DLP 솔루션

Gartner가 선정한 아시아 최고의 DLP 솔루션


글로벌 IT 리서치 그룹 ‘Gartner’는 매년 전 세계 100개 이상의 DLP솔루션 중 10개를 선정합니다.
소만사 DLP 솔루션은 아시아에서 유일하게 엔터프라이즈 DLP(Data Loss Prevention: 내부정보유출방지) 분야
‘가트너 매직 쿼드런트’ 보고서에 2년 연속 등재되었습니다.

가트너 매직 쿼드런트 보고서는 소만사 DLP 솔루션이 제공하는 클라우드 서비스 개인정보 검출기능과
윈도우·맥OS·리눅스·안드로이드 기반 PC/단말기에서 개인정보 검출기능, 신속한 고객지원 정책을 강점으로 평가했습니다.

소만사 DLP는 전세계에서 가장 역동적이고 복잡한 한국네트워크 환경에서 22년간 시장점유율 1위를 지켜왔습니다.
한국은 세계 최고의 유무선 인프라를 기반으로 세계에서 가장 다양한 메시징앱스(Messaging Application)와 넷앱스(Network Application)를 보유하고 있습니다.
10Gbps DLP트래픽처리 등 고성능 네트워크 처리요건 또한 세계최고 수준입니다.
또한 DLP의 주요고객인 세계최고의 제조업체가 있는 국가이기 때문에 한국의 DLP 솔루션은 세계 최고수준입니다.

소만사 네트워크DLP는 1998년 SMTP 메일 감사 중심으로 세계최초 개발된 솔루션입니다.
그 후 2000년 메신저에 대한 감사기능을 세계최초로 개발했고,
그 후에 2005년 P2P와 우회접속에 대한 감사와 차단 기능을 세계최초로 추가하였습니다.
2009년에는 DLP패킷처리전문엔진을 탑재한 DLP어플라이언스를 세계최초로 출시하였고 2011년초에는 10G트래픽처리 어플라이언스를 출시하였습니다.
2014년에는 SSL/TLS 가시성 확보를 통한 DLP 솔루션을 개발했으며 2017년에는 일체형 어플라이언스 개발에 성공했습니다.
소만사 네트워크DLP는 북미에 수출되는, 국정원 CC인증을 최초로 획득한, 내부정보유출방지 분야 장영실상을 수상한 제품입니다.


DLP의 3요소를 모두 충족

Discover

Discover는 주요한 기밀정보가 어디에 보유되어 있는지 식별하는 기능입니다. (Where’s what?) DLP의 시작은 주요파일의 보유현황파악입니다. 권한자가 아닌 경우에는 주요정보를 PC나 단말기에 보유하고 있는 것 자체가 사규위반이며 잠재적인 정보유출의 위협이 있습니다.
1) PC나 단말기는 인증이 약하기도 하고 트로이잔, 무단 원격접속, 해킹 등에도 취약하기 때문에 의도하지 않는 상태에서 정보가 유출될 수도 있습니다.
2) 파일서버, DB서버는 다수가 접근하는 공유지입니다. 따라서 개인정보, 기밀정보가 무단방치될 위험이 늘 존재합니다.
3) 스마트폰, 클라우드에 보관된 개인정보/기밀정보를 식별하고 보호조치를 해야 합니다.
식별된 주요파일은 (비권한자의 경우) 파기합니다. (권한자의 경우라도) 평문일 경우에는 강제암호화합니다.

Prevent: 기밀정보 사전차단

Prevent는 유출을 사전차단하는 방식을 의미합니다. Prevent에서 중요한 것은 내용기반차단입니다.
내용기반차단이란 겉으로 보이는 속성(파일크기, IP, 프로토콜, 시간대)뿐만 아니라 컨텐츠(본문과 파일)의 내용 자체에 기반하여 차단한다는 의미입니다.
본문과 첨부파일을 열어서 내용을 파악한 후 보안정책에 위반되는 개인정보, 기밀정보 포함시 차단하고 다른 정보는 허용해줍니다.
예를 들어 웹메일을 외부전송할 경우 웹메일 안에 외부에 공개되어서는 안되는 주민등록정보가 있는지 확인하고 있을 경우 차단하고 없을 경우 외부전송을 허용하는 방식입니다.
내용기반차단은 보안의 가용성을 지켜줍니다.
보안이 업무에 지장을 주지 않는 선에서 행해지기 위해서는 무조건차단이 아니라 내용을 보고 정책에 위반되는 정보가 있을 경우에만 차단해야 합니다.
개인정보 유출은 내부자의 부주의한 정보유출로 발생하기 때문입니다. 금융기관의 경우 개인정보 유출시 영업정지까지 받을 수 있기 때문에 사전통제가 필수적 입니다.

Audit : 개인정보 패턴분석과 기밀자료 검색기능

DLP도입의 주된 목적은 정보유출에 대한 감사 및 예방입니다. 사내 감사팀 혹은 산업보안팀 담당자 등 적법한 권한을 가진 분이 내용에 대해서 실시간 혹은 주기적으로 감사하게 됩니다. 1)누가 보냈는지, 2)어디로 보냈는지, 3) 어떤 자료를 보냈는지에 따라서 보안수준이 달라지며 집중적으로 감사하게 됩니다.

1) 누가 보냈는지에 대한 감사는 예를 들면 핵심 기밀 정보를 다루는 연구소 등에 적용됩니다. 해당부서의 정보에 대해서는 보안 수준이 높아지게 됩니다. 글로벌 기업의 퇴사예정직원 처리절차의 경우 일정기간의 로그를 통해서 정보유출의 기미가 없다는 것이 입증되어야 공식적인 퇴사처리가 가능하기도 합니다.

2) 어떤 정보를 보냈느냐에 따라서 보안수준이 변경되게 됩니다. 사이즈가 1M이상되는 메일에 대해서는 집중적으로 감사해야 할 필요가 있습니다. 주민번호, 카드번호 계좌번호 등 주요한 개인정보 패턴이 본문, 첨부파일에 포함된 경우에는 집중적으로 감사해야 합니다. 개인정보가 포함된 내용만 로그를 남기도록 운영하기도 합니다. 제조업체의 경우 도면이 포함되어 있는 자료는 최상위 보안수준으로 관리하게 됩니다.

3) 어디로 보냈느냐에 따라서 보안수준이 높아지게 됩니다. 협력업체로 보낼 경우에는 상대적으로 평이한 보안수준으로 관리할 것이고, 경쟁사 혹은 Public Domain으로 보낼 경우에는 집중적인 감사대상에 해당할 수 있습니다.

Audit 방식은 CCTV설치로 비유할 수 있습니다. CCTV 설치는 평소에는 불편함 없이 운영하다가 문제 발생시, 사후추적하는 방식입니다. 특히 CCTV 설치사실을 알면서 그 앞에서 범죄를 저지르지 않으므로 사전예방효과가 큽니다.
실제로, 내부정보유출이 한번에 크게 이루어지는 사례는 거의 없습니다. 대부분이 작은 유출에서 시작하여 대형사고로 이어집니다.평소에 Audit 방식으로 기록관리 및 감사를 하면, 업무가용성을 지키면서 대형유출사고를 미리 방지할 수 있습니다. 현실적으로, 보안효과를 높인다는 명목으로 차단을 하면 담당자들의 반발과 불만이 심해지며, 차단채널을 우회하는 방법이 등장하게 됩니다. 글로벌 기업 등 업무능률이 중요한 기업에서는 대부분 Audit 방식으로 사후추적을 하고 있습니다. 그만큼 업무효율과 실제 보안효과 두가지를 다 지켜주는 방식이기 때문입니다. 금융기관의 경우 개인정보 유출시 영업정지까지 받을 수 있기 때문에 사전통제가 필수적 입니다.

개인정보 라이프사이클에 걸친 DLP의 다단계 전략


1단계로 개인정보자산식별이 선행되어야 합니다.
PC와 DBMS, 웹서버, 파일서버, 어플리케이션서버, 모바일디바이스, 클라우드서비스 등에 개인정보자산을 식별하고 암호화, 파기 등 보호조치를 해야 합니다.
너무나 당연한 일임에도 불구하고, 아직까지 제대로 식별하는 곳이 많지 않습니다.


Discover Monitor Prevent

소만사 Enterprise DLP는 엔드포인트부터 서버, PC, 모바일, 네트워크 까지 전구간의 전사적 개인정보 자산관리를 지원합니다

2단계로 개인정보가 과다조회되는지 통제와 감사가 필요합니다.
특히 개인정보보호법 개정으로 DBMS이외에 어플리케이션이 개인정보처리시스템에 포함됨에 따라
DBMS접속통제는 물론이고 웹어플리케이션 접속기록관리와 이상징후분석시장이 중요해졌습니다.

3단계로 엔드포인트DLP(Endpoint DLP)로 USB와 출력물을 통제해야 합니다.

4단계로는 네트워크DLP(Network DLP)로 인터넷을 통한 개인정보전송통제와 HTTPS를 통한 개인정보유출을 통제해야 합니다.
‘유출통제’는 암호화웹서비스(HTTPS/SSL)를 통한 개인정보유출통제가 부각되고 있습니다.

△1단계-개인정보/기밀정보 전수검사: 불필요한 개인정보파일 검출/삭제/암호화(개인정보자산의 중앙집중화)
△2단계-DB-DLP: 개인정보처리시스템(DB, Apps) 개인정보과다조회통제
△3단계-엔드포인트 DLP: USB/출력물 통제
△4단계-네트워크 DLP: Web DLP(SSL/TLS 가시성 확보를 통한 개인정보유출 통제 가능. G-mail, 네이버 웹메일 외)


네트워크DLP

Network DLP는 메일, 메신저, 웹메일, 웹하드, 웹게시판 등 네트워크에서 로깅하고 차단하는 역할을 수행합니다. 개인정보유출방지 측면에서 가장 손쉬운 것이 인터넷을 통한 정보유출차단입니다. 오늘 날, 국내 대기업이 글로벌 경쟁력을 갖춤에 따라 문단속을 철저히 하고 있습니다. 외부해커에 의한 정보유출보다 내부자에 의한 고의, 부주의한 유출이 3배 이상이라는 것은 보안분야에서 상식에 해당합니다.
Network DLP측면에서 웹메일, 웹하드, 메신저 등은 1년에 50여회의 프로토콜 변경이 이루어집니다. 이를 즉각적으로 적용 반영하여 갱신해야만 유출을 차단할 수 있습니다. 인터넷 표준 문서인 RFC(Request for Comment)가 있는 SMTP, HTTP, Telnet, FTP 등와 달리 웹메일, 메신저, 웹하드 등은 전용프로토콜(Proprietary Protocol)이기 때문에 사전 통보없이 메시징 프로토콜이 변경될 수 있습니다. 특히 웹메일은 연간 2-3회 차례 변경이 되기도 합니다. 이러한 네트워크를 통한 유출 경로가 변경될 때 즉각적인 유출 패턴에 대한 업데이트를 진행해야 합니다. 이러한 작업은 패킷 수준의 분석과 리버스엔지니어링 으로 진행되며, 매우 숙련된 엔지니어의 업무 지원이 필요합니다. 소만사 네트워크DLP는 연간 50여회의 업데이트가 진행되고 있으며, 이를 유지하는데 사내 핵심리소스가 투입되고 있습니다.

엔드포인트 DLP

EndPoint DLP는 PC와 같은 단말에서의 USB등의 미디어와 출력물을 통한 유출방지기능을 담당합니다. 최근에는 내용기반(Content-Aware)으로 통제하는 기능이 개발, 적용되었습니다. 예를 들면 USB로 복사하려는 파일에 주민번호, 계좌번호, 카드번호 등 개인정보나 주요 기밀문서의 키워드 등이 포함되어있을 경우에 식별하고 차단합니다.(혹은 결재승인 후 카피합니다). EndPoint의 유출채널 중 가장 대표적인 것이 출력물과 USB입니다. 나머지는 Content-Aware통제가 아니라 접속자체를 금지하도록 합니다. 그러나 USB와 출력물은 정당한 업무를 하기 위해서 적극적으로 활용해야 할 수단이며, Content-Aware통제의 대상입니다. EndPoint DLP는 이외에도 RF통신, 블루투스통신, 테더링 등 통신에 대한 차단기능을 제공합니다.

진정한 엔터프라이즈DLP란?


GARTNER로 대변되는 글로벌스탠더드는 엔드포인트DLP로 네트워크를 보안하는 것을 DLP로 인정하지 않습니다.
에이전트방식으로 네트워크를 보안할 경우 에이전트 구버전, 에이전트 미설치, 에이전트 무력화 등의 이유로 개별 PC의 취약점이 바로 정보유출사고로 이어집니다.
네트워크DLP로 네트워크를 보안할 경우 개별PC에서 유출되어도 네트워크관문에서 통제 가능합니다.

엔드포인트DLP로 네트워크를 보안할 때의 문제점은 다음과 같습니다.

첫째, 플랫폼 제약으로 인한 에이전트 우회가능성입니다.
OS가 맥킨토시, 리눅스, 유닉스일 때와 SBC/클라우드환경/가상화환경시에는 에이전트를 설치할 수 없습니다.
따라서 에이전트 미설치 시스템을 통해서 전송시 통제가 불가능합니다.

둘째, 유출패턴 변경관리의 어려움입니다.
정책이나 패턴을 업데이트할 경우 수천~수만대의 PC에 설치되어 있는 Endpoint DLP 에이전트에 적용되어야 하기 때문에 배포에 많은 시간이 소요되며,
모든 PC에 패턴 업데이트를 적용하는 것이 현실적으로 어려우며, 또한 많은 네트워크 대역을 사용합니다.


셋째, 로그통합의 부담입니다. 수천~수만대 Endpoint DLP 에이전트에서 하루에 수십 기가 이상의 로그가 생성됩니다.
이 로그를 통합하고 저장하는데 많은 시간과 네트워크 대역이 필요합니다.
즉, 엔드포인트에 저장된 메일/웹메일/메신저 로그에 대해서 중앙집중적 통합관리는 불가능합니다.


넷째, 사용자가 고의로 에이전트를 설치하지 않거나 삭제하는 경우 통제가 불가능합니다.


결론) 따라서 Endpoint DLP로만으로는 인터넷 전송을 통한 유출통제가 현실적으로 불가하며
인터넷관문의 단일지점에서 접근통제와 내용기반 통제를 수행하는 Network DLP가 반드시 필요합니다.
Endpoint DLP홀로, 혹은 Network DLP솔루션 단독으로만 도입되어서 정보유출을 막을 수는 없으며,
EndPoint와 Network이 결합되어야만 정보유출방지의 목적을 완결성 있게 달성할 수 있는 것입니다.
소만사는 그것을 진정한 엔터프라이즈DLP라고 부릅니다.

(DLP에 있어 최신 기술적 이슈1) SSL/TLS

지속적으로 증가하는 SSL/TLS 암호화웹 트래픽에는 치명적인 보안상 단점이 있습니다.
SSL/TLS 암호화웹 트래픽은 매년 20% 이상 증가하고 있으며, 금융, 정보통신, 클라우드 등 보안이 중시되는 산업은 이미 80% 이상 SSL/TLS를 적용완료하였습니다. 지메일, 네이버, 다음, 핫메일, 아웃룩 웹메일, 야후 등 주요 상용웹메일, 구글드라이브, KTU클라우드, 드롭박스, 네이버클라우드 등 주요 웹하드서비스, 페이스북, 트위터 등 주요 SNS가 SSL/TLS 기반 암호화웹 서비스를 사용하고 있습니다.

고객 주민번호 1000만건을 G-mail로 친구에게 부주의하게 전송한다면?
SSL/TLS 통신은 보안상 치명적인 단점이 있습니다. 내부직원의 실수나 고의 또는 해커의 내부자 사칭으로 개인정보를 유출할 경우 기존 컨텐츠보안장비가 무력화되는 것입니다. 내용기반 사전통제가 불가능해지고 유출흔적조차 찾을 수 없게 됩니다. ‘아무도 모르는 개인정보 유출채널’이 생기게 되는 것입니다.

G메일, 클라우드 등 SSL/TLS 기반웹을 통한 정보유출방지솔루션인 웹DLP.
웹DLP를 적용하면 SSL/TLS로 개인정보유출을 시도할 때 사전에 통제할 수 있고 외부전송로그를 기록할 수 있습니다. 웹DLP는 소만사가 22년 동안 축적한 콘텐츠분석기술과 대용량 트래픽처리기술을 결합해서 개발한 솔루션으로 SSL/TLS 웹프록시와 콘텐츠 분석서버로 구성됩니다. 소만사 웹DLP는 DLP전문패킷분석엔진을 탑재한 어플라이언스이기 때문에 처리속도가 세계 최고수준이며 개인정보패턴분석, 암호화파일 분석 등 콘텐츠 분석에 있어 외산제품이 따라올 수 없는 독보적인 수준입니다. 외부전송로그는 위변조방지스토리지에 기록됩니다. 시간, 보낸이, 받는이, 본문, 제목, 첨부파일 등이 아웃룩 형태로 기록되어 발송내역을 한눈에 파악할 수 있습니다. 또한 전송된 개인정보패턴, 개수까지 확인할 수 있어 감사자료로 활용할 수 있습니다. 즉 ‘G메일로 주민번호 10만건이 유출되는 것’을 사전통제하고 기록을 저장할 수 있게 됩니다.

(DLP에 있어 최신 기술적 이슈2) 원본저장

소만사는 신중하고 정교하게 정보유출을 통제합니다.
소만사의 기본사상은 회사의 통제범위를 벗어난 것은 모두 저장하는 것입니다.
따라서 대표적인 정보유출통로인 USB, 네트워크업로딩, 출력자료를 모두 기록합니다. 외산제품 중에는 정책 위반등 이벤트 발생시에만 선별저장하는 경우가 있습니다. 소만사는 이벤트 발생여부에 관계없이 모든 로그를 저장합니다. 모두 저장하기 때문에 미탐(탐지하지 못한)에 대한 사후통제가 가능합니다.
선별저장하면 (예를 들어) 스테가노그라피(Steganography)기법으로 1을 a, 2를 b, 3을 c와 같이 치환하여 유출할 경우 유출을 막을 수 없을 뿐만 아니라 기록도 남지 않습니다. 소만사는 모든 로그를 저장하고 네트워크로 전송된 첨부파일, USB에 복사된 파일, 출력정보를 원본저장합니다. 따라서 스테가노그라피(Steganography) 등으로 우회적으로 유출을 해도 사후에 로그분석을 통하여 이상징후를 탐지할 수 있습니다. 소만사는 원본저장을 통하여 사후통제를 수행하므로 빅데이터검색과 강력한 리포팅기능을 제공합니다.
마지막으로 모두저장이라는 DLP의 기본사상은 사용자가 정보유출행위에 경각심을 갖게 하여 유출을 사전예방하는 효과가 있습니다. 마치 CC TV앞에서는 범죄를 저지르지 않는 것과 마찬가지입니다. 정보의 이동(PC에 있던 개인정보파일이 네트워크를 통해 인터넷으로 이동, USB로 이동, 출력 등) 이 발생하면 모두 저장하므로 해커가 정보를 유출하더라도 모두 저장, 기록됩니다.

(DLP에 있어 최신 기술적 이슈3) DB방식 대비 1,000배 이상 빠른 빅데이터검색

지난 1년간 네트워크로 외부전송한 정보와 출력 및 USB로 복사한 모든 정보를 3분내 검색할 수 있습니다.
지난 1년간 한번에 100건씩 반복적으로 외부전송, 출력, USB에 복사한 주민번호, 건강, 성생활, 유전자, 범죄정보를 30개 키워드로 3분내 검색가능합니다.
외부로 나간 모든 정보를 원본저장하고 빅데이터검색함으로써 전사적 정보자원관리가 가능합니다. 또한 이상징후탐지로 대형유출사고를 방지합니다.
● 1천명 1년치 정보 30개 키워드로 3분내 검색가능
● 1년치 반출정보, 30개 키워드로 3분내 검색가능
● 개인정보/민감정보관련 30개 키워드 동시검색가능
● 장기보유 개인정보파일 검색, 유효기간 경과파일 검색
● 부서별, 개인별, 패턴별 보유현황 리포트 제공
● USB로 복사한 원본파일저장, USB로 복사한 파일 자체를 저장하여 추후확인가능
● 로그를 통해 원본의 상세내용을 확인 가능

(DLP에 있어 최신 기술적 이슈4) 클라우드에서의 DLP

사내환경(온프레미스)과 마찬가지로 클라우드에서도 데이터를 어디에 저장하고 있고, 상태가 어떠하며, 어떤 보안조치를 어떻게 취하고 있는지 전사적 자산관리가 이루어져야 합니다. 하지만 클라우드 컴퓨팅 환경에서는 물리적 스토리지가 여러 서버와 지역에 걸쳐서 존재하여 사내 데이터가 어디에 저장돼 있는지 알기 힘든 문제가 발생합니다. 소만사는 Cloud 서비스에 존재하는 파일에 대한 검사 및 개인정보 탐지기능을 제공합니다. AWS, Salesforce, Dropbox, Office 365, Onedrive 등을 지원합니다.

(DLP에 있어 최신 기술적 이슈5) GDPR 준수

GDPR은 전 유럽연합 28개국에 적용되는 개인정보보호법으로 EU거주자에게 제품, 서비스를 제공할 경우 GDPR의 적용을 받습니다.
EU에 법인이 없어도 EU거주자에게 제품이나 서비스를 하는 경우에도 동일하게 GDPR이 적용됩니다.
GDPR은 모든 프로젝트 초기부터 전체 라이프사이클에 걸쳐 개인정보보호를 권장하고 있습니다.
또 ‘개인정보 삭제권’을 인정해 잊혀질 권리를 명시한 것과 프로파일링에 대한 정보주체의 권리를 인정한 것이 특징입니다.
소만사 DLP솔루션은 유럽 주요국가인 프랑스, 영국, 독일, 이탈리아의 나라별 개인식별정보(한국 주민번호), 운전면허번호, 핸드폰번호, 여권번호 4종류를 커버합니다.
PC, DBMS, 파일서버에 무단 방치된 EU 거주자의 개인정보를 검색하고 삭제하는 것이 가능하며
EU거주자의 개인정보를 USB에 복사 때 출력시, G메일 등 인터넷을 통한 외부반출 때 사전에 통제할 수 있습니다.