응속도가 느린 단점이 있다.
영상, 디자인 등 특수직종에는 적합하지 않다.
VDI는 컴퓨팅이 서버에서 이루어지고, 엔드포인트 PC에서는 오직 화면만 보이는 구조이다.
개발업무는 대부분 컴퓨팅이 데스크탑 PC에서 이루어지기 때문에, 일반적인 VDI방식으로는 업무하기 쉽지않다.

보안관점에 있어서, 재택근무의 도입은 기존 사내근무에서 발생하지 않았던 문제를 야기시키고 있다.

첫번째, 재택근무는 회사 직원과의 물리적인 접촉을 완벽하게 없앴다. 보는 눈이 없기 때문에 동료에 의한 오남용 견제효과를 무력화시킨다.

두번째, 원격접속으로 들어오는 직원이 영업본부 K과장이 맞는지, 아니면 K과장의 계정을 해킹한 해커인지 확인하기 어렵다. 정교한 본인인증절차가 필요하다.

세번째, 사옥이라는 물리적인 보호체계가 없다. 노트북, 출력물, USB 도난에도 취약하다.

마지막으로 재택근무는 네트워크 보안장비의 도움을 받지 못한다. 악성코드가 재택근무 PC를 공격하면 속수무책으로 보안사고가 발생할 수 있다.


재택근무는 피할 수 없는 선택이다.
기업과 기관은 개인정보/기밀정보 유출통제, 내외부 접속시 데이터 공개범위 세분화, 엔드포인트 PC 보안체계 강화, 강화된 인증체계 구성, 철저한 감사로그 확보라는 보완대책을 마련해야 할 것이다.
특히 개인정보유출은 개인과 법인 모두 형사처벌에 처해질 수 있는 것이 현재의 법체계이다.

재택근무 도입 전 보안담당자는 다음 문제를 해결해야 한다.

첫번째, 개인정보 및 기밀정보 유출을 통제할 수 있어야 한다.

사옥 안에서 근무할 때는 업무상 취득한 개인정보를 외부로 반출하기 쉽지 않다.
USB와 같은 이동식 저장매체를 반입하는 것도 어렵다. 밖으로 가지고 나가는 것도 까다롭다.
문서도 마찬가지다. 모 반도체기업은 특수 코팅된 용지를 사용해서 문서를 출력한다.
회사 밖으로 가지고 나갈 때 센서가 이를 감지하고 경보를 울리기도 한다.
사내에서 근무할 경우, PC에 저장된 개인정보 및 기밀정보 파일에 대해서는 모두 기록이 남는다.
웹메일 및 클라우드 전송, USB 파일 복사, 프린터 출력 등이 통제되고 기록이 남는다.

하지만 재택근무시 이러한 물리적 보호조치 중 몇 가지는 무력화된다.
VDI방식으로 재택근무를 할 경우, 파일 자체가 PC에 다운되지 않기 때문에 안전하다고 생각할 수 있다.
하지만 화면 캡쳐, 사진촬영, 수기로 옮기는 행위는 막을 수가 없다.
회사에서는 스마트폰이나 영상촬영장치를 반입해도 주변 눈치가 보여서 촬영하기 어려우나 재택근무환경에서는 그러한 긴장관계로부터 자유롭다.

재택근무가 자택 내 자기만의 방에서 이루어지면 다행이다.
하지만 그런 환경을 확보할 수 있는 직원은 생각보다 많지 않다.
재택근무를 수행하는 많은 장소 중 하나는 카페이다.
카페에서는 고개만 살짝 돌리면 옆자리 사람이 뭘 하는지, 뭘 보는지 알 수 있는 환경이다.

이 경우에는 화면 워터마킹 기능을 강화하거나, 화면캡쳐 방지(인식) 기능을 적용하는 것이 좋다.


두번째, 내외부에 접속에 따른 정보공개범위 제한이 필요하다.

사내에서 내부 시스템에 접근하는 경우, 단순 데이터 조회에 대해서는 크게 신경 쓰지 않는다.
외부로 노출되는 것이 아니기 때문이다.
그러나 외부에서 조회할 때는 이야기가 달라진다.
단순 조회도 통제할 수 없는 ‘외부노출’ 개념이 적용, 보호되어야 한다.

원격접속시에는 사내메일조회도 ‘외부전송수준’으로 보호해야 할 수도 있다.
어떠한 방식으로도 정보가 노출, 유출될 수 있기 때문이다.
사내 개인정보처리시스템도 접속 장소에 따라서 노출되는 정보수준이 차등화 되어야 할 것이다. 민감한 개인정보, 핵심디자인 설계도면, 보안수준이 높은 회계정보 등은 원격접속시 조회되지 않도록 권한관리를 세분화해야 할 것이다.

그래서 콜센터를 운영하는 모 회사는 재택근무자들에게는 상품설명 등 일반 안내서비스 처리하도록 하고,
고객개인정보 조회가 필요한 서비스는 사내 콜센터에서 운영하는 이원적인 체계를 유지하고 있다.

고객정보, 기밀정보를 조회할 수 있는 웹어플리케이션의 권한관리 조정은 금방 처리할 수 있는 업무가 아니다.
이와 연동된 사내 주요 프로그램과 함께 수정되어야 하기에, 수개월 이상 소요된다.
하지만 감염위험을 최소화하기 위해, 재택근무는 당장 시행돼야 한다. 기다릴 수가 없다.

만일 VPN 원격접속을 통해서 사내 웹어플리케이션에 접속할 경우에는 웹어플리케이션과 PC 사이에 시큐어 웹프록시를 설치하는 것이 좋다.
원격접속시 웹프록시는 사용자 권한에 따라 특정한 메뉴접속을 차단하기도 하고, 민감한 정보가 노출되는 화면에서는 화면조회내역을 모두 남기도록 구축할 수 있기 때문이다.

세번째, 엔드포인트 보안강화와 인증강화가 필요하다.

사내에는 네트워크에서 엔드포인트 PC에 이르기까지, 여러 단계로 악성코드차단/정보유출방지에 관한 기술적 조치가 구축되어 있다.
방화벽, IPS, APT, 유해사이트 접속차단, 웹프록시, 네트워크 DLP, 스팸차단솔루션 등이 네트워크를 겹겹으로 보호하고 있다.
물리적으로 인터넷망과 내부망을 원천적으로 차단하여 ‘망분리 정책’으로 운영하는 곳도 다수 존재한다. 금융기관이 대표적이다.

그러나 재택근무시 사용하는 노트북은 어떠한 네트워크 보안장비의 도움없이 바로 인터넷에 노출된다.
오직 엔드포인트 보안솔루션으로만 보호받을 수 있다.

이에 따라서 재택근무시에는 안티바이러스/EDR, DLP등 주요 엔드포인트 보안솔루션을 반드시 설치하고 정책을 강화해야 한다.
예를 들면 사내시스템 접속시에는 다른 인터넷 트래픽을 모두 차단하는 설정을 하는 것이다.
최근 방화벽과 같은 경계선 보안(Perimeter Security) 솔루션 개발은 살짝 주춤하고,
엔드포인트 보안이 조금 더 강화되는 추세가 보이고 있다.
클라우드 환경 도입 증가 및 재택근무의 확산 때문이다.

네트워크 보안에 무방비한 상태에서 악성코드에 감염될 경우, 내가 사용하는 재택근무 PC가 불법접근 PC로 이용될 수도 있다.
PC가 악성코드에 감염, 장악된 후 내 PC를 숙주로 나도 모르는 사이에 사내 네트워크에 들어와 마음대로 정보를 유출하고 데이터를 위변조시킬 수 있기 때문이다.
로그인 체계를 강화해야 할 것이다.


마지막으로 감사기록 확보와 이상징후를 통제해야 한다.

원격접속으로 들어온 영업본부 K과장이 정말 본인지 맞는지 100% 확신할 수 없기에, 감사로그 확보와 이상징후 분석능력이 더 업그레이드되어 있어야 한다.

최근, 솔루션 개발자와 협력업체 원격지원에 대한 감사로그 확보가 이슈 되고 있다.

솔루션 개발은 일반적인 VDI접속 환경과는 다르다.
VDI는 컴퓨팅이 모두 서버에서 이루어지고, 단순히 화면만을 받아보는 구조인데 개발자들은 모든 컴퓨팅이 개발자 데스크탑에서 이루어진다.
솔루션 컴파일을 위해서는 사내 데스크탑의 강력한 컴퓨팅파워가 필요하고, 사내 데스크탑을 통해서만 사내 소스코드 관리서버와 통신할 수 있기 때문이다.
물론 해외 글로벌회사 중 몇몇은 솔루션 소스코드 자체도 깃허브(Github) 같은 곳에 올려놓고 개발하는 경우가 있긴 하다.

개발자들은 VDI보다 재택근무 PC에서 VPN으로 윈도우터미널서비스에 접속하여 로컬 데스크탑처럼 작업하는 것을 더 선호한다.
윈도우 터미널 서비스 내역은 자체적으로 감사로그가 기록되지 않는 단점이 있었다.
이를 보완하기 위해 RDP(Remote Desktop Protocol) 프록시 등을 통해서 작업 감사기록을 남기는 것을 검토해야 한다.

원칙적으로 협력업체는 자사에서 원격터미널 서비스를 통해 거래처 네트워크 인프라와 서버에 접근할 수 없다. 금지하고 있다.
특히 금융기관은 감독규정 등으로 엄격하게 규제하고 있다.
그러나 코로나19로 인하여 협력업체가 회사사옥에 방문, 근무하는 것을 제한하게 되면서 그 절충안으로 원격접속을 통한 지원을 용인하고 있다.
장애발생시 협력업체의 빠른 지원이 필요한 것은 코로나19 이전에도 이후에도 동일하기 때문이다.
이 경우 사내직원이 원격접속 내역을 실시간으로 모니터링하고 있기는 하다.
그러나 원격접속을 통해 작업한 내역에 관하여 세부적인 감사기록을 자동적으로 남기는 것도 반드시 검토되어야 한다.

재택근무는 한 두 달 시행하고 끝나는 것이 아니다.
바이러스가 종식될 때까지 상당기간 계속 지속될 것으로 예측된다.
보안 담당자는 새로운 비즈니스 환경에 따라, 새로운 보안 대응체계를 구축해 나가야 할 것이다.
국내 보안 솔루션 업체들은 클라우드, 재택근무 관련 기술개발을 꾸준히 진행해왔으며 적용사례를 확대해 나가고 있다.
화면 캡처방지, 화면 워터마킹, RDP프록시를 통한 터미널서비스 접속기록관리, 시큐어웹프록시, VPN, VDI 솔루션 등이 대표적이다.

​ 물론 언제나 가장 중요한 것은 ‘보안에 대한 마인드’이기에, 직원들의 보안인식 또한 재택근무에 맞추어 강화되어야 할 것이다.

​ 글. 김대환 소만사 대표이사

​ ​ https://www.dailysecu.com/news/articleView.html?idxno=112973

목록

News/ Event

우리나라는 왜 아직까지 EDR 도입이 더딜까?

[칼럼] | 2020-08-20

세계최대의 정보보안전시회 RSAC, 블랙햇(Black Hat)에 참가한 보안솔루션 기업들이 전면적으로 내세운 제품은
EDR(Endpoint Detection and Response: 엔드포인트 위협탐지 및 대응)이었다.

2013년 처음 언급된 보안기술은 어느덧 1조 8천억원 규모의 큰 시장을 만들어냈다.
(글로벌 시장조사기관 ‘리서치앤마켓’에서는 EDR시장이 2026년까지 8조 5억원 규모로 성장할 것이라 예상하고 있다.)
이제는 ‘차세대 엔드포인트 보안’이라는 수식어를 떼어내도 될 정도로 ‘EDR’은 정보보안의 상징적인 기술이 되었다.

해외 EDR 기업 ‘크라우드스트라이크’는 작년 시가총액 13조원 공개 이후 단숨에 메이저 위치를 차지했다.
‘VM웨어’는 ‘카본블랙’을 인수했다. ‘엘라스틱서치’도 ‘엔드게임’을 인수하면서 EDR 시장에 진입했다.
가상화, 검색엔진 등 보안과 관련이 없는 글로벌 기업이 인수합병을 통해 EDR 시장에 진입했다는 것은 그만큼 EDR 시장 잠재성이 무궁무진하다는 의미일 것이다.

그러나 국내에서는 효과적으로 EDR을 사용하고 있는 기업을 찾아보기 어렵다.
세가지 부정적인 인식이 있어, 도입을 망설이고 있기 때문이다.



첫번째, ‘엔드포인트 위협탐지 및 대응’ 솔루션이라고 하지만 ‘전문가의 판단’이 최종적으로 필요한 솔루션이라는 인식이 있어서 일 것이다.

자동화 솔루션인 것처럼 포장하지만 사람이 개입하는 구조라고 생각하기 때문이다.
EDR 솔루션이 엔드포인트 단에서 악성행위를 탐지하는 것은 맞다.
하지만 악성행위가 ‘맞다/아니다’로 알려주지 않고 강수확률처럼 100% 기준 퍼센테이지로 나타내기 때문에,
EDR 에이전트가 보안담당자에게 “악성확률 60%의 행위를 탐지했습니다”라고 안내했을 경우 보안담당자는 곤란해진다.
결국 최종결정은 사람이 해야 한다. 책임은 결국 사람이 지게 된다.

EDR 관제 인력을 자체 고용하는 것도 어려운 일이다.
검증되고 숙련된 위협탐지 전문가를 구하기란 ‘하늘의 별 따기’이다.
어렵게 한사람을 구하더라도 24시간 보안관제가 필요한 상황에서는 한두사람으로 커버할 수 없다.
구축비용도 비싼데 인건비도 만만치 않게 든다.
수십억을 투입하여 구매할 때도 경영진 눈치가 보이는데,
구축 후에도 유지비가 꾸준히 발생하기 때문에 선뜻 도입하기 망설여진다.


두번째, 망분리에 대한 무조건적인 믿음이 EDR의 도입을 막아서고 있다.

2010년 기점으로, 해커들이 내부전산망으로 침입하여 피해가 발생하다보니 다수의 기업과 기관은 이에 대한 방어대책으로 ‘망분리’를 적용했다.
2012년에는 전자금융감독규정 제15조, 정보통신망법 시행령 15조(2020년8월5일 기점으로 개인정보보호법 시행령으로 이관)에 이용자수 일평균 100만명 이상이거나
매출액 100억원 이상인 정보통신 서비스 제공자 대상으로 망분리 규정이 신설되었다. 의무사항인 것이다.

한 대의 PC에서 내부망과 외부망을 분리해 외부보안 위협이 원칙적으로 들어올 수 없도록 구축했기 때문에
보안위협이 발생할 확률을 대부분 제거했다는 것이 망분리의 장점이다.
그래서 EDR 도입을 강력히 주장할 설득력이 떨어지게 된다.


세번째, 인건비는 인건비대로 들어가는 상황에서 망분리가 잡지 못하는 잔존위험을 해결하려는 목적으로 수십억원 이상을 투입해 구축하는 것은 비효율적이라고 생각한다.

주요위협을 스스로 판단하여 알아서 차단하는 것도 아니고, 큰 위협을 탐지하는 것도 아닌데 비용은 수십억이 투입된다.
높은 비용이 투자되는 만큼 구축/안정화기간도 오래 소요되는 EDR은 속칭 ‘가성비가 떨어진다’고 여기는 것이다.


해당 포스팅에서는 전산, 보안담당자가 EDR에 관해 가지고 있는 세 가지 편견에 대해 해소해보고자 한다.


첫번째, EDR은 ‘Detection’ 중심 솔루션이기 때문에 사용자 개입이 반드시 필요하다?

X. 결론은 아니다.

과거에는 그랬다. 하지만 2018년 ‘Mitre(마이터)’사의 ‘ATT&CK Matrix’ (이후 마이터어택) 공개이후 Detection에서 Response로 중심축이 이전되었다.
마이터어택은 실제 관측에 기반하여 분석한 자료를 토대로 최신공격방법, 대응방법, 관련 솔루션을 망라한 ‘사이버 킬체인 보고서’이다.

EDR 업체들이 해당 보고서를 활용, 반영하기 시작하면서 사람의 최종 결정이 없더라도 공격에 대한 예측과 ‘대응’이 용이해졌다.
EDR 솔루션이 엔드포인트 단에서 혼자 탐지도 하고 해결방법도 찾고, 알아서 차단할 수 있게 된 것이다.

‘마이터어택’을 기반으로 대응까지 자동화하는데 성공했기에 이제 보안담당자는 과거 EDR을 사용할 때처럼 빈번하게 최종결정을 하지 않아도 된다.
대부분 자동화되어 EDR에게 맡겨도 된다.

회사 PC에 랜섬웨어 파일이 유입되었다면 EDR이 알아서 차단할 것이다.
제로데이어택이 발생할 경우에는 백엔드에서 일어나는 행위를 기준으로 위협을 판단하고,
EDR 서버에 전송하여 사내 모든 EDR 에이전트에 해당 위협을 업데이트, 적용시킬 것이다.
이후 해당 정보를 TI(Threat Intelligence, 위협 인텔리전스)에 공유하고,
TI는 EDR을 도입한 다른 기업/기관의 EDR 서버에 동일한 내용을 배포하여 확산을 막아줄 것이다.

기계학습(Machine Learning: 머신러닝) 도 꾸준히 발전하고 있다.
시간이 흐를수록 탐지/대응능력은 더욱 정교해질 것이다.

기술발전과 사례가 늘어남에 따라, EDR 전문기업에서 관제, 분석 서비스를 제공하기 시작했다.
보안위협분석 전문가를 고용하기 위해 찾아 나서지 않아도 된다.
내부에서 직접 EDR 관련 업무를 수행하지 않아도 된다.
전문화된 서비스를 이용하면 되기에, 많은 유지관리 비용을 투입하지 않아도 충분히 활용할 수 있다.


두번째, 망분리 적용기관은 굳이 EDR을 도입하지 않아도 된다.

X. 그렇지 않다.

망분리는 내부 정보자산을 보호하기 위해 외부망과 내부망을 분리시켜서 악성코드, 랜섬웨어, 바이러스, 웜 등 외부 위협요소의 유입을 아예 막아버리는 방식이다.

하지만 아래 4가지 문제로 인하여 망분리는 점차 축소되거나 제한될 것이다.

일부직원들은 우회경로를 만들어 쥐구멍으로 몰래 외부 네트워크를 이용하기도 한다.
보안담당자가 모르는 곳에 허점이 생기고, 그 경로를 통해 보안사고가 발생한다면 아주 빠르게 내부망은 초토화될 것이다.
망분리에 대한 믿음이 있기에 그 이외에는 조치하지 않았을 것이 분명하니까.
상황을 깨닫게 되었을 때는 이미 해결할 수 없을 정도로 걷잡을 수 없이 커져버린 상태일 것이다.

외부 디바이스로 인해 감염될 경우 막을 방법이 없다.
대만 반도체기업 TSMC(타이지덴)는 생산설비 업데이트를 위해 바이러스 검사가 완료되지 않은 USB를 연결했다가 생산설비가 바이러스에 감염됐다.
하루동안 생산라인 3곳의 가동이 중단되었으며 이로 인해 손실액은 한화 2,800억 정도일 것으로 추산했다.
생산설비에 망분리를 구축하여 네트워크와 멀리 떨어뜨려 놓아도 이렇게 외부요인에 의해 감염되고 손실을 일으킬 수 있다.
무균실에 떨어진 세균 하나는 방해요소가 없다는 걸 아는 순간 순식간에 세력을 확장한다.

시대의 흐름 역시 망분리에서 벗어나고 있다.
망분리는 내부에서만 적용된다.
코로나19의 영향으로 임직원의 안전을 위해 재택근무를 도입하고 활용한 곳이 늘어났다.
클라우드/모바일 컴퓨팅 비중이 증가했다.
견고하던 ‘안전한 내부망’의 개념이 점점 줄어들고 있는 것이 지금의 현실이다.

핀테크 스타트업계도 망분리에 대해 부정적이다.
‘전자금융’으로 성장한 핀테크 기업들은 망분리를 ‘외부 오픈소스코드를 반영하여 개발하는 연구소의 업무생산성을 저해하는 요인’이라고 주장하고 있다.

모 CISO는 “망분리 방식에서 협업을 통한 업무를 진행할 경우 업무생산성이 50% 이하로 떨어진다.”고 이야기했다.
이어 “핀테크 기업 특성상 업데이트가 필요한 오픈소스 라이브러리 관리를 위해서는 인터넷 연결이 필수적이지만 망분리 규정을 따르면 반드시 차단해야 한다.
별도의 불필요한 작업이 수행되기에 작업속도는 현저히 떨어질 수밖에 없다. “라고 망분리의 비효율성을 설명했다.

핀테크 기업은 기존 금융, 민간대기업과 다르게 적은 수의 인원으로 꾸려지기 때문에 사업규모도 작다.
그럼에도 불구하고 망분리, 망연계를 위해 몇 억을 투자해야 한다면 비효율적일 것이다.
과도한 규제 때문에 성장 가능성이 높은 사업을 경영자들이 외면하고 다른 산업으로 눈을 돌리게 된다면 국가적으로도 큰 손실일 것이다.

망분리는 시대의 흐름에 따라 점차 중요성이 줄어들게 될 것이다.
2010년 초반, 그 때는 전산서비스의 안전을 위해 반드시 필요했던 규제였지만 10년이 지난 지금은 다른 기술로도 충분히 보호할 수 있기 때문이다.

결국 엔드포인트(PC) 자체에서 보안을 강화하는 것은 거스를 수 없는 추세이다.

세번째, 구매하기에는 가격도 비싼데 가격대비 그렇게 효과적으로 사용할지 의문이다
△. 어느정도는 동의한다.

당장 도입하기에는 구축비용이 부담스럽다. 구축과 안정화에 필요한 기간 역시 길다.
현재도 충분히 망분리를 통해 주요 보안위협을 막고 있는데, 자잘한 잔존위협을 보안하기 위해 수십억을 투자하는 것은 ‘가성비’가 떨어진다고 여길 수도 있다.

그렇다고 해서 도입을 안 할 수는 없다. EDR이 보안 트렌드인 것은 모두가 인정하는 사실이기 때문이다.

이 경우에는 선택할 수 있는 방법이 두 가지가 있다.

1) 수십억을 투입하여 1년 프로젝트로 기획하고 전면적으로 구축한다.
2) 기존 에이전트에 EDR 기능을 추가하면서 점진적으로 차츰차츰 적용, 고도화 한다.

2) 번의 경우 비용이 상대적으로 저렴하고 구축/안정화 시간이 짧다는 장점이 있다.
1차로 적용을 해보고 향후 구축방향을 결정할 수도 있기 때문에 도입사 입장에서는 부담이 적다.
국내에는 기존 보안솔루션을 중심으로 EDR 기능을 개발, 적용한 솔루션이 많다.
소만사는 DLP 솔루션을 중심으로, 안랩은 안티바이러스 솔루션 중심으로, 지니언스는 NAC을 중심으로 EDR 기능을 접목하여 개발, 고도화하고 있다.




미국에 ‘CWT’라는 기업이 있다. 컨퍼런스/세미나/ 출장 등을 전담하는 B2B 전문 여행사인데 직원수만 1만8천명이며, 연간매출은 1.8조원 수준의 큰 기업이다.

이 회사가 올해 7월, 사내 PC 3만대가 Ragnar Locker 랜섬웨어에 감염되어 해커에게 한화 약 53억원 상당의 비트코인을 지불하고 암호화문제를 해결했다.
(관련기사 링크) 재미있는 점은, 해커가 복호화 비용을 받은 후
CWT에게 보안 관련 어드바이스를 해줬다는 것이다.
해커가 조언해준 보안사항은 다음과 같다.

1. 로컬 암호는 꺼라
2. 관리자 세션은 강제로 종료시켜라
3. 그룹정책에서 WDigest 값을 0으로 설정해라. 값이 0이면 메모리에 저장을 안한다.
4. 암호는 매달 바꿔라
5. 사용자에게 준 권한은 최소설정해라. 필요한 앱에서만 접근하도록 엄격하게 관리해라.
6. 대부분 Applocker 정도면 다 지킬 수 있다.
7. 필요한 어플리케이션만 허가해라.
8. 안티바이러스 믿지마라.
9. EDR(Endpoint Detection& Respones)을 설치하고 보안관리자들에게 사용하도록 지시해라.
10. 적어도 3명의 관리자가 24시간 일하는 것을 추천한다.
여유있으면 4명의 관리자가 하루에 8시간씩 3교대하면 더 좋다.


다른 것은 잊어도 좋다. 9번만 기억하면 된다.

참고:

https://blogs.gartner.com/avivah-litan/2017/03/15/morphing-edr-market-grows-to-1-5-billion-in-2020/
https://www.researchandmarkets.com/reports/4704049/endpoint-detection-and-response-global-market
https://news.hada.io/topic?id=2588
https://blog.naver.com/best_somansa/222060484545

목록

News/ Event

SSL/TLS 역사와 현재, 그리고 가시성 확보 필요성

[칼럼] | 2020-06-18

지금 이 웹페이지에서도 확인하실 수 있습니다. 주소창 옆 자물쇠.

사업체, 공공기관은 작은 규모라도 자사를 드러내고 소개할 수 있는 웹사이트를 모두 보유하고 있다. 홈페이지를 통해 내 사업체의 정보를 미리 안내하고 유령회사가 아니라는 신뢰를 줄 수 있기 때문일 것이다.

지금 인터넷 창을 열고 생각나는 웹사이트 아무 곳이나 접속해보자. 작은 규모의 웹사이트일 수록 좋다. 혹시 주소창 왼쪽에 자물쇠가 표시되어 있는가? 아니면 다른 표시가 나타나 있는가? 사실 새로 창을 열지 않아도 된다. 지금 보고 있는 이 블로그 주소창을 보자. 자물쇠 아이콘이 표시되어 있다.

자물쇠가 없는 웹사이트에서는 자물쇠 대신 ‘주의요함’이 표시되어 있을 것이다. 클릭하면 ‘이 사이트에서 입력하는 비밀번호, 신용카드 번호 등이 공격자에 의해 도용될 수 있다’는 경고 메시지가 노출된다. 들어갔다가 사단이 날 것 같은 느낌이 든다.

1초도 머물러 있으면 안될 것 같은 느낌

주소창의 자물쇠 표시는 ‘이 웹사이트는 공격자로부터 안전하게 보호되고 있다’는 의미이다. 해당 표시가 뜨는 곳은 SSL/TLS 로 암호처리된 웹사이트이다. 암호화로 한 번 덮어씌운, 보안이 되는 사이트이기 때문에 누가 내 정보를 중간에 탈취할 위험이 없어 안심된다. 온전히 클라이언트 PC를 사용하는 나와 웹서버를 사용하는 웹사이트 둘 만이 가진 개인키와 공개키로 내용을 암호화하고 복호화하면서 정보를 읽어 들이기 때문에 제3자는 내가 무엇을 하는지 알 수 없다.

* SSL/TLS의 위치 : 이렇게 싹 암호로 덮어씌워서 나간다.

SSL/TLS를 제공하는 웹서비스가 최근 몇 년 사이에 급증하긴 했지만 SSL/TLS는 이미 90년대 초반에 만들어진 기술이다. 넷스케이프사에서 통신 보안을 위해 내부적으로 개발한 규약인데 SSL(Secure Sockets Layer: 보안 소켓 레이어)이라고 불렸다. 1.0은 보안결함이 심각했기에 외부에 공개되지는 않았다. 95년 2월에 공개된 2.0부터 공개적으로 사용되기 시작했다.

SSL 통신규약은 3.0 버전이 마지막이며, 1999년 TLS(Transport Layer Security) 1.0이 릴리즈 되면서 정식 명식은 TLS로 명명되었다. SSL이 아니라 TLS로 불리는 것이 더 정확한 표현이나 SSL이라는 용어가 더 익숙하여 SSL/TLS로 혼용하여 사용되고 있다.

현재 나와있는 프로토콜 중 2018년에 릴리즈된 ‘TLS 1.3’이 가장 최신 버전이다.

악수 한 후에 이야기 나눕시다. 핸드셰이크.

만남이 있다면 사전에 통성명을 주고받고 시작하는 것이 인지상정이다. 다짜고짜 용건만 냅다 던지면 대화가 묵살될 수 있다. SSL/TLS에서도 핸드셰이크가 수반되어야 한다. 암호화기반이기 때문에 서로 암호키를 교환하여 전송에 필요한 절차를 만들어야 하기 때문이다.

SSL/TLS 핸드셰이크는 크게 4단계로 나눌 수 있다.

1. 보안기능설정: 프로토콜 버전, 세션ID, 암호조합, 압축방법 등을 공유한다. 상대가 어떤 언어를 어떻게 사용하는지 (한국어/영어/독일어 중 무슨 언어를 쓰는지 서로 대화가 가능한 언어가 무엇인지) 확인하는 단계이다.

2. 서버인증과 키 교환: 서버가 필요하다고 생각될 경우 인증서/키교환을 보낸 후 클라이언트 PC에게 인증서를 요청한다. 위장한 제3자가 난입하는 경우를 막기 위해서다. 상황에 따라 수행하지 않는 경우도 있다.

3. 클라이언트인증과 키 교환: 서버가 요청한 클라이언트 PC 사용자의 인증서를 전달하는 단계다. 이때 인증서를 보내 위변조 등 부정행위가 없음을 확인시켜준다.

4. 종료: 서로 암호조합을 교환한다. 내가 보내는 패킷을 해독할 수 있도록 공개키를 보낸다. 세팅이 끝났다. 지금부터 암호화된 통신이 시작된다.

악수하며 정보를 교환하고 서로를 파악하면 그 때부터 앉아서 편하게 대화를 진행할 수 있게 된다. 사용언어도 합의 하에 설정했겠다, 제3자는 그들이 무슨 말을 해도 알아들을 수 없다.

보안회사는 다 SSL/TLS 기반 웹사이트 씁니다.

글로벌 기업들은 2015년 전후로 SSL/TLS 기반 웹서비스를 제공했다.

구글의 경우 지메일, 구글닥스 등 정보의 보안이 필요한 서비스에 SSL/TLS를 먼저 적용하기도 했다. (현재는 모든 서비스를 SSL/TLS에서 제공한다.) 국내는 2016년 이후부터 전환이 시작되었다. 조금 늦은 편이다. 본래 국내에서는 은행 등 일부 기관에서만 한정적으로 사용했던 것인데 해킹기법이 지능화됨에 따라 이를 상쇄하기 위해 도입을 시작한 것이다. 국내 웹서비스 중에서는 네이버, 다음카카오가 암호화웹 기반으로 맨 처음 전환했다. 이 이후로 점차 공공기관, 국내 클라우드 서비스, 쇼핑몰 등도 암호화웹 규약을 채택하기 시작했고 현재는 90%이상의 웹사이트는 대부분 암호화웹을 사용하고 있다.

보안솔루션 개발사들은 100% SSL/TLS기반 웹사이트를 운영하고 있다. 만약 HTTP 기반 웹사이트를 보유하면서 정보보호를 외치고 있다면 몸이 좋지 않은 헬스트레이너가 회원들에게 “체중감량 하시려면 절식하시고 운동 열심히 하셔야 합니다!”라고 말하는 것과 비슷한 맥락이 될 것이다.

HTTP웹에 SSL/TLS이 적용되면 아래 요소들이 암호화되어 안전하게 오고 갈 수 있게 된다.

– URL (내가 어 느 페이지에 접속했는지 숨겨줌)

– 문서내용 (내가 무슨 내용을 보고 있는지 안알랴줌)

– 브라우저 양식 내용 (취약점이 있는 브라우저를 이용하더라도 브라우저를 모르니 해킹이 어려워짐)

– 쿠키 (티끌을 모아 유추하려 해도 알 수가 없게 됨)

– HTTP 헤더내용 (내가 발송한 정보를 어디사는 누구에게 보내더라도 행선지는 물론이고 내가 무엇을 보냈는지도 알 수 없음)

복호화 키가 없으면 내용을 볼 수가 없다. 패킷을 탈취하더라도 난수로 구성된 패킷일 뿐이다. 그 덕분에 우리는 해킹 불안에서 벗어나 안전한 웹환경을 보장받고 즐겁게 웹서핑을 할 수 있게 되었다.

SSL/TLS는 우리에게 아래와 같은 안전성을 보장한다.

1. HTTP 보다 뛰어난 보안성을 제공한다.

2. 패킷이 암호화되어 오고 가기 때문에 누군가가 패킷을 가로채도 해커는 내용을 알아낼 수 없다.

3. 핸드셰이크 절차를 통해 서로를 인증하고 인증확인이 되어야 통신이 구현되기 때문에 나를 사칭하는 일도 발생하지 않는다.

안전성을 보장받은 기술임은 확실하다. 하지만 완벽한 보안은 아직까지 없는 것 같다.

이토록 안전성을 보장받은 기술임에도 불구, 허점이 있기 마련이다.

어떤 사람들은 강점을 역으로 이용해서 공격을 수행한다.

쉽게 말해 악용이라고 합니다.

SSL/TLS의 보안성을 악용해 다음과 같은 공격을 수행하기도 한다.

1. 정보유출 경로로 악용

SSL 개발 목적은 통신과정의 ‘도청, 패킷탈취, 위변조를 막기 위해서’ 였다. 기존 통신규약에 암호화 한번 덧 입히면 쉽게 해킹할 수 없을 거라는 생각으로 개발했었다. 하지만 이로 인하여 되려 클라이언트PC와 서버 사이에서 어떤 정보가 오고 가는지 알 수 없게 만들어버렸다. 한번 암호화되어 덧입혀져 나가기 때문에 내가 주민번호를 1만건 유출해도, 종합부동산세 납부대상자 명단을 모두 끌고 와도 기존 보안 솔루션으로는 파악할 수 없다. 복호화키는 클라이언트PC와 서버 단 둘만 알고 있기 때문에 제3자인 보안 솔루션은 무엇이 언제, 누구에게, 몇 건이 밖으로 유출되었는지 알 수 없다.

해커들 못 보게 하려고 만든 기술이 기존 보안솔루션에게도 적용된 것이다.

과거에는 인증이 필요한 페이지에서만 부분적으로 사용됐었지만 현재는 클라우드, 메일, 메신저 등도 대부분 SSL/TLS를 사용하고 있다. 정보유출 가능성이 있는 통로에 SSL/TLS가 덧입혀진 것이다. 해커의 탈취행위는 막을 수 있게 되었지만 내부자의 유출행위는 막을 수 없게 되었다.

SSL/TLS 기반 웹트래픽은 꾸준히 증가하고 있다. 줄어들지 않을 것이다.

2. 악성코드 유입 통로로 악용

악성코드/랜섬웨어는 PDF, 워드, 한글파일로 위장한 실행파일을 클릭함으로써 감염된다. 이 외에도 의심스러운 URL을 클릭해서 감염되기도 한다. 해당 링크에 접속하는 순간, 드라이브바이다운로드(Drive By Download) 공격으로 인해 악성코드/랜섬웨어 파일을 자동으로 다운로드 받게 되는데 이 파일은 당신의 PC와 사내 네트워크를 아작낼 수도 있다. 정보유출은 물론이고 데이터가 위변조되거나 디도스 공격의 장기말로 이용될 수도 있다.

기존에는 유해사이트 차단 솔루션이 URL을 확인하고 접속 전에 해당 URL을 통제/차단해낼 수 있었지만, 위에서 이야기한 것과 같은 맥락으로 SSL/TLS 암호화웹을 쓰면 URL도 암호화된다. 그래서 내가 어떤 페이지에 접속했는지 보안 솔루션이 파악할 수가 없게 된다.

이미 20만대 이상의 C&C서버들은 SSL/TLS를 활용하고 있다. 기업을 타깃으로 한 네트워크 공격의 50% 이상은 SSL/TLS을 이용해 발생했다. 크립토락커, 스팸봇, VMZeus 등 유명 랜섬웨어/봇넷/루트킷등은 SSL/TLS를 사용해 이미 악성행위를 벌이고 있다.

2008년 인도 뭄바이에서 발생한 테러사건을 배경으로 한 영화 <호텔 뭄바이>에서 테러리스트들은 혼란스러운 틈을 타 겁에 질린 행인들 사이에 섞여 호텔문을 두드리고, 호텔 문이 열리는 순간 호텔 잠입에 성공한다. 악성코드 감염도 이와 비슷하다. 평범한 패킷인 척 숨어들어오면 알 수가 없다.

DLP솔루션과 악성코드 차단 솔루션에 국한된 내용이 아니다.

보안을 수행하고 있는 대부분의 솔루션으로는 대응이 쉽지 않다.

최근에는 SSL/TLS 가시성확보 장비를 도입하여 패킷을 확인하고 통제여부를 결정하고 있으나 가시성확보 장비가 충분히 확보되지 않은 상태라면 매초 발생하는 트래픽을 감당하지 못해 성능장애가 발생할 수 있다.

결론은 장비가 충분히 증설되어야 한다는 뜻인데 비용부담이 만만치 않다. 비용부담으로 인해 어떤 회사는 업무효율성과 보안성 두 가지 선택지에서 고민하다가 업무효율을 더 중시하기로 결정하게 된다. 당장 감당이 되지 않으니 SSL/TLS 트래픽이 발생하면 일단 통과시키기로 결정하게 된다.

높은 성능의, 연동범위도 넓고, 컴플라이언스도 준수하는 ‘T-Proxy’

소만사의 SSL/TLS 가시성 확보 및 복호화 솔루션 ‘T-Proxy’는 가시성을 확보하여 DLP, 유해사이트차단, IPS, IDS, APT 솔루션 등과 연동하여 내외부에서 발생하는 보안위협을 해소해준다. 이를 통해 위협을 인지하고 분석, 차단, 로깅하여 보안위협에 대응할 수 있다. 인라인 및 미러링 장비 연동이 가능하므로 원하는 보안제품에서 SSL/TLS 가시성을 확보, 보안할 수 있다.

소만사 ‘T-Proxy’는 ICAP연동 영향을 받지 않는 솔루션이다. 외산대비 30%이상 향상된 패킷처리 성능을 보유하고 있다. 이는 보안인프라 전반에 걸쳐 효율성을 증대화 시킨다.

소만사는 개인정보보호법, 신용정보법, 전자금융거래법 등 정보보호관련 컴플라이언스를 준수하는 솔루션을 개발하는 기업이다. ‘T-Proxy’ 역시 기술적 보호조치 100% 이행을 목적으로 개발되었다. ‘T-Proxy’를 도입한 기업과 기관들은 이를 통해 집단소송/법적처벌 가능성을 최소화할 수 있다. ‘T-Proxy’는 현재 100곳 이상에 적용되어 있다. 이 곳에서 ‘T-Proxy’는 각 기업/기관의 개인정보보호와 안전한 웹환경을 보장하고 있다.

보안 안하다가 사고 나서 언론에 노출되고 소송걸리고 처벌받음

VS 번거롭더라도 보안 다 하고 통제해서 사고 안남

자 이제 누가 더 비효율적이지?

SSL/TLS는 사람들에게 안전한 웹환경을 보장해주었다. 하지만 다른 시각에서 보면 보안전문가들에게 또 다른 과제를 안겨주기도 했다. 위장(camouflage)에 관한 보안허점을 수면 위로 올리기도 했으니 말이다.

패킷탈취 없이 안전하게 전송하려고 암호화한 것을 다시 복호화해서 열어보고 확인한 후에 보낸다니 일을 번거롭게 두 번하는 것처럼 보일 수도 있다. 보안솔루션은 업무효율성을 방해하지 않기 위해 최선의 노력을 하고는 있으나 아직까지는 상충하고 있다. 비효율적으로 보일 수 있다.

하지만 모든 웹서비스가 SSL/TLS로 바뀌었고 바뀌고 있는 상황에서, 기존 솔루션으로는 전혀 차단할 수 없는 상황에서, 위와 같은 ‘번거로운 일’을 하지 못해 개인정보가 유출되고 언론에 공개되고 집단소송과 형사처벌에 직면하게 된다면 비효율적인 행동은 ‘암호화 패킷을 복호화하지 않고 그냥 흘려보내고 들여보낸 행위’가 될 것이다.

보안위협에서 나와 우리회사와 국가의 네트워크 인프라를 보호하기 위해서는

SSL/TLS 가시성 확보 및 복호화는 선택이 아닌 필수이다.

참고:

소만사 웹키퍼 https://www.somansa.com/solution/safe-browsing/ssl-tls-solution-webkeeper/

소만사 메일아이 https://www.somansa.com/solution/outflow-control/ssl-tls-network-dlp-solution/

영문 위키피디아 https://en.wikipedia.org/wiki/Transport_Layer_Security

국문 위키백과 https://ko.wikipedia.org/wiki/%EC%A0%84%EC%86%A1_%EA%B3%84%EC%B8%B5_%EB%B3%B4%EC%95%88

도서 네트워크 보안에센셜, 윌리엄 스탈링스 저

도서 정보보안 가이드북, 이상진 저

목록

News/ Event

회사 네트워크에 SSL/TLS 웹트래픽 가시성을 확보해야 하는 이유

[칼럼] | 2020-04-17

    처음엔 편했던 것 같다. 통제범위에서 벗어난 기분이 들었던 것 같다.
    – 기존 유해사이트 차단 솔루션이 SSL/TLS 웹서비스는 통제하지 못함을 알게 된 과거의 나


회사에 설치되어 있던 기존 ‘미러링 기반 유해사이트 차단 솔루션’은 SSL/TLS 기반 웹서비스 이용현황을 통제, 차단하지 못한다고 했기 때문이다.
SSL/TLS 암호화 트래픽이 오고 가도, 패킷이 암호화상태로 왔다 갔다 하기 때문에 확인하기 어렵다고 했다.
패킷을 미러링 방식으로 복사해서 들여다보는 ‘기존 유해사이트 차단 솔루션’은 그저 포장지에 쌓인,
또는 암호로 구성된 ‘암호화 패킷’만 보기 때문에 클라이언트 서버에서 무엇을 PC에 보냈는지,
PC는 무엇을 요청한 것인지 알 길 없다고 했다.

‘유해사이트 차단 솔루션’은 보통 불법/비업무/악성코드 배포사이트 접속을 차단하는 역할을 수행한다.
사실 상식을 가진 직장인이라면 회사에서 불법사이트에 접속하진 않을 것이다.
불법토토나 테러조장사이트에 들어갈 일은 사실 거의 없다.
하지만 비업무사이트는 조금씩은 들어가긴 한다.
잔업과 야근이 일상인 한국 직장인들에게 잠깐의 비업무 사이트 접속은 숨통을 트일 수 있게 하는 잠깐의 휴식 같은 거니까.
주식 그래프도 살짝 구경하고, 쇼핑몰에서 봄맞이 옷도 구매하고,
주말 캠핑을 위해 날씨 사이트에서 주말 날씨도 체크하면서 10분~30분 정도는 쉬어 주기도 한다.

보안 담당자의 시야에서 벗어나니 편하다.



라고 생각할 수 있겠지만, 사실 이는 심각한 결과를 초래할 수 있다.


1.악성코드, 랜섬웨어, 바이러스 등에 감염될 수 있다.

보안성이 취약한 사이트를 해커가 해킹한 후 내부에 악성코드를 심어 놓을 수 있다.
해당 사이트에 접속시 ‘드라이브 바이 다운로드(Drive By Download)’ 공격에 의해
자동으로 실행파일이 설치되어 PC에 악영향을 끼칠 수 있으며 사내 네트워크 전체가 마비될 수도 있다.

메일을 통하여 교묘하게 포장된 ‘악성코드 링크’를 받을 수도 있다.
“메일 사서함이 가득찼습니다” 또는 “저작권 위반으로 신고접수 되었습니다.
세부내용을 확인하시려면 다음 신고접수 사이트에서 확인하십시오” 라고 유인할 수도 있다.
클릭하는 순간, 똑같이 ‘드라이브 바이 다운로드’ 공격의 희생양이 된다.

기존 유해사이트 차단 솔루션은 해당 웹사이트의 URL을 보고 판단을 했다.
사내직원이 접속한 사이트 정보가 평문으로 오가기 때문에 빠르게 확인하고 차단을 수행할 수 있었다.
하지만 SSL/TLS(주소창에는 HTTPS라고 써 있다. 자물쇠 모양으로.) 암호화 웹에 접속할 경우에는 악성여부를 판단하지 못한다.
알게 모르게 PC가 이미 오염되어 있을 수도 있다.

사태를 파악했을 때는 이미 내 PC파일 뿐 아니라 회사 네트워크 전체가 악성코드와 랜섬웨어로 마비된 이후일지도 모른다.


2. 내 PC가 정보유출의 통로가 될 수 있다.

두 가지 경우로 언급하고자 한다.
해커에 의한 정보탈취와 내부자에 의한 개인정보 유출로 나누어 이야기하고자 한다.

해커에 의한 정보탈취: 위에서 언급한 악성코드 감염 이후의 심화행위가 될 수 있다.
해커는 개인정보처리자가 보유한 데이터를 손에 넣은 후 악용할 수 있다.
데이터를 변조하여 금품을 요구하거나(랜섬웨어) 개인정보를 탈취한 후 판매하거나 공개하여 금전적 이득을 취하거나 기업, 크게는 국가의 평판을 추락시키기도 한다.
정보탈취는 보통 네트워크를 통해 이루어진다.
PC권한을 확보한 후 원격접속을 통해 덤프를 떠서 POP3S, SMTPS, FTPS, SMTP, STARTTLS 나 웹메일, 클라우드로 개인정보를 유출하기도 한다.
당연한 이야기이지만, SSL/TLS 암호화 기반 트래픽 환경을 기존 네트워크 장비로는 막을 수 없다.


내부자에 의한 정보탈취: 하지만 데이터는 금전적인 이익과 연결되는 경우가 많기에 정보구매자도, 불법조회자도 존재한다.
기존 네트워크 보안 솔루션이 암호화된 패킷을 읽지 못한다는 점을 알고 과감하게 SSL/TLS 기반 웹서비스로 정보를 유출하기도 한다.
로깅도 되지 않기 때문에 알아차릴 수도 없다는 것을 알기 때문이다.



양날의 검, SSL/TLS

SSL/TLS 웹서비스는 보안성 여부에서는 안전한 기술인 것은 맞다.
그러나 정보가 송수신되는 행위에 대해서는 보안에 위협이 되는 채널로 악용될 수 있는 기술이기도 하다.
장점과 단점이 공존한다.
‘웹프록시’는 PC와 클라이언트 서버사이에서 암호화로 오가는 정보를 중간에서 복호화하여 가시성을 확보해준다.
평문으로 복호화 해주어 보안 솔루션에게 넘겨준다.
악성코드 차단과 정보유출 차단을 수행하는 SWG(Web SecureGateWay)와 DLP(Data Loss Prevention)의 보안범위를 넓혀준다.

뿐만 아니라 IPS, IDS, APT, 포렌식 등 다른 보안 솔루션에도 연동이 가능하다.
웹프록시는 기존 네트워크 장비가 수행하지 못하는 보안업무를 ‘보완’해준다.

웹프록시는 SSL/TLS 암호화웹 트래픽을 검사, 복호화하여 솔루션에 제공해준다
웹프록시는 복호화한 패킷을 보안솔루션에 제공해주는데, Inline(인라인)/Mirroring(미러링) 모두 적용이 가능하다.
각 보안 솔루션에 맞는 방식으로 구축이 가능하다는 장점이 있다.

복호화된 정보는 각 보안솔루션의 탐지서버에서 분석된다.
분석이 완료되면 해당 트래픽의 목적지가 결정된다.
개인정보나 악성코드가 들어있으면 반출 또는 유입이 차단된다. 문제없는 트래픽이라면 문제없이 송수신된다.


웹프록시가 가져야 할 덕목

보안은 보수적으로 수행하는 것이 안전하기는 하다.
하지만 그렇다고 해서 개인정보가 들어있다고 무조건 전송을 차단하고,
장애가 발생해 네트워크가 마비되어도 무조건 차단하는 방식을 고수한다면 융통성이 없는 운영방식이라고는 불만을 받을 수 밖에 없을 것이다.
업무의 효율성을 중시하는 사내 임직원들의 반발이 거셀 것이다.
1분1초가 급한 계약서, 견적서, 정부과제 등이 사내 네트워크 장애로 발송이 되지 않는다면 당사자의 매서운 눈초리를 견딜 수 없을 것이다.

​ 웹프록시를 적용하더라도 융통성있게 보안업무를 수행해야 한다.
예를 들자면, 개인정보가 일정개수 이상 포함되어 있어도 발송 목적지가 신뢰할 만한 곳이라면 화이트리스트 정책을 통해 송수신하도록 정책을 설정하면 효율적일 것이다.
하드웨어나 소프트웨어에 장애가 발생할 경우 바이패스하거나 자동복구기능을 통해 세션을 유지하여 가용성을 보장한다면 업무가 수월할 것이다.
이와 동시에 이슈가 발생하면 빠르게 해결해야 할 것이다.
자체 디버깅 정보와 pcap(패킷캡쳐)를 제공하여 다양한 데이터를 기반으로 빠른 지원을 약속한다면 보안담당자와 사내임직원의 업무환경을 모두 만족시킬 수 있을 것이다.

소만사 T-Proxy, 기획단계부터 DLP 및 유해사이트 차단 솔루션과 일체화

소만사 웹프록시 솔루션 ‘T-Proxy’는 기획단계부터 DLP 및 유해사이트 차단솔루션과의 일체화를 목적으로 설계된 하드웨어 솔루션이다.
DLP, 유해사이트 뿐만 아니라 IPS, IDS, APT 솔루션 등과도 자연스러운 연동이 가능하다.
아울러 ICAP을 벗어 던진 솔루션이기에 외산대비 30%이상 향상된 성능을 자랑하고 있다.
보안인프라 전반에 걸쳐 효율성을 증대시킬 수 있었다.

소만사는 개인정보보호법, 신용정보법, 전자금융거래법 등 정보보호관련 컴플라이언스를 준수하는 솔루션을 개발한다.
T-Proxy’ 역시 기술적 보호조치를 100% 이행한다.
‘T-Proxy’를 도입한 기업과 기관들은 이를 통해 집단소송/법적처벌 가능성을 최소화할 수 있게 되었다.
T-Proxy는 현재 100곳 이상에 적용되어 각 기업/기관에서 개인정보와 안전한 웹환경을 보장하고 있다.

SSL/TLS 웹트래픽은 매년 꾸준히 증가하고 있으며, 현재도 많은 기업과 기관들이 SSL/TLS 기반으로 전환하고 있다.
비영리기관단체 마저도 말이다. 이제는 SSL/TLS(HTTPS)가 아닌 곳을 찾기 힘들어졌다.



“기껏 암호화하여 안전성을 확보한 SSL/TLS 트래픽을 왜 다시 복호화하여 일을 두번 하는가”라는 부정적인 시선으로 SSL/TLS 복호화를 바라보는 시선도 있긴 하다. 진부한 말이지만,
이제 SSL/TLS 차단은 선택이 아닌 필수사항이다.,

모든 웹서비스는 SSL/TLS로 가고 있기 때문에,
그 SSL/TLS 웹트래픽은 기존 네트워크 보안 솔루션으로는 전혀 차단할 수 없기에
당신의 회사는 반드시 SSL/TLS 웹트래픽 가시성을 확보해야만 한다.

시대의 흐름은 이미 SSL/TLS로 바뀐지 오래다.

패닛스니핑의 위험을 차단하기 위해서 암호화는 필수적인 것이고,
데이터 송수신에서 발생하는 악성코드감염, 개인정보유출 등 보안위협에 대응하기 위해서는
복호화를 통한 가시성 확보 역시 필수적인 것이라 생각한다.



SSL/TLS 가시성확보 및 복호화 수행 소만사 어플라이언스



보안 환경은 시시각각 변화하고 있다.
오늘 안전한 사이트가 내일은 악성코드 배포 사이트가 될 수 있다.
오늘 안전한 PC가 내일은 해커에 의해 PC 관리자 권한이 탈취될 수도 있다.
오늘 듬직하고 믿음직한 동료는 내일 금전적 유혹을 이기지 못하고 정보를 불법조회, 유출할 수도 있다.

보안위협에서 대한민국 네트워크 인프라를 보호하기 위해,
개인정보/기밀정보를 보호하기 위해
소만사는 오늘도 고군분투하고 있다.

유해사이트 차단 솔루션 웹키퍼 SG

네트워크 기반 내부정보 유출방지 솔루션 메일아이

목록

News/ Event

n번방 사건, 공공기관 개인정보 오남용을 효과적으로 통제하려면

[칼럼] | 2020-04-08

개인정보는 금전적 이익과 연결되는 경우가 많기에 위험부담을 안고 정보를 구매하는 사람도, 정보를 불법조회하는 사람도 존재 합니다.
보안담당자는 상시 잠재적인 위험이 있음을 인지하고 통합관제 수행, 사고유형분석, 개인정보보호교육을 진행하여 오남용을 최소화, 사고 확산을 최소화해야 합니다.


사회복무요원이 국민의 개인정보를 무단 조회하여 오남용한 사례가 발생했다.
해당 사회복무요원은 불법으로 조회한 정보를 바탕으로 여아살해를 모의했으며,
취득한 정보를 바탕으로 성착취 협박에 악용했다.

​ 해당 사건으로 인해 병무청은 3일,
사회복무요원의 개인정보 취급업무 부여를 금지하는 복무관리지침 시행과 동시에
행정안전부와 함께 지침 위반여부에 대해 실태조사를 할 계획이라고 밝혔다.

​ 도대체 어찌 이런 어처구니없는 일이 발생할 수 있을까?
이런 상황이 일어나게 된 현실에 국민들은 분노하고 공분하고 있다.

​ 씁쓸하지만 정보시스템 설계자의 입장에서 보면,
‘개인정보 불법접근’은 일어날 수밖에 없는 사고였다.
과격하게 말하면 이미 수차례 발생했던 사고였고, 이번 기회에 크게 알려진 것뿐이다.
이렇게 악랄한 방식으로 활용될 줄은 몰랐지만 말이다.

​ 정보처리시스템을 설계하면서 ‘개인의 도덕성에 전적으로 의존하는 것은 매우 위험한 일’ 이다.
선량하고 도덕적인 사람만이 시스템을 사용할 것이라고 가정하면서
시스템을 설계하는 것은 보안관점에서 있을 수 없는 일이다.

​ 정보처리시스템을 설계할 때에는 ‘제로 트러스트’ 기반 아래에
적법한 절차를 거쳐 인증받은 사용자라 하더라도
해당사용자가 100% 맞지 않을 수는 있다는 가정 하에서 수행해야 한다.


개인정보는 금전적인 이익과 연결되는 경우가 많다.

​ 출장을 떠난 배우자가 정말 출장 간 것이 맞는지 무선 기지국의 수신정보를 토대로 혹시나 서울한복판에 있는 것은 아닌지 궁금할 것이다.
VIP 고객정보를 확보하고 싶은 사업자는 마케팅을 위해서 고액 종합부동산세 납부자의 명단을 얻고 싶을 것이다.
채무를 변제하지 않고 잠적한 사람의 최근 전입 신고한 집주소를 알고 싶을 것이다. 결혼할 배우자의 월 소득이 궁금할 것이다.

공공기관은 업무특성상 국민의 의료, 교육, 소득, 채무내역, 가족관계, 병역과 같은
개인정보를 보유하고 있다.
해당 정보는 유출될 경우 개인의 평판을 좌우할 수도 있을 정도로 민감한 정보이기도 하다.

세상에는 이러한 정보를 얻기 위해 수십만 원 정도는 기꺼이 지출할 의사를 가진 상당수의 사람들이 존재한다.
그리고 또 다른 사람들은 위험부담이 있음에도 불구하고 금전적 이득 혹은 개인적 이득 때문에 불법조회에 가담한다.
행정 민원서비스를 처리하는 사회복무요원과 같은 약한 고리를 공략할 방법은 이렇게 너무나도 많다.

일부 공공기관은 이러한 ‘대국민 서비스 시스템’에서
개인정보 오남용 혹은 부정사용이 발생할 것을 선제적으로 예측했다.
이를 방지하기 위해 ‘개인정보 통합관제 시스템’을 선도적으로 구축했다.

​ 특히 보건복지부는 이미 10여 년 전부터 ‘개인정보 통합 관제센터’를 운영해왔다.

​ 물론 ‘개인정보 통합 관제센터’를 설립하고 운영한다고 해서 오남용이 효과적으로 통제되지는 않는다.
필자의 센터운영 경험에 비추어 볼 때 끊임없이 새로운 사고 유형을 분석하고,
상시적인 모니터링과 더불어 개인정보 처리자에 대한 보안의식 고취 교육을 꾸준하게 진행해야만 한다.

​ 위와 같은 노력에도 불구하고 개인정보 오남용 사례는 100% 완벽히 근절되지 않는다.
대국민 서비스 운영자는 매년 수천 명씩 바뀐다.
그 분들 중에서는 보안의식이 철저한 분들도 계시지만,
아직은 긴장감이 떨어지는 분들도 계실 수밖에 없다.

​ ‘대국민 서비스 시스템’에는 상시 잠재적인 위험이 존재하고 있다.
그렇기 때문에 ‘개인정보 통합 관제센터’는 개개인 또는 일원의 개인정보 오남용이
대형 보안사고로 번지기 전에 신속하게 발견, 사고의 확산을 막아내는 것이 주된 목표가 된다.

​ 이번 사고가 법의 심판을 받는 것과 동시에,
이후 공공기관의 ‘대국민 서비스 시스템’을 설계할 때
데이터 오남용에 대한 상시적인 모니터링 및 분석 시스템 확대의 계기가 되기를 바란다.


​ 이야리 공학박사 / ㈜ 소만사 컨설팅 실장




목록

News/ Event

이제는 싱글에이전트 도입을 준비해야 하는 시기

[칼럼] | 2020-03-18

‘싱글에이전트’, 비용절감, 성능유지, 안정성 확보, 보안성, 업무효율 혁신 가져와

지금으로부터 10년 전, 모 은행 보안 책임자가 한탄한 적이 있다.

“PC에 설치되는 에이전트 갯수가 너무 많다”고.

고객의 요구사항은 이미 10년 전부터 존재했다. 이제는 한계에 도달했다.

대기업은 전문 보안팀이 있으니 전문적으로 수행할 수 있겠지만,

중견·중소규모의 기업기관은 많은 에이전트를 수월하게 관리할 수 없을 것이다.

중견·중소규모의 기업기관은 보안이슈가 발생했을 때부터 싱글 에이전트에 대한 열망이 컸다.

보안담당자의 요구사항과 함께 어느덧 기술력도 높아졌다.

개별 에이전트 운영 시 얻을 수 있는 장점보다,

통합 에이전트 운영시 누릴 수 있는 장점이 압도적으로 더 커졌다.

이제는 ‘싱글 에이전트’에 도전할 수 있는 시기가 되었다.

#엔드포인트 보안은 <악성코드 차단>과 <데이터 보호>로 나뉜다

엔드포인트 보안이슈는 크게 <악성코드 차단>과 <데이터 보호>로 요약할 수 있다.

큰 그림으로 보면 보안사고는 다음과 같은 시나리오로 발생한다.

<악성코드 차단>은 기존에는 실행파일 패턴 분석의 안티바이러스 솔루션이 보안을 수행했다.

패치관리 시스템도 비슷한 역할을 했다.

패치만 적시에 이루어진다면 악성코드에 감염될 확률이 줄어들었기 때문이다.

최근에는 행위기반의 솔루션인 EDR(endpoint detection and response)로

차세대 보안솔루션 트렌드가 바뀌고 있다.

최초의 공격인 제로데이 어택에 대응하기 위해서는

실제환경에서 실시간으로 대응하는 것이 더 효과적이기 때문이다.

<악성코드 차단> 솔루션은 안티바이러스 솔루션을 거치고,

패치관리를 지나, EDR쪽으로 통합화의 길을 걷고 있다.

<데이터 보호>는 USB 매체제어, 출력물통제, 인터넷 파일전송통제,

파일 암호화, DLP, DRM 등 개별적인 솔루션으로 등으로 개발되어 왔다.

이 분야는 DLP(내부정보유출방지: Data Loss Prevention)솔루션이 통합하고 있는 추세다.

초기에는 특정 솔루션을 지칭하는 단어였지만 현재는 데이터 보호를 통칭하고 있다.

DLP가 유출차단 뿐만 아니라

데이터 검출과 매체제어, 암호화 기능을 함께 수행하고 있기 때문이다.

DLP 솔루션은 국내기업이 강세를 보이고 있다.

대한민국 산업 특성상 제조업이 발달했는데,

이로 인하여 도면, 기술, 생산라인, 제품디자인 등 산업과 관련된 정보를 보유하고 있어

이를 보호하기위해 국내기업의 DLP 기술이 크게 발전했다.

미국이 소스코드, 개인정보, 의료정보보호 측면에서 DLP 기술이 발전한 것과는 다른 양상이다.

DRM은 파일 암호화, 애플리케이션 통제에 중점을 둔 보안 솔루션이다.

DLP와 비교했을 때 기능이 비슷해지는 추세이기에 큰 차이는 없어졌다.

과거에는 DLP와 DRM에 관한 비교자료가 나올 정도로 두 솔루션은 다른 솔루션으로 인식되었다.

하지만 지금은 큰 차이가 없는 솔루션으로 받아들여지고 있다.

#통합, 통합, 통합

보안기업들은 에이전트의 개수를 축소, 통합하는데 집중하고 있다.

<악성코드 차단>과 <데이터보호>로 에이전트의 개수를 2개로 축소하는 것은

단순해 보이지만 매우 큰 혁신이다.

에이전트 개수를 2개로 줄이는데 성공하면,

마지막으로 하나의 솔루션으로 통합하는 것이 목표가 될 것이다.

그래서 보안기업들은 <악성코드 차단>기능을 수행하는 에이전트와

<데이터 보호>를 수행하는 DLP 통합을 목표로 단일화에 도전하고 있다.

글로벌 업체들은 장기적인 로드맵을 가지고 싱글 에이전트에 도전하고 있다.

전통 PC보안강자인 시만텍, 맥아피 이외에도 OS와 오피스로 유명한 MS(마이크로소프트)가

악성코드 차단에 투자하고 있다.

보안산업이 20년 동안 성장하고 안정됨에 따라,

우리나라에서도 20년간 기술력과 고객을 바탕으로 싱글에이전트 프로젝트에 도전하고 있다.

몇몇 대기업은 현재 통합 프로젝트를 수행하고 있다.

‘싱글에이전트’의 출시는

비용절감, 성능유지, 안정성 확보, 보안성, 업무효율 측면에서 혁신을 가져올 수 있다.

총소유비용(TCO: Total cost of Ownership)의 절감을 가져올 수 있고,

안정적인 환경 속에서 정교한 통제가 가능해진다.

대기업과 중견·중소기업 모두가 원하는 솔루션이다.

싱글에이전트는 모든 보안 담당자가 꿈꾸는 꿈의 기술인 것이다.

[글. 소만사 최일훈 부사장]

출처 : 데일리시큐(https://www.dailysecu.com)

https://www.dailysecu.com/news/articleView.html?idxno=106928

목록

News/ Event

[싱글에이전트] 우리회사에 설치된 보안 에이전트는 몇 개?

[칼럼] | 2020-03-13

대기업은 PC에 몇 개의 보안 에이전트를 설치할까

PC에 설치되는 PC보안 에이전트 종류는 15개를 훌쩍 넘는다.

DLP, USB매체제어, 출력물보안, PC개인정보검색, 안티바이러스, PC보안, EDR, DRM,

패치관리 시스템, 소프트웨어 자산관리, PC유해사이트 차단, 지키미(공공기관 보안점검 에이전트),

문서중앙화, 랜섬웨어 차단, 키보드보안 등

대기업에서는 평균 5~6개의 에이전트가 PC에 설치된다.

보안사고 발생, 정부정책 법령변화, 그리고 해킹기술의 발달로 인하여

PC보안 에이전트 개수는 꾸준히 증가해왔다.

예를 들면, 2011년 개인정보보호법 제정에 따라 PC 개인정보 검색/삭제/암호화 솔루션이 설치되었다.

최근에는 악성코드 변종이 폭발적으로 증가함에 따라

패턴기반 안티바이러스 에이전트가 아닌, 행위기반 EDR 에이전트가 PC에 설치되기 시작했다.

각각의 보안 솔루션은 특정 이슈에 대해서 최고의 성능올 보인다.

예시를 들어보겠다.

출력물 보안 솔루션은 워터마킹, 출력물 로그관리, 출력물 결재,

출력물 개인정보 검색, 토너 절감기능을 가지고 있다.

출력물 보안 솔루션은 출력물 보안에 대해서는 가장 최적화된 기능을 제공한다.

하지만 부팅 후 작업표시줄에 에이전트 트레이 아이콘이 하나둘씩 나타나

한 쪽을 꽉 채우는 모습을 보면 내 PC를 혹사 시키고 있는 것 같아 애처로워 보일 때가 있다.

중견수, 좌익수 사이에 공이 떠 있으면 누가 잡아야 할까?

여러 개의 에이전트를 PC에 설치할 경우 발생할 수 있는 문제는 다음과 같다.

첫번째, 성능문제가 발생한다.

엑셀 프로그램 클릭만 했을 뿐인데

갑자기 PC가 먹통되는 경험이 최소 한 번 정도는 있을 것이다.

보안 에이전트가 백그라운드에서 동작하기 때문에 발생하는 문제다.

한정된 PC 메모리에서 에이전트 5개 이상이 동시에 실행되고 있기에

시스템에 부하가 발생하는 것은 당연한 일일지도 모르겠다.

두번째, 안정성 문제가 발생한다.

장애발생은 치명적이다. 새로운 보안 솔루션이 도입되면 PC에 블루스크린이 자주 뜰 때가 있다.

난감해진다. 블루스크린은 보안 솔루션의 후킹(Hooking) 때문에 발생한다.

보안 솔루션은 이상행위를 감지해야 한다.

때문에 USB, 출력물, 메신저, 오피스 프로그램 등을 통제해야 하므로 디바이스 이벤트를 후킹할 때가 있다.

안정성이 떨어질 수밖에 없다.

5개의 솔루션이 죄다 후킹을 하다가 그 중에 하나가 삐끗하기라도 하면 PC가 먹통이 된다.

5개의 솔루션 중 무엇이 문제를 일으켰는지 확인할 길이 없기에

때때로 5개의 보안업체가 한 곳에 모여 문제를 해결하기도 한다.

세번째, 보안성이 저하된다.

보안 솔루션이 다른 보안 솔루션을 적으로 인식하기도 한다.

서로 충돌한다.

보안위협을 찾아내는 것이 역할이기 때문에

중복으로 보안하는 구간에서 만나게 되면 서로를 보안 위협으로 인식할 수가 있다.

이를 해결하기 위해 충돌방지기능을 추가하면 보안에 사각지대가 생길 수 있다.

마치 야구 경기 중에 중견수, 좌익수끼리 서로 눈치보다가 어이없이 실책하는 경우 같다고 보면 되겠다.

네번째, 업그레이드가 번거롭다.

진정한 지옥문은 PC OS가 업그레이드될 때 열린다.

OS의 업그레이드는 곧 보안 솔루션 에이전트의 업그레이드를 의미한다.

만일 그 사이 업체가 사업에서 철수하거나 폐업하거나 합병되었을 경우

새로운 OS 보안에 대책이 없는 상태이기 때문에 새롭게 솔루션을 도입해야 할 수도 있다.

충돌/안정화문제는 다시 한번 점검해야 할 사항이 될 것이고 말이다.

마지막으로 일관성이 없는 경우가 있다.

대표적인 것이 개인정보 분석능력이다.

하나의 엑셀 파일에 대해 분석을 했을 때 개인정보 검색 솔루션은 주민번호 100건을 탐지하고,

출력물 보안 솔루션은 95건을, USB 통제 솔루션은 90건을 탐지한다면 문제가 된다.

업체마다 개인정보 정확도가 다를 수는 있지만 정확하게 탐지하지 못하면

이는 도입한 기업, 기관의 위험부담이 된다.

이렇게 많은 문제가 있음에도 불구하고 에이전트 개수는 줄지 않고 늘어나기만 했다.

왜냐하면 보안 솔루션 하나를

직원 6천명의 PC에 설치하고 안정화하려면 1년의 시간이 소요됐기 때문이다.

그렇기 때문에 에이전트를 새롭게 설치하고 안정화하는 것은

보안담당자 입장에서는 다시 겪고 싶지 않은 경험일 것이다.

기존 솔루션에 다른 솔루션을 추가해 어떻게 해서든 버텨나가는 것이 마음은 편할 것이다.

소프트웨어 에이전트는 업그레이드시 큰 비용이 소요되지 않는다.

개발사의 입장에서도 기능추가보다는 새로운 솔루션을 출시하는 것이 매출확대에 더 도움이 된다.

그래서 비효율적임에도 불구하고 PC에 설치되는 에이전트의 개수는 계속 늘어나기만 했다.

​[글. 소만사 최일훈 부사장]

출처 : 데일리시큐(https://www.dailysecu.com)

https://www.dailysecu.com/news/articleView.html?idxno=106872

목록

News/ Event

마이터 어택, EDR의 수준을 끌어올리다.

[칼럼] | 2019-11-25

MITRE ATT&CK 등장

미국 연방정부의 지원을 받는 비영리 연구개발 단체인 ‘MITRE(마이터)’는

본래 국가안보관련 업무를 수행했다.

국가안보, 항공교통, 국토보안관리시스템 구축 등 인프라와 관련된 부문을 주로 연구했다.

그러나 점점 국가간 사이버공격의 영향력이 커지고 피해가 늘어나면서

자연스럽게 해당 부분에 대한 연구가 시작되었다.

그렇게 발간된 것이 ‘ATT&CK(어택)’이다.

‘ATT&CK’은 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 ‘사이버공격 킬체인 보고서’다.

의학으로 비유를 하면, 인체에 해를 끼치는 증상에 관한 치료법과

투약제품을 모두 정리해둔 자료라고 볼 수 있겠다.

MITRE ATT&CK, 예측과 탐지, 대응이 가능해지다

‘ATT&CK’은 실제 관측에 기반, 분석한 자료를 토대로 프레임워크를 구성했다.

11단계에 걸쳐 11개의 전술을 서술했다.

전술은 다음과 같이 정리되어 있다.

전술(Tactics)

1. 초기 접속(Initial Access):

악성코드를 유포하거나 첨부파일에 악성코드를 심어

공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성행위를 위한 초기 진입방식.

2. 실행(Execution):

공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술.

3. 지속(Persistence):

공격 기반을 유지하기 위한 전술.

운영체제에서 사용하는 파일을 공격자가 만든 악의적인 파일로 대체하여 지속적인 악성 행위를 수행하거나

높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당.

4. 권한 상승(Privilege Escalation):

공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술.

시스템의 취약점, 구성 오류 등을 활용.

높은 권한을 가진 운영체제로 악의적인 파일을 삽입하는 기법 또는 시스템 서비스 등록 기법 등으로 권한상승.

5. 방어 회피(Defense Evasion):

공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위해 사용하는 전술.

보안 소프트웨어 제거/비활성화, 악성코드의 난독화/암호화,

신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지.

6. 접속 자격 증명(Credential Access):

공격자가 계정 이름이나 암호 등을 훔치기 위한 전술.

정상적인 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고,

목적을 달성하기 위해 더 많은 계정을 만들 수 있음.

7. 탐색(Discovery):

공격자가 시스템과 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술.

공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향을 정할 수 있음.

8. 내부 확산(Lateral Movement):

공격자가 네트워크에서 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술.

공격자는 자신의 원격 접속 도구를 설치하여 내부 확산을 수행하거나,

운영 체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근함.

9. 수집(Collection):

공격자가 목적과 관련된 정보 또는 정보의 출처가 포함된 데이터를 수집하기 위해 사용하는 전술.

데이터를 훔치고 유출하는 것이 목적.

10. 명령 및 제어(Command and Control):

공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술.

11. 유출(Exfiltration):

공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술.

공격자는 데이터를 탐지되는 것을 피하기 위해 데이터를 압축/암호화 후 전송하거나

데이터의 크기 제한 설정을 통해 여러 번 나누어 전송하는 방식을 사용.

12. 임팩트(Impact):

공격자가 가용성을 낮추고 무결성을 손상시키기 위해

운영 프로세스, 시스템, 데이터를 조작하고 중단시키고 나아가 파괴하는 데 사용하는 전술.

 

MITRE는 각 전술에 사용된 기법들을 일목요연하게 정리했다.

더 나아가 피해를 경감할 수 있는 방법, 해당 악성행위를 사용하는 공격그룹,

프로그램 샘플까지 제공하고 있다.

‘ATT&CK’ 공개 후 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다.

대응체계 구성이 가능해지니 EDR의 완성도가 높아졌다.

수많은 사례와 기술에 대해 학습한 결과, 변종 악성코드와 공격 예측이 가능해진 것이다.

사전에 예견하고 대책을 세울 수 있게 되어 ‘Response’의 기능이 대폭 향상되었다.

만일 최초의 공격으로 이미 악성행위를 받은 상태라면

‘피해경감 기법’을 참고해 피해를 확산시키지 않고 최소화할 수 있게 되었다.

매일매일 바뀌는 공격기법 속에서 ‘ATT&CK’은

지속적으로 보안기술과 보안위협에 대해 업데이트 하고 있다.

지난 7월에만 해도 485개의 전술기법, 91개의 해킹그룹, 397개의 악성코드에 대해 업데이트 했다.

뿐만 아니라 더 이상 사용하지 않는 전술과 기법에 대해서도 별도로 정리하기 때문에

항상 최신형상 유지와 동시에

‘죽은 기법의 변종 등장’에 대해서도 꾸준히 대응책을 마련할 수 있게 되었다.

대응에 중점을 둔 EDR, 이제 어떻게 진화할까

탐지(Detection)는 가능하되

대응(Response)에서는 확실한 해법을 내세우지 못하던 ‘EDR’ 이었지만

‘ATT&CK’의 공개는 흐름을 바꿔 놓았다.

EDR 기업들은 해당 프레임워크를 활용하기 시작했고,

그 결과 EDR은 높은 수준의 악성행위 대응전략을 사용자들에게 보장할 수 있게 되었다.

다시 말하면 모두가 일정 수준의 대응방식을 취할 수 있게 되었다

TI(Threat Intelligence: 위협 인텔리전스) 연동의 경우

EDR 기업 모두 정확도를 높이기 위해 타사의 DB를 구매/공유하므로 큰 차이가 없다.

해쉬차단 역시 서로 공유하는 구조이기 때문에 데이터의 품질은 동일하다.

머신러닝, 딥러닝은 현재 모두 같은 출발 선상에 있기에 비교하기에는 무리가 있다.

어떻게 보면 또 다른 경쟁시장이 등장했다.

독보적인 강점을 가진 EDR로 살아남아야 하는 시대가 온 것이다.

EDR은 인수합병 중

엔드포인트 보안의 흐름이 EDR로 굳혀진지는 오래됐다.

실제 환경에서 정보 탈취행위, 악성코드 주입, 데이터 파괴/암호화 행위 등

보안위협이 발견되면 빠르게 대응해 정보자산을 보호하고,

확산을 막는 방식이 가장 효과적임을 알게 된 것이다.

보안 기업들은 자신의 강점에 EDR을 결합하는 방식을 취하고 있다.

글로벌 보안기업 중 일부는 EDR 기업의 인수를 진행하고 있다.

포티넷은 ‘엔실로’를 인수했다.

엘라스틱은 ‘엔드게임’을 인수했다.

VM웨어는 ‘카본 블랙’을 인수했다.

SIEM이나 클라우드 보안 등 자신의 강점을 내세운 EDR이 출시될 것이다.

DLP와 EDR

질문을 던져 본다.

“왜 회사에서는 악성코드, 랜섬웨어 감염을 막기 위해 노력할까?”

컴퓨터가 느려지니까? 업무에 방해가 되니까? 업무효율을 따지면 맞는 말이긴 하다.

가장 중요한 것은 악성코드/랜섬웨어 감염으로 인하여

내부에 보관된 정보가 탈취되거나 변조되어 발생하는 후폭풍을

사전에 차단하기 위해서 일 것이다.

내부정보의 유출/변조 시

브랜드 이미지 하락, 신뢰도 하락, 고객이탈, 소송, 형사처벌 등

겪어야 할 풍파가 끊임없이 밀려올 테니까 말이다.

앞서 이야기했지만 최초의 공격은 아무도 막을 수 없다.

그저 가능한 효과적으로 신속하게 대응하는 것이 유일한 방법이다.

대응에 우선순위를 두어야 한다.

중요한 정보가 우선 보호되어야 한다는 의미이다.

데이터 중요도에 따라 보호수준을 차별화해야 한다.

주기적으로 중요정보를 식별해서 분류할 필요가 있다.

위협감지시 중요정보부터 우선 보호하도록 구상해야 한다.

사전에 대응전략을 설정해야 사내기술정보(도면, 기밀, 특허), 개인정보 등

중요정보가 랜섬웨어에 감염돼 암호화되거나

해커에 의해 탈취되는 위험이 발생할 경우 신속하게 대응할 수 있다.

해커는 정보를 탈취하거나 데이터 파괴, 변조, 암호화를 수행할 때 네트워크를 통해 잠입한다.

달리 말하면 네트워크만 잘 통제한다면 유출행위는 막을 수 있다.

제로데이 공격으로 인해 정보유출 위기에 놓여있다고 해도

해커가 유출을 시도할 수 있는 모든 네트워크 경로를 통제하고 있다면 최악의 상황은 면할 수 있다.

해킹이 교묘해질수록 보안기술도 고도화된다

초기 악성코드는 자신의 프로그래밍 능력을 과시하기 위한 수단으로 활용됐다.

이후 경쟁사, 경쟁자의 업무를 방해하는 목적으로 사용되었으며,

시간이 흘러 기밀정보, 개인정보 등 ‘정보탈취’ 수단으로 악용되었다.

현재는 기존 데이터를 파괴, 변조, 암호화하여 데이터를 볼모로 잡고 금전적인 이득을 취하고 있다.

악성행위를 차단하고 통제할 때 마다 해커는 더 교묘한 수법으로 권한을 획득해 위협한다.

해킹의 수법은 끝이 없어 하루에도 변조된 기법만 수백 수만개가 생성된다.

일일이 시그니처를 파악해 업데이트 하는 것은 시간이 오래 소요되고 인력소모가 크다.

샌드박스를 이용하는 것은 이미 회피능력이 탑재된 악성코드에게는 무용지물이다.

실제 상황에서 발생한 데이터를 토대로 그들이 더 이상의 전술을 펼치지 못하도록 대응해야 한다.

PC에서 발견한 악성행위 정보와 대응방식은

EDR 서버에 전송해 전세계 모든 PC에 악성행위가 전파, 확산되지 않도록 방어하는 것이

현재 개발된 보안기술 중 가장 효과적인 방식이다.

해커가 신박한 방법으로 기술을 개발해 우리를 교란시킬 수록, 우리도 진화한다.

정답은 EDR이다.

참고자료:

https://attack.mitre.org

https://www.mitre.org

http://www.etnews.com/20191101000018

http://news.heraldcorp.com/view.php?ud=20191021000851

https://byline.network/2019/08/30-57/

목록

News/ Event

글로벌 EDR 트렌드 그리고 ‘DLP’와 ‘EDR’

[칼럼] | 2019-10-14

DLP와 EDR 결합 통해 악성행위 차단하고주요한 정보 우선적으로 보호해야

– 소만사 부사장 최일훈

2018년 EDR 트렌드

작년의 대세 역시 EDR이었다.

다만 2018년에는 Detection(탐지)의 성향이 강한 솔루션이 주를 이루었다.

당시의 EDR 솔루션들은 적극적으로 행위를 제어하는 것 보다는

엔드포인트에서 발생하는 이슈들을 최대한 수집하고 분류한 후

보안관리자가 대응할 수 있도록 도와주는 포렌식 도구의 느낌이 강했다.

즉, 정보는 수집하여 줄 수 있으나 판단과 대응은 보안담당자에게 맡기는 구조였다.

ATT&CK, EDR에 대응력을 불어넣다

이런 상황을 보완하고자 하는 움직임이 있었다.

미국의 비영리 단체인 ‘MITRE’에서 ATT&CK 모델을 발표했다.

ATT&CK은 사이버공격 관련 킬체인 관리보고서다.

킬체인은 본래 군사용어로 공격형 방위시스템을 일컫는다.

정보보안업계에서 킬체인은 ‘사이버 공격 방위시스템’으로 이해하면 되겠다.

ATT&CK은 2015년 발표된 후 조금씩 개선/고도화됐다.

2018년 봄에는 상세한 기법과 함께 정리된 데이터를 오픈소스로 공개했다.

그리고 이 시점부터 EDR 기업들은 ATT&CK을 적극적으로 활용하기 시작했다.

ATT&CK은 initial access, execution, discovery, Exfiltration 등

11개의 전술과 각 전술에서 사용되는 기법들을 일목요연하게 정리했다.

각 기업에 관한 설명, 탐지방법, 기법을 사용한 해킹그룹의 사례도 제공하고 있다.

더 나아가 각 엔드포인트 보안제품군이

각 기법들에 대해 어떻게 대응하고 있는지 확인이 가능해

자사제품과의 객관적인 평가가 가능하다.

ATT&CK을 토대로 EDR 기업들은

각 공격기법에 대해 적극적으로 대응할 수 있게 되었다.

2018년은 Detection의 비중이 컸다면 2019년은 Response로 조금 더 진화했다.

국내 EDR 역시 ‘대응’에 초점

글로벌 트렌드에 맞추어 국내 EDR 솔루션 역시 대응(Response) 중심으로 변화하고 있다.

탐지엔진의 위치를 엔드포인트로 과감하게 변경하고 있다.

공격이 감지되면 바로 대응(Response) 할 수 있도록 조치하는 것이다.

2019년의 EDR은 ‘Endpoint Detection’에 ‘& Response’가 강화됐다.

정확하고 신속한 위협대응으로 확산을 막는 것이 현실적으로 가능해졌다.

EDR이 극복해야 할 과제

때때로 이런 질문을 받는다.

“EDR이 탐지했을 때는 이미 최초의 PC 한 대는 감염된 것 아닌가요? 그건 감염사고잖아요.”

맞는 말이다. 전세계에서 최초 한 번은 감염된다.

다만, 그 이후 우리회사뿐만 아니라

EDR이 도입된 전세계 다른 엔드포인트 감염은 막을 수 있다.

EDR은 신종/변종 발견시 기존 대응 솔루션보다 신속하고 자동화된 대응능력을 가졌다.

실제 엔드포인트단에서 프로세스행위 기준으로 분석하기 때문에

정확한 패턴분석력을 가지고 있다.

물론 단점도 있다.

파급력이 어마어마한 악성코드, 바이러스를 실시간으로 대응하기 위해서는

작은 정보도 놓치지 않고 수집해야 한다.

그래서 엔드포인트에서 정보를 광범위하게 수집한다.

엔드포인트 부하가 발생할 수밖에 없다.

악성코드, 바이러스는 PC와 서버뿐만 아니라 모바일 환경에도 영향을 끼친다.

그러나 모바일 플랫폼의 EDR은 아직 출시되지 않았다.

아직까지는 모바일 환경에서의 악성코드, 바이러스, 랜섬웨어 차단은

기존의 시그니처 방식을 이용하고 있다.

스마트폰 활용이 보편화돼 자유로운 웹서핑이 가능해진 요즘,

모바일을 위한 EDR의 필요성이 대두되고 있다.

DLP(Data Loss Prevention:내부정보유출방지)와 EDR

EDR(Endpoint Detection & Response)은 말 그대로 엔드포인트 탐지 및 대응 솔루션이다.

엔드포인트 단에서 무엇인가를 탐지하고 대응하는 행동을 한다.

여러 업체들이 EDR 시장에 들어와 자신의 제품을 선보이고 있지만

우월한 성능을 자랑하고 있는 곳은 극소수이다.

하지만 이들은 EDR에 특화된 기업이다.

그래서 어떤 정보가 더 중요하며 유출되어서는 안되는지 구분하지 못한다.

중요한 정보와 그렇지 않은 정보를 구분해서 보호하지 않는다.

회사 등산대회에서 찍은 단체 사진과 2019년 신규가입 고객정보파일이 있다고 하자.

둘 다 랜섬웨어로 인하여 암호화되었다면 어떤 파일이 더 치명적인 문제를 일으킬 수 있을까?

대응에도 우선순위가 있다. 중요한 정보가 우선 보호되어야 한다.

PC 안에 보관된 개인정보파일, DB/서버 내 고객 데이터베이스,

네트워크를 통해 전송시도된 개인정보파일 등을

통합적으로 연계, 관리하는 솔루션이 필요하다.

이를 통해 중요정보 오염에 선제적 대응을 할 줄 알아야 한다.

즉 무엇을 지켜야 하는지 알고 지켜야 한다.

소만사의 EDR 솔루션은 DLP와 연계됐다.

정보의 우위를 알기에 비상상황 발생시 중요정보부터 우선 보호가 가능하며,

유출통제기능으로 정보유출을 차단하기에 우월하다.

개인정보보호 솔루션은 그 동안 두 단계의 변화를 겪었다.

처음에는 개인정보 파일 검출, 삭제, 암호화를 통해 위험요소를 제거했다.

두번째는 매체, 출력물, 네트워크를 통한 유출의 경로를 차단했다.

이제는 DLP와 EDR의 결합을 통해 악성행위를 차단하고

주요한 정보를 우선적으로 보호해야 한다.

엔드포인트에서 탐지하고 엔드포인트에서 대응해야 한다.

더 나아가 엔드포인트를 통해 정보가 흘러나가지 않도록

네트워크와 연동하여 전방위 대응체계를 구상해야 한다.

해킹공격은 매일매일 지능적으로 고도화되고 있다.

보안 허점은 끊임없이 늘어난다.

EDR을 통해 방어하고 대응해야 할 때다.

https://www.dailysecu.com/news/articleView.html?idxno=73316

목록