News/ Event

“EDR 시장 확대…20년 신뢰 계속 이어 갈 것”

[보도자료] | 2019-12-31

지난 20여 년간 데이터 보호 전문기업으로 신뢰를 쌓아온 소만사(대표 김대환)는

올해 DLP 기반 EDR 솔루션을 출시하며 새로운 시장에 도전장을 내민 의미있는 한 해를 보냈다.

2020년 상반기, 기존 엔드포인트 DLP 솔루션을 사용하고 있는

엔터프라이즈 기업, 중앙부처, 금융권을 중심으로 고객 확대를 계획하고 있으며

5년 정도 단계적인 시장 확대를 기대하고 있다.

소만사가 구축사이트만 1천여 곳, 유지관리 고객사이트는 700여 곳에 달한다.

20여 년간 보여준 안정적인 서비스지원 정책과 끊임없는 기술개발을 토대로

2020년에도 보안시장에서 더 큰 신뢰를 쌓아가려 하고 있다.

다음은 소만사 김대환 대표와 일문일답 내용이다.

소만사 사업 성과는

2019년의 큰 성과는 DLP 기반 EDR 솔루션 ‘Privacy-i EDR’을 출시했다는 점이다.

새로운 시장에 도전하는 단계이지만 소만사의 강점인 DLP 기술을 토대로 EDR 시장에서 세를 잡고자 한다.

고객사 확보 측면에서는

웹프록시 기반 유해사이트 차단 솔루션 ‘WebKeeper SG’와 네트워크DLP 솔루션 ‘Mail-i Proxy’를

대기업, 제1금융권, 공공기관 100곳 이상에 수주했다.

제1금융권 대다수는 소만사의 웹프록시 기반 솔루션을 사용하고 있다.

소만사 주력 솔루션에 대한 소개

소만사는 데이터보호 전문업체이다. 데이터가 공격받는 양상은 크게 두 가지다.

첫번째는 데이터의 외부 유출이며,

두번째는 데이터의 파괴, 변조, 암호화이다.

랜섬웨어를 떠올리면 된다.

소만사는 20년동안 데이터유출통제(DLP; Data Loss Prevetion) 관련 문제에서는 적극적으로 대응해왔다.

국내 1위이며 아시아 1위 DLP업체라고 자부하고 있다.

그러나 유출통제만으로 데이터를 보호하는데는 한계가 있었다.

2~3년 전부터 극성을 부리고 있는 랜섬웨어에 의해 공공·기업들이 큰 피해를 입었다.

신종 랜섬웨어의 경우 네트워크에서 유해사이트나 악성코드를 차단하는 것만으로는 한계가 있었다.

이에 데이터보호를 위한 토탈 서비스를 제공할 필요를 느꼈다.

소만사는 바이러스 차단 솔루션을 뛰어넘은 차세대 악성코드 통제기술인

‘엔드포인트 탐지 및 대응(EDR)’ 솔루션을 개발, 출시하게 되었다.

소만사 ‘Privacy-i EDR’은 기존 DLP 솔루션에 EDR 기능을 일체화했다.

DLP솔루션과 함께 운영하기에 가지고 있는 다음과 같은 장점을 십분 활용하고자 한다.

첫번째, 데이터의 중요도에 따라 보호수준을 차별화할 수 있게 되었다.

보안위협 발생시 기밀정보/개인정보 등 중요정보부터 우선 보호한다.

두번째, 기존 엔드포인트 DLP 솔루션 ‘Privacy-i’를 사용하고 있는 기업은

PC에 에이전트 추가없이 EDR 기능을 추가하여 사용할 수 있다.

대부분 기업의 경우 PC에 보안에이전트를 6개정도 설치, 사용하고 있다.

‘Privacy-i EDR’을 구축할 경우 더 이상의 에이전트 추가는 없다.

‘Privacy-i’는 PC보안, 매체제어, 출력물 보호 솔루션 에이전트 등을 대체할 수 있기에

되려 에이전트 개수를 줄일 수 있다.

물론 프로젝트 수행기간도 단축시킬 수 있다.

세번째, 통합 사이버 킬체인 보고서인 ‘MITRE ATT&CK’ 프레임을 반영했다.

최근의 추세는 ‘EDR 솔루션’에 ‘MITRE ATT&CK’을 얼마나 많이 적용하였는지에 따라

‘솔루션의 성능’이 평가되고 있다.

소만사는 2020년 상반기에는 기존 엔드포인트 DLP 솔루션을 사용하고 있는

엔터프라이즈 기업, 중앙부처, 금융권을 중심으로 고객을 확대하려고 한다.

5년정도 단계적인 시장 확대 계획을 가지고 있다.

소만사 주력 사업에 대한 2020년 전망은

EDR은 한동안 시장 형성에 어려움을 가지고 있었다.

안티바이러스 솔루션(백신)을 대체할 솔루션으로 인지한 보안담당자들에게는

‘보안담당자의 개입’에 대한 부담이 있어 외면당했다.

EDR은 보안위협을 탐지는 하되, 대응은 보안담당자의 판단으로 수행했기 때문이다.

망분리도 EDR 시장확대에 어려움을 준 요인이다.

인터넷환경과 분리되어 있기에 악성코드, 랜섬웨어 등의 보안위협을 차단하는

‘전가의 보도’로 인식되어 왔기 때문이다.

APT 대응 솔루션의 성장도 EDR에 영향을 줬다.

샌드박스를 통해 악성행위를 탐지하고 차단하는 방식이 있으니

굳이 실제 환경에서의 보안위협을 탐지할 필요가 없다고 생각했기 때문이다.

이와 같은 인식은 2019년에 바뀌었다.

미국 비영리 연구개발 단체 ‘Mitre(마이터)’에서 사이버공격 킬체인 보고서 ‘ATT&CK’을 발간했다.

공격기법과 피해경감기법을 수록해 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다.

그 결과 ‘대응’기능이 향상되어 EDR의 완성도가 높아졌다.

망분리의 경우 정책상으로는 완벽한 망분리 정책을 가지고 있어도

회사 직원 단 한 사람이 몰래 인터넷망을 열어놓을 경우 무너진다.

인터넷이 연결된 단 하나의 PC를 통해 침투할 수 있기에 안전하지 못하다.

APT 대응 솔루션의 경우 샌드박스를 탐지하고 우회하는 악성코드가 생겨났다.

샌드박스를 인식하면 활동을 멈추거나 일정시간이 흐른 후 활동을 시작한다.

기존 APT 대응 솔루션으로는 탐지할 수 없다.

이러한 배경에서

악성코드 활동이 실제로 발생하는 엔드포인트(PC, 서버 등) 구간에서 행위정보를 수집,

악성코드를 분석하는 EDR 솔루션이 차세대 보안솔루션으로 떠오르고 있다.

그렇기에 많은 기업들이 EDR 시장에 진입해 제품을 선보이고 있다.

2020년 소만사 주요 사업에 대한 국내•외 전략과 목표는

2019년 보안시장에 몇 가지 변화가 있었다.

글로벌 DLP 경쟁사는 인수합병으로 인해 조직상의 변화를 겪었다.

보안솔루션은 구축에 상당한 비용이 든다. 또 도입 기업의 전산시스템과 밀접하게 닿아있다.

그래서 주기적인 보안 업데이트가 필요하다.

보안담당자는 지원이 안정적인 제품을 구매하고 싶어한다.

소만사는 제품 개발, 구축, 유지관리서비스를 20여 년간 수행하고 있는 기업이다.

구축사이트만 1천여 곳이며 유지관리 고객사이트는 700여 곳에 달한다.

20여 년간 보여드린 안정적인 서비스지원 정책과 끊임없이 연구한 제품기술력을 토대로

보안시장에서 조금 더 신뢰를 쌓아가려고 한다.

끝으로 전하고 싶은 말이 있다면

국내 IT시장은 글로벌 IT시장과 비교했을 때 작은 규모이다.

약 1~2%정도다. 민간시장은 외산제품의 공세가 거센 편이다.

미국기업은 연간 1조원 안팎의 R&D를 투자하는 기업도 10개나 된다.

투자규모만 보면 국내기업은 상대가 되지 않는 것이 현실이다.

그러나 골리앗을 다윗이 이긴 것처럼 외형만이 전부가 아니며 희망은 어디에서나 찾아낼 수 있다.

지난 20여년간 국내 보안담당자들과 끊임없이 성장하고 개인정보를 지켜 온

국내 보안기업에 많은 관심과 기회를 부탁드린다.

★정보보안 대표 미디어 데일리시큐!★

출처 : 데일리시큐(https://www.dailysecu.com)

https://www.dailysecu.com/news/articleView.html?idxno=91561

목록

News/ Event

소만사 DLP 기반 EDR 솔루션 ‘Privacy-i EDR’

[보도자료] | 2019-12-24

소만사 (대표 김대환) ‘Privacy-i EDR’이

전자신문 2019년 하반기 인기상품에서 품질우수 상품으로 선정됐다.

지능화된 악성코드는 소스 안에 의미없는 행동인 노이즈를 섞어 악성코드의 농도를 옅게 만든다. 이를 통해 안티바이러스 솔루션을 회피한다. 때때로 APT 솔루션 탐지기능을 탑재하거나 초기 접속 후 일정 시간이 지난 후 활동을 개시하도록 악성코드를 만들기도 한다. APT 대응 솔루션을 우회하기 위해서다.

악성코드를 심은 해커는 초기 접속 성공하게 된다. 이후 PC내에서 권한상승을 조작하고 중요정보를 획득하게 된다. 해커는 PC, 서버와 같은 엔드포인트에서 대량의 개인정보/기밀정보를 유출하거나 파일을 변조, 파괴, 암호화시킨다. 이는 기업의 가치를 하락시킨다. 형사소송, 손해배상 소송 등 금전적 손해와 동시에 고객의 신뢰와 브랜드 이미지를 추락시킨다.

새로운 악성코드 공격방식은 매우 치밀하고 영리하다. 기존의 솔루션으로 일거에 방어하기란 사실상 어려워졌다. 신기술이 제시되었다. 악성행위가 실제로 발생하는 엔드포인트 단에서 행위정보를 수집하는 것이다. 실제 정보를 수집한 후 실시간으로 대응해 신규 악성코드, 변종바이러스, 이미 알려진 바이러스에 대응하는 기술이 바로 EDR(엔드포인트 위협 탐지 및 대응) 솔루션이다.

정보가 공격받는 양상은 크게 두가지로 나뉜다. 첫번째는 외부공격에 의한 정보유출이다. 두번째는 정보의 파괴, 변조, 암호화이다. 우리에게 익숙한 랜섬웨어를 떠올리면 된다. 소만사는 정보유출차단에 관한 문제에서는 적극적으로 대응해왔다. 다만 랜섬웨어 공격을 통해 정보가 파괴, 변조, 암호화되는 문제에서는 적극적으로 대응하지 못했다. 기존 유해사이트 차단 솔루션으로 네트워크부터 엔드포인트까지 통제하는데 한계가 있었기 때문이다.

소만사는 자사 엔드포인트 DLP(내부정보 유출방지) 솔루션 ‘Privacy-i’에 EDR 기능을 탑재했다. 이를 통해 다음과 같은 강점을 가질 수 있게 되었다.

첫번째, 데이터의 중요도에 따라서 보호수준을 차별화한다. 주기적으로 엔드포인트 안에 보관된 주요 기밀, 개인정보를 식별한다. 악성행위 등 보안위협 감지될 경우 엔드포인트에 설치된 탐지엔진이 기밀정보/개인정보 같은 중요정보부터 우선 보호한다. 회사기밀정보, 고객정보 등 중요정보의 랜섬웨어 감염, 정보탈취 및 유출에 신속하게 대응할 수 있다.

두번째, ‘Privacy-i’를 보유 중인 기업은 에이전트 추가없이 기존 ‘Privacy-i’ 에이전트에 EDR 기능을 추가하여 사용할 수 있다. 이를 통해 엔드포인드 DLP만 설치했던 기업도 에이전트 업그레이드 하나만으로 악성코드 차단부터 유출통제까지 전 구간의 데이터보호를 수행할 수 있게 된다. 기존 설치된 에이전트에 EDR을 추가하는 방식을 사용하기 때문에 프로젝트 기간도 단축시킬 수 있다.

세번째, 통합 사이버 킬체인 보고서인 ‘MITRE ATT&CK’ 프레임을 반영했다. 악성행위의 전술부터탐지방법, 피해경감기법까지 모두 적용해 탐지 및 대응을 고도화했다. 최근의 추세는 ‘EDR 솔루션’에 ‘MITRE ATT&CK’을 얼마나 많이 적용하였는지에 따라 ‘솔루션의 성능’이 평가되고 있다.

소만사 최일훈 부사장은 “소만사는 창립이래로 23년간 정보보호에 집중투자하고 있다. DLP, DB접근제어, 악성코드 차단 등 개인정보보호 솔루션만 만들어 왔다. 회사 내 모든 곳에 저장된 정보의 중요도를 구분하고 통합 관리할 수 있는 기업은 소만사 하나뿐” 이라며 “이후로도 모바일 EDR, EDR 빅데이터 분석 플랫폼 개발 등 기존제품을 고도화할 수 있는 기술을 개발해 고객들에게 제공하고자 한다.” 고 말했다.

‘Privacy-i EDR’은 기존 엔드포인트 DLP 솔루션을 사용중인 기업, 공공, 금융기관 중심으로 레퍼런스를 확보하고자 한다. 2020년 하반기에는 신규고객 확보에도 힘을 쏟고자 한다.

목록

News/ Event

“보안전문가로 30년 일하는 근무 환경 만든다”

[보도자료] | 2019-12-24

[데이터넷] “보안 전문가로 30년 일하는 근무 환경을 만드는 것이 비전이다.”

김대환 소만사 대표는 “우리나라는 사람이 산업의 핵심이지만, 빠르게 변하는 IT의 특성상 한 분야에서 10년 이상 종사하는 것이 쉽지 않다. 그래서 소만사는 서비스 모델로 안정적인 수익을 올리면서 해외 진출에 나서 100년 지속할 수 있는 경영 모델을 만들고 있다. 한 솔루션으로 1만곳 이상 고객에게 공급하면서 업계 최고의 기술 기업으로 인정받으면서 수익 안정성을 높여서 인재들이 30년 이상 근속하면서 발전할 수 있도록 하는 것이 목표”라고 말했다.

소만사는 국내 1세대 보안 기업으로, 개인정보 보호에 특화된 솔루션을 개발해 공급하는 전문기업이다. 소만사에 대한 업계의 평가는 ‘탄탄한 고객을 기반으로 안정적인 수익을 올리면서 성장하고 있는 보안 전문기업’이다.

백화점식 방만한 경영으로 비즈니스를 빠르게 확장하기보다는 기존에 경쟁력을 인정받은 제품의 가치를 높일 수 있는 기술을 하나씩 더하면서 차근차근 성장해나가는 기업으로 인정받는다. 이 같은 평가를 받는 배경에는 ‘사람’이 있다고 김대환 대표는 밝힌다.

그는 “소만사는 자체 연구인력을 통해 제품을 개발하기 때문에 기존 솔루션과 완벽하게 통합될 수 있는 완성된 신제품을 출시할 수 있다. 높은 안정성과 유연한 통합 능력, 고도화된 위협 탐지 및 대응 능력을 갖추었기 때문에 다양한 산업군, 다양한 규모의 고객들에게 선택받아온 것”이라며 “임직원은 소만사의 핵심 자산이며 경쟁력이다. 이를 잘 지키고 유지하기 위해 많은 노력을 기울이고 있다”고 말했다.

통합·자동화로 위협 대응 능력 높이고 관리 복잡성 줄여

소만사는 엔드포인트·네트워크·DB DLP와 유해사이트 차단 솔루션, 웹 프록시, 메신저 보안 등을 공급하고 있다. 가트너 매직쿼드런트 엔터프라이즈 DLP에 등재되면서 글로벌 기술 역량을 인정받은 바 있다.

소만사는 핵심 솔루션을 기반으로 보안 역량을 확장하는 업셀링 전략으로 사업을 확대하고 있다. 네트워크 DLP·유해사이트 차단 솔루션과 통합될 수 있는 SSL/TLS 처리 솔루션을 출시하며 1년여 만에 100여곳의 고객을 확보했다. 최근에는 엔드포인트 DLP와 통합되는 EDR을 출시하고 대규모 기업과 기관 다수에 공급하는 성과를 올렸다.

또한 클라우드 보안 서비스(SECaa) 사업을 본격적으로 시작하면서 해외 시장 진출에도 나설 계획이다. 소만사의 핵심 경쟁 솔루션을 클라우드를 통해 서비스함으로써 중소기업이나 해외 고객들도 쉽게 솔루션을 도입할 수 있도록 한다.

김대환 대표는 “고객은 이미 너무 많은 보안 제품을 사용하고 있어서 새로운 유형의 위협에 대응하기 위해 또 다른 새로운 제품을 도입해야 한다는 것에 긍정적이지 않다”며 “관리 복잡성을 증가시키지 않고 신종 위협 대응을 위한 방법은 ‘통합과 자동화’이다. 소만사는 기존 솔루션과 유연하게 통합될 수 있고 자동화된 관리를 통해 보안 담당자의 업무를 줄여 더 고급 위협에 집중할 수 있도록 도와주는 기술을 지속적으로 개발해 나갈 것”이라고 밝혔다.

그는 “소만사는 세계 최고로 복잡한 네트워크 환경을 가진 대한민국을 위한 세계 최고의 네트워크 DLP를 개발한 회사”라며 “이제 대한민국은 세계최초로 5G가 상용화됐다. 새로운 환경이 탄생했다. 최초의 5G 환경에서의 보안을 위한 솔루션은 대한민국에서 나올 것이다. 5년 후에는 세계적인 보안 기업이 한국에서 나올 수 있을 것”이라고 밝혔다.

http://www.datanet.co.kr/news/articleView.html?idxno=140087

목록

News/ Event

김대환 소만사 대표 “내년 10% 성장 목표”

[보도자료] | 2019-12-24

올해 매출 300억…내년 DLP·EDR 앞세워 시장공략 강화

[아이뉴스24 최은정 기자]

“올해 매출 300억을 달성했습니다.

내년에는 10% 이상 성장하는 게 목표입니다.”

김대환 소만사 대표는 지난 20일 기자와 만나 “단말 위협탐지·대응(EDR)과 내부정보유출방지(DLP)를 필두로 국내 시장을 공략하겠다”며 이 같은 포부를 밝혔다.

‘소프트웨어(SW)를 만드는 사람들’ 앞 글자를 딴 소만사는 올해 창립 22주년을 맞은 국내 1세대 보안기업. 창업 초기부터 데이터 보호 개인정보유출방지 솔루션 개발 및 공급에 집중해 왔다.

현재 임직원 규모는 220명 수준. 이중 170명 가량이 개발자 및 엔지니어다. 또 사내 연구소 내 품질보증(QA) 전담 인원도 스무명이 넘는다.

올해 어려운 경제환경 등에도 DLP를 중심으로 전년대비 10% 성장을 거뒀다. 소만사 DLP는 네트워크, 단말, 데이터베이스(DB) 등 제품군으로 나뉜다. 현재 LG, SK, KT, CJ, 포스코 등 대기업들이 소만사 DLP를 사용중이다.

올해 웹 프록시 시장 선점 등도 주요 성과로 꼽았다. 웹 프록시는 암호화웹통신(https)의 가시성 확보를 위한 필수 장비다. 웹 프록시를 중심으로 DLP, 침입방지시스템(IPS), 지능형지속위협(APT), 유해사이트차단 등 나머지 네트워크보안 솔루션이 연동될 수 있다.

소만사는 자체개발한 웹 프록시와 유해사이트차단솔루션, DLP솔루션을 일체화했으며, 타사 보안솔루션과 연동도 지원하고 있다.

김대환 대표는 “웹 프록시 시장을 선점해야 앞으로 5년 성장을 이끌 수 있다고 판단했다”며 “대규모 은행과 대기업에 소만사 프록시가 우세를 보이고 있다”고 강조했다.

내년에는 주요 고객을 대상으로 EDR 사업에도 본격 돌입한다.

김 대표는 “내년 상반기에는 기존 대기업 고객 DLP에 EDR 기능을 추가로 탑재하는 업데이트를 실시할 예정”이라며 “하반기에는 기업·금융·공공 등 신규 고객 확보에도 나설 것”이라고 강조했다.

그러면서 “해킹으로 인한 데이터 유출을 막기 위해 앞단에서 데이터를 보호해야 한다고 판단, EDR을 출시하게 됐다”고 설명했다.

정보보호 컨설팅 사업도 적극 진행할 계획이다. 컨설팅 영역은 개인정보관리체계인증(PIMS), 정보보호관리체계인증(KISA ISMS), 웹 애플리케이션 진단, 국가 주요정보통신 기반시설 취약점 분석·평가, 개인정보보호교육 등을 포함한다.

김 대표는 “컨설팅 인원은 처음 3명으로 시작해 현재 25명까지 늘었다”며 시장 공략에 자신감을 보였다.

최은정기자 ejc@inews24.com

http://www.inews24.com/view/1230769

목록

News/ Event

악성코드의 역사와 마이터 어택

[보도자료] | 2019-11-25

악성코드, 길고 긴 역사

악성코드. 영어로는 ‘Malware’이다.

직역하면 ‘악성소프트웨어’이다.

1971년 “프로그램도 자기복제를 할 수 있을까?”라는 의문에서 만들어진 ‘크리퍼’를 시작으로,

시간이 흘러 ‘악성코드’는 우리가 아는

컴퓨터 바이러스, 웜 바이러스, 스파이웨어, 루트 킷, 랜섬웨어 등을 통칭하는 단어가 되었다.

‘컴퓨터 바이러스’는 생물학적인 바이러스와 하는 행동이 동일하다.

실행파일(세포)에 붙어 감염을 일으키고 자가 복제한다.

물론 차이점은 있다.

생물학적 바이러스는 수백 수조개의 세포와 엉켜 있기 때문에 완전히 제거하는 것이 어렵다.

하지만 ‘컴퓨터 바이러스’에 감염된 실행파일은 구조가 단순해 위치만 파악한다면 치료할 수 있다.

제거하면 그만이다.

‘컴퓨터 바이러스’를 치료하는 ‘안티바이러스 솔루션’은 주로 예방책으로 사용된다.

바이러스의 시그니처를 바이러스 엔진에 저장해놓고

동일한 ‘시그니처’가 보일 경우 차단하여 감염을 예방한다.

‘웜 바이러스’는 기생충에 비유할 수 있다.

컴퓨터 안에서 증식하면서 메모리를 잡아먹는다.

끊임없이 번식을 하면서 또 다른 컴퓨터에 전파한다.

정보탈취 목적보다는 시스템의 마비를 통한 업무방해의 목적이 강한 악성코드이다.

바이러스와 달리 파일감염을 일으키지 않는다.

웜 바이러스 감염시에는 컴퓨터 바이러스와 동일하게 안티바이러스 솔루션을 통해 치료할 수 있다.

‘스파이웨어’는 말 그대로 스파이행동을 하는 소프트웨어이다.

드라이브 바이 다운로드(Drive By Download) 공격을 통해

사용자 몰래 사이트접속, 파일다운로드 행위를 통해 자동으로 PC에 설치된다.

원래는 마케팅 목적으로 사용자 취향정보를 수집하기 위해 개발된 프로그램이나

현재는 PC 안에서 개인정보, 기밀정보를 수집, 탈취하거나 사용자의 행동을 감시하는 역할을 한다.

‘루트킷(Rootkit)’은 PC 권한탈취를 통해

관리자 영역에 접근할 수 있도록 하는 도구라고 생각하면 이해하기 쉽다.

루트킷이 설치되면 사용자가 아님에도 불구하고

관리자 권한을 얻어 중요한 영역에 접근할 수 있으며

이를 통해 자신의 흔적을 숨길 수도 있어 탐지가 어렵다.

‘랜섬웨어’는 ‘인질의 몸값’을 뜻하는 Ransom과 소프트웨어를 뜻하는 Ware의 합성어다.

랜섬웨어는 사용자 PC에 무단으로 침투해 파일을 암호화시킨다.

크래커(해커라는 단어가 익숙하므로 이후 해커로 표기)는 해당 파일을 인질로 잡고 금전을 요구한다.

‘워너크라이’가 가장 유명하다.

위에 열거된 악성코드들은 치료/예방이 가능하다.

단, 데이터베이스에 해당 악성코드 정보가 등록되어 있다면.

즉, 데이터베이스에 해당 정보가 없는 신생 또는 변종 악성코드일 경우 속수무책으로 감염된다.

해커가 신종 취약점이나 악성코드를 통해 해킹을 수행하는 것을 ‘제로데이 공격’이라고 한다. 대책이 없기 때문에 속수무책으로 시스템이 파괴되고 정보가 탈취되고 변조, 암호화된다.

과거 악성코드는 업무에 지장을 주기위해 시스템을 마비시키거나,

시스템 파괴공격의 장기말로 활용하기 위해 사용됐다.

지금은 개인정보/기밀정보 탈취를 위한 사전작업으로 악성코드를 심어 시스템을 조작한다.

시스템 마비를 넘어 정보가 유출되기에 2차 피해까지 유발한다. 피해의 규모가 커졌다.

보안솔루션, 어떻게 기능하는가?

보안위협에 대응하는 방법은 많다.

네트워크라는 존재가 생긴 순간부터 끊임없이 투쟁해왔기 때문이다.

대표적으로 ‘안티바이러스 솔루션’을 예시로 언급할 수 있다.

‘안티바이러스 솔루션’은 패턴을 분석한 후에

악성코드가 가지고 있는 특성들을 바이러스 엔진에 업데이트하여 PC감염을 막는다.

사후처리 방식이다.

다른 PC의 감염, 확산을 막는데 목적이 있다.

다만 일일이 분석해 시그니처를 파악해야 하므로 시간이 오래 소요된다.

또한 하루에도 수백만개의 변종이 발생하기 때문에

모든 변종 바이러스를 커버하는데 시간과 인력이 많이 투자된다.

신규공격의 초기방어, 기존 악성코드 차단을 위한 대안 솔루션이 나왔다.

‘APT 대응 솔루션’ 이다. 가상환경에서 행위를 테스트하고 이상이 없으면 접근을 허용한다.

그러나 요즘 악성코드들이

‘APT 대응 솔루션’의 시야에서 벗어나기 위한 대비책을 구상하기 시작해 무실해졌다.

샌드박스 환경을 감지하는 기능을 추가하거나 일정시간이 지난 후 악성행위를 수행하는 방식으로

‘APT 대응 솔루션’을 피해간다.

악성코드에 아무 의미 없는 행동을 섞어서(노이즈) 악성코드의 농도를 옅게 만들기도 한다.

샌드박스는 쉴새없이 들어오는 패킷을 모두 확인해야 한다.

조금이라도 느려지거나 마비가 된다면 업무 효율성이 떨어지게 된다.

그렇기에 ‘APT 대응 솔루션’은 1차 필터링을 진행한 후 알맹이만 남겨서 분석을 수행하기도 한다.

99.999% 보안은 가능할지라도 0.001%의 확률로 악성코드에 감염된다면 보안의 허점이 된다.

실제 환경에서의 데이터를 토대로 대응 필요

가상환경에서 테스트하는 것, 일부 시그니처를 통해 판별하는 것은 현재 시류에 맞지 않다.

‘제로데이 어택’의 비중이 높아지는 요즘, 오차 범위는 줄여야 한다.

신속하게 확산을 막을 수 있어야 한다. 실제환경에서 나타나는 증상을 토대로 정확한 진단을 내려야 한다.

대세로 떠오르고 있는 솔루션이 ‘EDR’이다.

엔드포인트 위협 대응 및 탐지솔루션이다.

엔드포인트에서 발생하는 모든 행위를 파악하고 보안위협이 발생할 경우 신속하게 대응한다.

기술명으로는 완벽하다. 세상의 모든 위협을 다 탐지해 해결해줄 수 있을 것 같다.

문제는, 포착된 행위가 악성행위인지 판단하기가 쉽지가 않다는 것이다.

또는 악성행위임은 판단했는데 어떻게 대응해야 하는지 감이 잡히지 않아

치료나 방어 등 대응에 관해서는 적극적이지 못한 경우가 대다수였다.

해킹기법은 공격대상에게 혼란을 주기 위해 복잡하게 설계되기에,

타깃이 된 주체는 무엇부터 처리해야 하는지 대책이 서지 않는 경우가 많았다.

EDR의 중요성은 피력했지만,

악성행위 감지까지는 이루어 냈지만,

대응에서 발목이 잡힌 것이다.

작년까지만 해도 EDR의 타이틀을 걸고 나온 제품은

사실 ‘ED(Endpoint Detection)’였다.

R(Response)이 부족했다.

그래서 매년 ‘곧 대세가 될 솔루션’, ‘차세대 보안솔루션’이라고 언급만 되었을 뿐,

실제 도입 및 레퍼런스는 부족한 실정이었다.

알려진 처방법이 없다면 대증치료가 필요하다

치료할 수 있는 질병이라면 기존에 보유한 의과적 지식, 백신, 항생제 등을 토대로 해결할 수 있다.

하지만 상황 파악조차 안되는, 생전 처음 겪어보는 증세를 발견했다면

우선 ‘대증요법’을 통해 하나하나 대처해 나가야 한다.

통증이 심한 경우 진통제를, 열이 나면 해열제를,

항체가 부족하면 항제주사를 주입하는 방식으로 말이다.

시스템 계정에 관한 ‘무차별 대입공격’을 실행하는 행위가 감지되었다면

가장 먼저 해당행위를 하는 IP를 차단해버리는 방식을 취해야 할 것이다.

SMB(Server Message Block)취약점을 이용한 랜섬웨어가 발견되었을 경우

SMB포트를 차단하여 확산경로를 막아야할 것이다.

문제는 이 대증요법 마저도 초기 EDR 솔루션으로는

온전히 보안담당자의 판단에 따라 대응했기에

정확도가 떨어졌고 대응 속도도 느린 것이 문제였지만 말이다.

사이버 공격에 관한 해킹기술, 증상, 대응방법을 총망라한 바이블이 필요한 시기가 왔다.

참고자료:

https://namu.wiki/w/%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C

https://terms.naver.com/entry.nhn?docId=3431949&cid=58437&categoryId=58437

https://ko.wikipedia.org/wiki/%EC%BB%B4%ED%93%A8%ED%84%B0_%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4

https://www.dailysecu.com/news/articleView.html?idxno=72914

https://www.dailysecu.com/news/articleView.html?idxno=73316

목록

News/ Event

소만사, ‘Privacy-i EDR’ 출시

[보도자료] | 2019-11-20

DLP(Data Loss Prevention)와 EDR 결합으로 시너지 창출

정보탈취, 랜섬웨어 등 보안위협 발생시 개인정보와 기밀정보 우선 보호

회사 PC 안에 등산대회 단체사진과 VIP고객정보 파일이 있다고 가정해보자.

정보탈취, 랜섬웨어 등 보안사고 발생시 어떤 파일이 더 치명적인 문제를 야기할까?

개인정보보호 전문기업 소만사(대표 김대환)는

18일 자사 엔드포인트 DLP(내부정보유출방지: Data Loss Prevention) 솔루션 ‘Privacy-i’에

EDR 기능을 탑재한 엔드포인트 위협 및 대응탐지 솔루션 ‘Privacy-i EDR’을 출시했다고 밝혔다.

해커들의 공격은 갈수록 고도화되고 있다.

하루에도 수십만개의 변종 악성코드가 새롭게 생성되고 발견된다.

새로운 해킹 기술이 나타난다.

기존 안티바이러스 솔루션으로는 효과적으로 대처할 수가 없다.

이러한 배경에서 실제로 해킹이 일어나는 엔드포인트 단에서

행위 정보를 실시간 수집, 분석, 차단하는 방법이 새로운 대안으로 제시되고 있다.

EDR(Endpoint Detection & Response)이다.

연구개발을 총괄하는 최일훈 소만사 부사장은

“소만사는 창립이래로 23년간 데이터 보호에 집중투자하고 있다.

데이터가 공격받는 양상은 크게 두가지로 나뉜다.

첫번째는 외부공격에 의한 유출이다.

두번째는 데이터의 파괴 또는 암호화이다.

우리가 잘 아는 랜섬웨어를 생각하면 된다“며

“소만사는 DLP를 통해 외부로의 유출통제는 효과적으로 방어해왔다.

다만 랜섬웨어 공격 등을 통해 데이터가 파괴, 암호화되는 문제에서는

적극적으로 대응하지 못했던 것이 사실이다.

유해사이트 차단 솔루션으로

네트워크부터 엔드포인트까지 통제하는데에는 한계가 있었기 때문이다.

이에 소만사는 EDR과 DLP를 결합하여

완벽한 데이터 보호를 고객에게 약속하고자 한다“고 말했다.

https://www.dailysecu.com/news/articleView.html?idxno=80280

목록

News/ Event

클라우드 기반 네트워크DLP ‘Mail-i cloud’ 출시

[보도자료] | 2019-10-18

“소만사, 엔드포인트부터 네트워크까지

전 구간 개인정보 유출 위험 클라우드 기반 서비스로 통제, 보안 가능”

소만사(김대환 대표)는 클라우드 기반 네트워크DLP 서비스

‘Mail-i Cloud(메일아이 클라우드)’를 출시했다고 17일 밝혔다.

해커가 개인정보를 탈취한 후 밖으로 유출시키는 유일한 통로는 인터넷이다.

웹메일, 웹하드, 웹게시판, FTP, Telnet 등 인터넷으로 나가는 경로만 제대로 통제한다면

개인정보가 탈취되었더라도 마지막 단계에서 막아낼 수 있다.

네트워크를 통한 정보유출을 차단하기 위해서는 하드웨어 장비를 사내에 설치해야 한다.

오고 가는 수십기가 바이트 트래픽을 안정적으로 분석해야 하기 때문이다.

해당 방식은 초기투자비, 서버실, 전담관리자 등 고정비용이 수반됐다.

하드웨어 기반이기에 웹서비스 패턴이 변경될 경우 보안담당자 없이는 실시간 대응이 어려웠다.

보안인력이 충분하지 않아도, 물리적 인프라가 구성되어 있지 않아도

실시간으로 보안위협에 대처할 수 있는 네트워크DLP의 필요성이 대두됐다.

‘Mail-i Cloud’에 대해 소만사 측은

“이메일, 웹메일, 웹하드 등 인터넷 프로토콜을 통한 개인정보 유출을 차단하고

패킷분석 방식으로 개인정보 포함여부를 분석하므로

본문, 첨부파일, 압축파일로 유출을 시도해도 검출해낸다.

그리고 로그저장, 검색, 리포팅 기능이 있어 감사자료로도 활용할 수 있다”고 설명했다.

또 ‘Mail-i Cloud’에는 SSL/TLS 가시성 확보를 위한 웹프록시 기술이 적용됐다.

기획단계부터 DLP와 웹프록시를 일체화 할 수 있도록 구상해 성능이 안정적이다.

가시성을 확보한 후 패킷 내 개인정보를 분석하므로

기존 솔루션으로는 불가능했던 사전통제가 가능하다.

이 서비스는 한국전자통신연구원(ETRI)이 개발한

‘클라우드 기반 맞춤형 보안서비스’의 일환으로 개발됐다.

‘클라우드 기반 맞춤형 보안서비스’는

과학기술정보통신부 정보보호핵심 원천기술 개발사업의 지원을 받아 개발된 오픈 플랫폼이다.

한편 ‘Mail-i Cloud’는 해당 환경에서 빅데이터 분석 플랫폼과의 연동을 통해

1년치 데이터 속에서 원하는 정보를 3분내로 찾아낼 수 있다.

https://www.dailysecu.com/news/articleView.html?idxno=74416

목록

News/ Event

소만사, ‘SAP 접근통제 솔루션’ 인증 재획득

[보도자료] | 2019-10-14

[디지털데일리 홍하나기자]

소만사(대표이사 김대환)는 SAP 접근통제 솔루션 ‘App-i’가

SAP본사에서 부여하는 SAP인증을 재획득했다고 10일 밝혔다.

SAP본사가 ‘App-i는 SAP 환경에서 안정적으로

개인정보 접근통제를 수행할 수 있음’을 입증했다는 것이라고 설명했다.

SAP은 전세계 190개국 이상에서 삼성을 비롯한 글로벌 대기업들이 사용하는 ERP시스템이다.

‘App-i’는 SAP을 통해 개인정보에 접근한 개인정보조회자 정보를 기록한다.

IP, ID, 접속시간 등을 모두 기록하기 때문에

누가 개인정보 유출을 했는지 추적할 수 있다는 것이 회사 측의 설명이다.

http://www.ddaily.co.kr/news/article/?no=186730

목록

News/ Event

탐지를 넘어 직접적인 대응으로, EDR-①

[보도자료] | 2019-10-08

[탐지를 넘어 직접적인 대응으로, EDR-①]

왜 엔드포인트 위협탐지대응(EDR) 솔루션인가

왜 모두가 EDR을 외치는가?

EDR은 왜 필요한가?

사후처리 방식의 안티바이러스(Anti-Virus) 솔루션

안티바이러스 솔루션은 바이러스 패턴을 분석하여 진단한다.

이후 바이러스 엔진에 업데이트하여 다른 PC의 감염, 확산을 막는 사후처리 방식을 사용한다.

그래서 최초의 바이러스, 악성코드를 사전에 차단하는 것은 불가능했다.

우선 감염된 후에 패턴을 파악하고 엔진에 업데이트를 해서 확산을 막는 것이 주된 방식이었다.

또한 분석에는 오랜 시간이 소요됐다.

수천, 수만 대 PC가 감염되고 난 다음에야 대응책이 나오는 경우도 있었다.

랜섬웨어는 PC 한 대 감염으로

사내 네트워크 내 파일을 모두 암호화해 사내 업무환경을 초토화시켜 버린다.

사후 대응방식인 안티바이러스 솔루션으로는 재빠르게 대응할 수 없다.

그리고 최근에는 난독화 기법 등 기존 악성코드를 살짝 변형시킨 변종을 만드는 것이 쉬워지면서

1년에 수백만 개의 변종바이러스가 생성되고 있다.

변종이라 하더라도 모든 패턴을 일일이 업데이트해야만 차단할 수 있다.

분석에 많은 인력이 투입될 수밖에 없다.

모 안티바이러스 솔루션 업체 부사장의 입에서

“안티 바이러스는 죽었다(Antivirus is dead)”라는 말이 나오는 이유다.

샌드박스 분석 기법을 이용해 악성코드 여부를 판단하는 APT 대응 솔루션

안티바이러스 솔루션의 기술적 한계를 극복하기 위해 나온 것이

‘지능형 지속공격(APT) 대응 솔루션’이다.

APT 대응 솔루션은 파일이 실행될 때의 행위를 통해 악성코드 여부를 판단한다.

파일이 실행되거나 웹사이트에 접속했을 때

새로운 프로세스를 생성하거나 레지스트리 변경을 시도하거나,

파일 다운로드 행위를 한다면 악성코드일 가능성이 높다고 판단하여 차단한다.

이 악성행위를 사전에 파악하기 위해 APT는 중앙집중적 샌드박스를 이용한다.

가상 PC환경을 만들어 테스트하는 것이다.

샌드박스는 한 대의 APT장비에서 수백 개를 생성할 수 있다.

그래서 보안담당자는 한 곳에서

회사전체의 네트워크 트래픽을 대상으로 악성행위 분석을 시도할 수 있다.

문제는 최근 유포되고 있는 악성코드는 가상환경 여부를 체크하는 기능을 갖추고 있다는 것이다.

샌드박스 환경임을 인식할 경우 악성코드는 활동을 중지한다.

따라서 APT 대응 솔루션의 샌드박스 접근방식은 현재시점에서 장점을 잃어가는 중이다.

또한 대부분 샌드박스는 회사로 들어오는 네트워크 트래픽을 분석해야 하기 때문에

1분 이내로 분석을 마치게 된다.

이 점을 악용, 악성행위를 5분 이후에 시작하는 악성코드도 발견되었기에 안심할 수가 없다.

실제 엔드포인트 단에서 발생하는 위협행위를 파악, 신속하고 빠르게 대응하는 EDR

이러한 배경에서 악성코드 활동이 실제로 일어나는 엔드포인트 단에서

행위 정보를 수집, 악성코드를 분석하는 방법이 새로운 대안으로 제시되었다.

바로 EDR(Endpoint Detection & Response)이다.

EDR은 행위기반으로 악성코드를 탐지 및 대응하는 솔루션이다.

그렇기에 안티바이러스 솔루션과는 차별화된다.

엔드포인트 단에서 실제 정보를 수집하기 때문에 APT 솔루션과도 차별성을 가지고 있다.

왜 모두가 EDR을 외치는가? EDR은 왜 필요한가?

EDR은 조직 내 엔드포인트 단에서 발생하는 위협행위를 탐지하고 대응하는 솔루션이다.

이를 통해 EDR을 도입한 기업/기관은

안티바이러스 솔루션이 실시간으로 대응하지 못하는 제로데이 공격으로부터

기업/기관을 보호할 수 있게 되었다.

물론 EDR 솔루션만으로 모든 보안 인프라를

일거에 대처할 수 있다고 단언하기에는 아직은 시기상조이다.

안티바이러스, APT 대응 솔루션 역시 여전히 필요한 존재다.

안티바이러스 솔루션은 항상 그래왔듯이

악성코드, 바이러스 차단에 있어 기초적인 역할을 해야 한다.

EDR 작동원리

EDR은 엔드포인트(PC, 서버 등) 단에서

프로세스 생성, 레지스트리 변경, 인터넷접속, 파일 다운로드 등의 다양한 정보를 수집한다.

수집된 정보는 사내에서 운영되고 있는 EDR 서버로 전송된다.

EDR서버는 엔드포인트에서 수집된 정보를 분석한다.

이 곳에서 악성 프로세스 여부를 판단하게 된다.

만일 악성코드로 판명된 정보가 있다면 해당 프로세스 행위 패턴을 EDR 엔진에 업데이트 한다.

업데이트된 정보는 사내 모든 EDR 에이전트에 배포된다.

패턴이 업데이트 되었으므로 EDR에이전트는 동일한 행위를 보이는 프로세스가 있으면

바로 차단한다. 더 이상 전파되지 못하도록 막는 것이다.

EDR서버는 사내정보만 업데이트하지 않는다.

외부 클라우드에 있는 EDR 서버와 연동하여 꾸준하게 정보를 업데이트 한다.

따라서 다른 기관에서 발견된 케이스를 즉각적으로 반영하는 동시에,

우리기관에서 발견된 케이스 역시 실시간으로 업데이트해

EDR이 적용된 모든 기업/기관의 악성코드, 랜섬웨어, 바이러스 감염 및 확산을 막는다.

엔드포인트 단에서 행위를 기반으로 한

실시간 수집, 자동화된 분석체계, 실시간 전파체계를 통해

EDR은 효과적인 악성코드, 바이러스, 랜섬웨어 대응을 수행할 수 있다.

https://www.dailysecu.com/news/articleView.html?idxno=72914

목록

News/ Event

[내부위협 방어 ②] 정상 프로세스 이용하는 공격자

[보도자료] | 2019-09-30

 

“OS 정상 툴 사용하는 자력형 공격 70% 이상 성공”…

클라우드 포괄하는 위협 방어 전략 필수

SSL 가시성 확보해 우회 공격 차단

SSL 가시성은 최근 네트워크 DLP 분야에서도 중요한 기술로 꼽힌다.

현재 네트워크 트래픽의 70%가 SSL/TLS 암호화 트래픽으로,

이를 이용한 침해 시도가 끊이지 않기 때문이다.

암·복호화는 CPU 집약적인 작업으로, 암호화 트래픽을 복호화 할 때 하드웨어 리소스 사용이 급증하고

시스템 성능이 느려지거나 다운되는 등 장애가 발생할 수 있다.

그래서 네트워크·보안 솔루션은 암호화 트래픽을 분석하지 않거나 고사양 장비를 도입하도록 유도한다.

SSL 트래픽 암·복호화 전용 솔루션인 SSL 가시성을 이용하면 이 문제를 해결할 수 있는데,

SSL 가시성 솔루션이 암호화 트래픽을 복호화 한 후 네트워크·보안 솔루션으로 보내고,

분석이 끝난 트래픽을 다시 암호화 하는 역할을 한다.

최근 네트워크 DLP 솔루션은 데이터 처리 속도를 더욱 빠르게 하기 위해

SSL 가시성 기술을 네트워크 DLP와 긴밀하게 연동시켜 제공하기도 한다.

소만사는 ‘메일아이(Mail-i)’와 프록시 장비 ‘웹키퍼 SG’를 연동해

모든 트래픽을 복호화 해 분석하면서도 인라인 속도의 데이터 처리를 지원한다.

암호화 트래픽에 숨은 중요정보 유출 시도를 차단하는 한편,

사전 차단된 로그기록으로 유출 정보를 확인하고 대책을 세울 수 있도록 도와준다.

‘웹키퍼 SG’는 설계 단계부터 DLP와 최적의 연동을 지원할 수 있도록 설계해

시스템 연동 시 발생할 수 있는 부하를 원천 제거했으며,

대용량 트래픽 환경에서도 성능저하 없이 데이터를 처리할 수 있다.

김대환 소만사 대표는

“소만사 메일아이는 국내 가장 많은 고객이 사용하는 대표적인 네트워크 DLP 솔루션으로,

모든 네트워크·웹 기반 정보유출 시도를 원천 차단할 수 있다.

향후 소만사는 이미지 파일로 장한 개인정보 문서, 텍스트를 이미지화한 그림파일 등

의도적으로 개인정보를 숨기는 행위에 대한 탐지기술을 고도화하며,

성능 개선을 지속적으로 진행해 5G·IoT·클라우드에서의 대규모 트래픽까지 지원할 계획”이라고 말했다.

http://www.datanet.co.kr/news/articleView.html?idxno=137410

목록