DLP 솔루션

DLP란 무엇인가?


DLP(Data Loss Prevention, Data Leakage Prevention의 약자)는 정보유출방지 솔루션을 의미합니다.
최근에는 내용기반의 정교한 통제를 수행하기 때문에 Content-Aware DLP라고 이야기합니다.
DLP는 한번 도입해서 끝나는 것이 아니라, 지속적인 유출패턴에 대한 갱신이 핵심입니다.
예를 들면 Network DLP측면에서 웹메일, 웹하드, 메신저 등은 1년에 50여회의 프로토콜 변경이 이루어집니다.
이를 즉각적으로 적용 반영하여 갱신해야만 유출을 관리할 수 있습니다.
한국은 세계 최고의 유무선 인프라를 가지고 있어서 세계에서 가장 다양한 메시징앱스(Messaging Application)과 넷앱스(Network Application)를 보유하고 있습니다.
10Gbps DLP트래픽처리 등 고성능 네트워크 처리 요건 또한 세계최고 수준입니다.
또한 DLP의 주요고객인 세계 최고의 제조업체가 있는 국가이기 때문에 한국의 DLP 솔루션은 세계 최고 수준입니다.


Network DLP: Monitor

Monitor는 Network Mirroring방식으로 운영되며 감사와 차단 전용입니다. Monitor의 경우 다양한 유출경로에 대한 Coverage가 핵심입니다. 특히나 웹포트(80포트)로 우회접속하는것과 Proxy로 우회접속하는것과 Dynamic Port를 사용하는것에 대한 정확한 식별능력과 차단능력이 핵심적인 기능입니다. NateOn메신저와 NAVER 클라우드와 같은 웹하드, Daum 대용량메일 등은 파일 전송을 위해서 사설적인(Proprietary) 프로토콜을 사용하며 Proxy를 만들기가 어렵습니다. 또한 주기적으로 변경되기 때문에 Proxy을 만들 경우에 네트워크 안정성이 매우 저해될 수 있습니다. 이러한 프로토콜은 Monitor방식으로 Monitoring and Content Aware통제를 수행합니다(TCP Session Killing 방식의 차단)

분류 내용 주요 기술적 포인트
메일 SMTP, POP3, IMAP, Exchange Exchange 로깅가능한지 확인(Active Sync)
웹메일 5대 웹메일 로깅 및 대용량 첨부웹메일 차단
-Daum, NAVER, NATE(EMPAS), Paran, Hotmail
대용량 웹메일첨부에 대해서 차단가능한지 확인
메신저 상위 5대 메신저 로깅과 통제가능한지 확인
-NateOn, MSN, Yahoo, BuddyBuddy, Daum 외
웹프락시와 SOCK프락시로 우회하는것에 대해서 로깅과 차단가능한지 확인 NateOn암호화 통신 차단가능한지 확인
웹하드 상위 5대 웹하드 로깅과 통제 가능한지 확인
- KTHard, LG U+ Webhard, 네이버 클라우드 외
POST방식, 어플리케이션방식, 네트워크 드라이버 방식에 대해서 로깅과 차단이 가능한지 확인
P2P SMB(네트워크 공유폴더), FTP, E-donkey, Bittorent, Kazaa 외 로깅(FTP와 SMB)이 정확한지, 차단(기타 P2P)이 정확한지 확인
터미널서비스 상위 터미널 서비스 Telnet, VNC, PC애니웨어, Radmin, MSTSC 외 GUI계열 터미널서비스는 80포트를 사용하더라도 차단가능한지 확인

Network DLP: Prevent

Prevent는 Proxy방식으로 원천적으로 유출을 사전 차단하는 방식을 의미합니다. (SMTP Proxy의 경우 사전 필터링을 통해서 차단 및 결재 후 재전송을 합니다. DB Proxy의 경우 원천적으로데이터베이스에 대한 접근통제를 수행합니다) Prevent는 Proxy형태가 존재해야 가능합니다. 대표적인 것이 Mail Proxy이고, 또 DB Proxy입니다.

항목 Mail Proxy
성격 Network DLP(Prevent)
설치위치 사내 메일서버와 외부 메일서버 사이
차단목적 메일을 통해서 기밀정보가 외부로 유출 차단
통제대상 Mail Protocol
Content-Aware 통제 조건 SMTP메일 대상
로깅내역 1. 경쟁사로 전송된 메일에 대한 차단 2. 메일의 첨부파일에 기밀정보 패턴이 포함되어 있을 때 차단 [도면, 주민번호, 카드번호, 제품모델명, 금칙어 포함]
결재기능 메일본문과 첨부파일 전부 로깅
로깅내역 차단시 결재후 재전송
컴플라이언스 산업기술 유출방지및 보호 부정경쟁방지 및 영업기밀보호법 외
적용사례 우리은행, 교보생명 외

Endpoint DLP: Prevent

Endpoint DLP는 PC와 같은 단말에서의 USB 등의 미디어와 출력물을 통한 유출방지 기능을 담당합니다. 초기에는 단순한 Media통신에 대한 ON/OFF형태로 적용되었습니다. 최근에는 내용기반으로 통제하는(Content-Aware)기능이 개발, 적용되었습니다. 예를 들면 USB로 복사하려는 파일에 주민번호, 계좌번호, 카드번호 등 개인정보나 주요 기밀문서의 키워드 등이 포함되어 있을 경우에 식별하고 차단합니다(혹은 결재승인 후 카피합니다) Endpoint의 유출채널 중 가장 대표적인 것이 출력물과 USB입니다. 나머지는 Contet-Aware통제가 아니라 접속자체를 금지하도록 합니다. 그러나 USB와 출력물은 정당한 업무를 하기 위해서 적극적으로 활용해야 할 수단이며, Content-Aware통제의 대상입니다. Endpoint DLP는 이외에도 RF통신, 블루투스통신, 테더링 등 통신에 대한 차단기능을 제공합니다.

Endpoint DLP: Dicovery

Discovery는 주요한 기밀정보가 어디에 보유되어있는지 식별(Discover)하는 것입니다(Who's what) 모든 개선의 시작은 현황 파악입니다. DLP의 시작 또한 주요 파일의 보유현황 파악입니다. 권한자가 아닌 경우에는 주요정보를 PC혹은 단말에 보유하고 있는 것 자체가 사규위반이며 잠재적인 정보 유출의 위협이 있습니다. 단말은 인증이 약하기도 하고 트로이잔, 무단 원격접속, 해킹 등에도 취약하기 때문에 의도하지 않은 상태에서 정보가 유출될 수도 있습니다. 파일서버, DB서버에 무단방치된 기밀정보는 항시 유출의 위험이 있습니다. 식별된 주요 파일은[비권한자의 경우] 삭제하거나 중앙서버에 내용을 올립니다 [권한자의 경우라도] 평문일 경우에는 강제암호화합니다. Discovery는 향후 스마트폰에 보관된 기밀정보에 대한 식별 및 보호조치까지 영역을 확장해야 합니다.