정성환의 IT개발 창고

1. UTM(통합 위협 관리, Unified Threat Management)

 - Firewall, VPN, IPS, Anti-virus, Anti-DDoS, 웹필터링 등 다양한 보안기능을 단일 어플라이언스 형태로 통합하여 관리 복잡성을 최소화하고 복합적인 위협요소를 효율적으로 방어하기 위한 통합보안 솔루션

- 여러 기능을 수행함으로써 관리의 편의성과 관리비용의 절감을 가져오는 장점이 있는 반면 단일 전용 장비 대비 기능과 성능, 신뢰성에 대한 이슈가 요구 된다.

- 단순히 비인가 IP 차단 뿐만 아니라 침입방지시스템(IPS) 기능까지 지원하고 해킹에 대한 탐지, 차단 역할도 수행하게 되며, 이외에도 애플리케이션 필터링, URL 필터링, 안티바이러스(네트워크) 등의 보안 기능을 탑재하고 있다.

솔루션 예: MF2

UTM의 주요 기능

2. WAF (Web Application Firewall)

 •  웹 방화벽은 일반적인 네트워크 방화벽(Firewall)과는 달리 웹 애플리케이션 보안에 특화되어 개발된 솔루션을 의미한다.

 •  웹 방화벽의 기본 역할은 그 이름에서도 알 수 있듯, SQL Injection, Cross-Site Scripting(XSS)등과 같은 웹 공격을 탐지하고 차단하는 것이다.

 • 최근의 웹 방화벽은 직접적인 웹 공격 대응 이 외에도, 정보유출 방지 솔루션, 부정 로그인 방지 솔루션, 웹 사이트 위변조 방지 솔루션 등으로 여러가지 기능을 가지고 있다.

솔루션 예) MOD Security

3. DLP (data Loss Prevention)

• 기업 구성원과 프로세스, 기술의 결합을 통해 고객 또는 직원에 대한 개인 신원확인 정보(PII), 재무제표, 마케팅 계획과 같은 기업 정보, 제품 계획, 소스 코드와 같은 지적재산(IP)을 포함하는 기밀 정보 등이 기업 밖으로 유출되는 것을 방지하기 위한 솔루션이다.

 • 최근 여러 가지 정보 유출 사건이 언론을 통해 알려지면서 정보 손실 방지에 대한 중요성이 대두 되었으며, DLP는 IT 보안만의 문제가 아닌 기업 경영진의 선결과제로 부각되고 있다.

 • 외부의 악의적인 공격으로 인해 정보가 손실되는 경우도 있지만 일반 직원들의 부주의와 기업 프로세스 위반이 원인이 되어 정보가 손실되는 경우가 더 많다.

PII(Personally Identifiable Information)란? PII는 개인을 식별할 수 있는 정보를 의미하는데, 나 자신을 증명할 수 있는 이름, 주소, 주민번호, 운전면허 번호, 지문 정보, 신용카드 번호, 생일, 유전자 정보, 전화번호와 같은 정보가 이에 해당한다.

IP(Intellectual Property rights)란? 지식 재산권 또는 지적 재산권을 의미하는 IP는 인간의 창조적 활동 또는 경험 등을 통해 창출하거나 발견한 지식, 정보, 기술이나 표현, 표시 그 밖의 무형적인 것으로서 재산적 가치가 실현될 수 있는 지적창작물에 부여된 재산에 관한 권리를 의미한다.

솔루션 예) Somansa, Saferzone

DLP 솔루션의 목적

1. 개인 정보 보호

2. 지적 재산권 보호

3. 정보의 가시성 - DLP는 엔드포인트, 네트워크 및 클라우드에서 정보의 이동을 읽고 추적할 수 있도록 해준다.

DLP와 DRM과의 차이점

4. APT 솔루션

시그니처 기반으로 탐지되지 않는 고도화된 공격, 즉 제로데이 공격같이 패턴이 아직 업로드 되지 않았거나, 알려지지 않은 공격에는 취약할 수밖에 없다. 그래서 등장한 제품이 APT 대응 솔루션이다.

• APT 솔루션은 신종 APT/악성코드 공격을 탐지/방어하는 솔루션으로 최근 발생하고 있는 랜섬웨어, 자료 유출 사고, 네트워크 마비 등 보안 사고를 미연에 방지하기 위한 정보 보안 시스템이다.

• 사용자단의 행위 기반 방어 제품(EDR)과 네트워크 패킷 분석 기능을 연계로 사용하여 오탐을 최소화하고 정확한 탐지 및 대응을 하는 것이 목적이다.

APT 솔루션의 대응 방법

• 네트워크 APT 대응 솔루션은 네트워크 영역에서 완성된 파일이나 데이터를 확인하기 어렵기 때문에 평소의 활동과 비교하거나 네트워크 접속 유형, C&C 서버와의 통신, APT 감염 사이트 접속 등을 분석하는 형태로 탐지를 진행한다.

• Email APT 대응 솔루션은 APT 공격의 주요 침입로로 이메일이 활용되고 있는 점에서 착안해 이메일 보안에 특화된 기능을 제공한다. 보통 이메일 보안 솔루션 독자적으로 또는 전문 장비와 연동해 탐지율을 높이는 방법으로 이메일을 통해 내부로 유입되는 악성코드 및 유해 요소를 차단한다.

• Endpoint APT 대응 솔루션은 주로 안티바이러스(Anti Virus)를 통해 운영된다. 기본적인 골자는 패턴과 시그니처 기반의 백신과 큰 차이 없으나 APT를 고려한 기능이 추가돼 있다. 그 기능으로 동적 분석 기술과 C&C 서버 통신 차단 등의 기능을 대표적으로 꼽을 수 있다.

5. ESM 솔루션

Enterprise Security Management(기업 보안 관리)의 약자로, 기업과 기관의 보안정책을 반영, 다양한 보안시스템을 관제, 운영, 관리함으로써 조직의 보안목적을 효율적으로 실현시키는 시스템이다.

• 방화벽, 침입 탐지 시스템, 가상 사설망 등의 여러 보안 시스템으로부터 발생한 각종 이벤트를 관리, 분석, 통보 대응 및 보안 정책을 등이 여기에 포함된다

• 또한 기업이 보유한 IT 보안 인프라에 대해 가용성, 무결성, 보안성을 보장하기 위한 전사적인 보안관리 시스템이기도 하다.

ESM 솔루션의 주요 기능

ESM 솔루션 – 도입 효과

• 각종 보안 솔루션의 알람 및 로그 정보를 중앙 집중화 된 시스템에서 통합관제 및 관리하여, 보안 시스템 관리의 효율성 증대

• 소수의 특정 관리 인원을 할당하여 관리를 담당하게 할 수 있어 비용 효율적인 보안 관리 가능

• 보안 관리자의 교육 시간과 숙달 시간을 최소화

• 각종 로그 정보에 대한 통합 관리를 통해 사전 예방책 마련 가능

• 통계 처리 기능을 이용하여 주기적인 시스템 상태 분석 가능

• 표준화된 보안관리 정책/절차의 수립

• 문제 발생 후 사후조치에서 예방적인 보안관리 체계로의 수립

6. SIM (Security Information and Event Management)

•빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계이다.

• 기존의 ESM(Enterprise Security Management)의 역할을 보안 영역에서 기업 전반으로 확대시키고, 기업 컴플라이언스 대응 기능을 추가하였다.

• 기업 내 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지한다.

• 네트워크, 하드웨어 및 응용 프로그램에 의해 생성된 보안 경고의 실시간 분석이 가능하다.

SIM 솔루션의 필요성

• 기업의 보안정책 중 외부 해킹 공격에 대한 효과적인 차단과 탐지, 모니터링 등의 전체 운영관리, 심층분석, 대규모 확장성, 통합 뷰의 관한 니즈가 증대하였다.

• 매일 생성되는 빅데이터급의 로그 증가로 인한 효율적인 로그 관리 및 분석이 필요해졌다.

• 최근 외부 해킹으로 대량의 개인정보 유출 및 대규모 시스템 장애 사고가 빈번히 발생하는데, ESM과 같은 보안 체계는 APT(Advanced Persistent Threat) 공격 같은 장기적이고 지속적인 특정 표적대상 공격에는 대책 없이 피해가 발생하며 사회공학적 해킹(Social Engineering Hacking)도 함께 동원하기 때문에 사전 탐지가 어려운 상황이다.