[Wiset] 보안 솔루션

다양한 보안 솔루션 중 약 15가지(이외 몇개 간단히..)의 솔루션을 조사하여 정리하였습니다.
BMT(Bench Marking Test : 성능테스트) 를 통해 주관적인 견해를 낸 것도, 지극히 개인적인 생각이므로 참고만 해주시면 감사드리겠습니다!

---

먼저, 아래 사진을보면 크게 네트워크, 시스템, 어플리케이션, DBMS, 단말기 (End-Point), 스마트폰, 컨텐츠, 물리/융합, 통합 등으로 나누어 보안 솔루션을 명시한 것입니다. 사진에 명시되지 않은 솔루션의 종류도 매우 다양합니다.

출처 : Best Of the Best 수업 중

 

뿐만 아니라 정보보안 기술 참조 모델(TRM)을 참고하여 가이드된 정보보안 아키텍처를 확인해보면 사용자 혹은 사용되는 서비스에 따른 다양한 솔루션들과 기술이 존재하는 것을 알 수 있습니다. 

출처 : https://www.hansecure.com/default/sub02/sub02.php

보안성을 향상시키고 기술을 효율적으로 사용하기 위한 다양한 보안 솔루션에 대한 조사를 통해 조금 더 상세히 알아보도록 하겠습니다.

 

 

1. 안티바이러스

개념 :

안티바이러스 소프트웨어는 컴퓨터의 바이러스 (악성코드)를 탐지하고 방어하기 위한 유틸리티 소프트웨어를 의미한다.

주로 한국에서는 백신, 백신프로그램 이라는 표현을 많이하지만, 영미권에서는 안티 바이러스가 보편적이다.

기능 : 

- 악성코드 탐지 및 치료 (악성코드에 대비하기 위해 자동 업데이트 기능이 존재한다. 백신에 따라 기능은 다르지만 보통 실시간 보호(파일), 방화벽, 네트워크 침입차단, 행위기반 침입차단 등.. 이 있다.)

특징 : 

- 기본적으로 1대의 PC에 1가지의 안티 바이러스 프로그램을 구동하는 것이 원칙(충돌 및 리소스 문제)

- 백신 무용론에 대한 이야기도 있으나, 랜섬웨어 유입을 막아주는 광고 차단 프로그램은 쓰는 것이 좋음

- 백신의 상위호환 프로그램 EDR 이 존재 -> 최근 많이 사용하는 추세

BMT(3가지 항목 정도) : 

1. ESET 안티 바이러스 

장점 : 무료 평가판 제공, 최신 기법 도입(샌드박싱, 머신러닝 알고리즘(AI), 클라우드 등)하여 정교하게 탐지 가능

2. Avast 

장점 : 전세계적으로 4억명 이상의 사용자 보유(안정성 확보), 100%무료로 수익 창출을 안함, GDPR, CCPA 등 정보보호 법 완벽 준수, 20년 경력

3. AhnLab

장점 : 국내에서 가장 유명함(안정성), 다차원 분석(머신러닝, 클라우드 등 신기술 통합), UI제공, 고객의 맞춤형 / 최적화 등..

 

2. 패치관리시스템

개념 :

패치 관리는 관리자가 운영 체제(OS), 플랫폼 또는 애플리케이션 업데이트를 제어하는 것을 의미한다. 이를 위해서 개선하거나 수정할 수 있는 시스템 기능을 식별하고, 이러한 개선 및 수정 사항을 실행하고, 업데이트 패키지를 릴리스하고, 설치된 업데이트를 검증해야 하는데 이러한 관리를 해주는 시스템을 패치관리시스템이라 한다.

솔루션 구성도 : https://bigsong.tistory.com/15?category=937090

기능 : 

- 관리 자동화 (보통 수천 건의 보안 패치, 버그 수정, 설정 변경이 필요하지만, 이를 수동으로 하기엔 어려움이 존재)

- 문서 보고서화 / 자동화 (패치가 적용된 시스템, 패치가 필요한 시스템, 미준수 시스템에 관한 명확한 보고서를 생성)

   이외  '패치 관리 정책 설정', '패치 배포 및 수행', '모니터링'  등도 수행

 

특징 : 

- 일부 수동으로 패치하는 경우도 있다. 

- 단 패치 파일의 경우 외부망과 연결되어 내부 네트워크에 취약점이 발생할 수도 있고, 위변조 문제도 발생할 수 있다.

- 하나의 패치관리 솔루션을 사용하기보다, 복합적으로 사용할 필요가 있다.

 

BMT(3가지 항목 정도) : 

1. 하우리 ViRobot PMS

- 맞춤형 배포 및 백그라운드 파일 배포

- 무결성 탐지 기능 및 관리자 지문정보를 이용하여 배포 파일 제작

- 파일 위변조 차단 및 프로세스 보호 등 자체 보호

 

2. 안랩 - AhnLab Patch Management

- 자체 패치랩을 통한 패치 검증 수행 및 별도 관리 지원

- 백그라운드 자동 설치, OS 및 SW 10여종 지원

- 자사 엔드포인트 보안 플랫폼과 연계 통합관리 지원

 

3. 이스트시큐리티 - 알약 패치관리(PMS) 

- 미설치 패치 및 사용자에 대하여 우선순위 제공

- MS OS 및 제품군 외 30여종 SW 패치 제공

- 알약 제품군 구매 시 별도 구축없이 라이센스만으로 사용가능

 

3. 네트워크 접근 제어(NAC)

개념 :

네트워크 접근제어(NAC)는 사용자 PC가 내부 네트워크에 접근하기 전에 보안정책을 준수했는지 여부를 검사하여 네트워크 접속을 통제하는 기술이다.

 

NAC의 핵심은 엔드포인트의 보안기술을 기존 네트워크 보안체계와 결합하여 기업 전체 네트워크에 통합보안체계를 구현하는 것이다. 
따라서 NAC의 기술은 확산되는 보안위협 경로를 미리 차단하여 사전 방어적인 네트워크 보안체계를 구현하는 것을 목적으로 한다.

 

NAC 솔루션은 네트워크 접근통제를 위해 다음과 같은 일련의 과정을 거친다.

출처 : https://yjshin.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EB%B3%B4%EC%95%88-NAC-Network-Access-Control

기능 : 

- 내부망을 보호하는 것에 중심을 둠

- 핵심기능으로는 PC가 유, 무선 랜, 가상 사설망(VPN)등을 이용해 내부 네트워크에 접속할 때 신원을 확인하는 '사용자 인증'가 있음 

- 사용자 PC에 운영체제 보안패치나 안티바이러스 등 보안제품의 설치 및 업데이트 유무를 확인하는 '무결성' 도 중요

출처 : https://yjshin.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EB%B3%B4%EC%95%88-NAC-Network-Access-Control

 

특징 : 

- NAC솔루션들은 적용된 기반기술, 인프라 구성형태(네트워크), Agent 설치 유무 등 구현방식에 따라 다양하게 분류된다.

 

분류 : 

Agent 설치 유무에 따른 Agent/Agent-less 제품의 특성 및 구현 방식에 대해서만 설명하도록 한다.

[출처: http://www.a3security.com, https://yjshin.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EB%B3%B4%EC%95%88-NAC-Network-Access-Control]

 

 

4. 내부정보 유출방지(DLP) 

개념 :

내부정보 유출방지 솔루션 (Data Loss Prevention, DLP)는 사내에서 주고받는 데이터 내용이나 형식 등을 기준으로 탐지해주는 솔루션이다.

중요 정보에 유출을 차단하고, 데이터 보호 규제에 적극 대응할 수 있기 때문에 개인정보보호와 더불어 기타 중요 정보를 취급하기 위해 구축한다.

 

기능 : 

다양한 기능이 존재하는데, 그중 몇가지만 뽑자면 매체제어, 인터넷 파일 첨부차단, 출력물 제어, 개인정보 암호화 등을 꼽을 수 있다.

참고 자료 : https://elsecu.co.kr/post1/

 

1. 매체제어 :

매체제어는 USB, 외장하드 등 이동식 매체를 통해 정보가 이동될 수 있는 모든 수단을 제어하는 것을 뜻한다. DLP솔루션을 통해 사용자(직원)은 이동식매체를 사용시 상부의 승인을 받고 사용 할 수 있도록 보안적용이 되며, 그 USB로 쓰기 행위가 발생된 경우 이력과 로그로 남아있게 된다. 추후 해당 파일에 대한 책임소재를 찾고자 할 때 로그기록이 유용하게 쓰이게 된다.

 

2. 인터넷 파일첨부 차단

인터넷으로 파일첨부가 이루어지는 경로는 다양하지만 그 중 국내에서 카테고리를 정리한 내용은 다음과 같다.

웹하드, 메신저, FTP유틸리티, 메일 클라이언트, 클라우드 스토리지, 오피스 제품, 원격제어, 웹 브라우저 등등 ..

 

3. 출력물 제어 

S/W에서 파일이동이 막힌다면, 사용자 입장에서는 출력물을 출력하여 유출시도가 발생 될 수 있다.

이를 방지하기 위한 것이 출력물제어이며, 승인프로세스도 적용되지만, 워터마크를 통해 누가 언제 어떤 파일의 출력물을 출력했는지 확인이 가능하다.

 

4. 개인정보 암호화

개인정보를 다루는 데에 있어 접근제어, 접근권한, 암호화, 등 많은 기술적 보호조치가 필요하지만 제일 중요한 사항은 PC에서 DLP를 통해 개인정보에 대해 암호화 처리가 필요하다. DLP(정보유출방지) 솔루션에서는 개인정보 정규식을 통해 실시간으로 검출하게 되고, 검출된 파일은 자동으로 암호화기 때문에 기업에서 발생될 수 있는 이슈를 사전에 대응할 수 있다.

 

* 암호화 방식은 일방향, 해시함수, 양방향 등 많은 알고리즘이 있으며, 암호화 검증필을 득한 솔루션을 사용하는 것이 중요하다고 볼 수 있다.

 

특징 :

- NAC솔루션들은 적용된 기반기술, 인프라 구성형태(네트워크), Agent 설치 유무 등 구현방식에 따라 다양하게 분류된다.

 

5. 문서 보안(문서 중앙화)

개념 :

기업 내부에서 업무를 수행할 때, 사용자별로 PC에서 문서를 작성하고 저장하게 되면 관리가 어렵고, 문서가 산재 되어 있기 때문에 유출에 취약하다.

이를 예방하기 중앙 서버에 문서를 저장하고 사용하는 것을 문서 중앙화 라고 명칭한다.

문서중앙화 솔루션의 흐름 및 구성

역할 :

- 문서 유출의 위험을 줄일 수 있고 산재 되어 있는 문서를 관리하기가 편해진다.

- 랜섬웨어에 감염되면 사용자는 pc 사용이 불가해진다. 이때 문서 중앙화를 통해 일종의 백업 기능을 구현할 수도 있다.

 

 기능 : 

- 기본적으로 문서 권한에 대한 정책 관리 기능

- 중앙 서버에 있는 문서를 관리할 수 있는 문서 관리 기능

- 보안 위협에 대응하는 보안 위협 관리 기능

- 모든 솔루션에 기본적으로 있는 로그 관리 기능

 

BMT(3가지 항목 정도) : 

1. 소프트캠프 - MAXEON

- 로컬 PC 보안 드라이브 제공 (임시 파일 저장소 역할)

- 웹 기반 업무 시스템

 

2. 엑스소프트 - PC문서 중앙화

- 사용자 편의 기반의 문서중앙화

- Real Network 드라이브 사용, 로컬드라이브 이용 불필요

 

3. 액츠 솔루션 - 문서중앙화

- PC 저장 금지 및 DLP 기능 / DLP, DRM, 문서중앙화 통합 기능

- 윈도우 탐색기를 통한 바로가기 기능 

 

6. 가상사설망(VPN)

개념 :

공공기관이나 사기업 등 단체에서 내부인들만 쓸 수 있는 특수목적의 인트라넷을 구축할 때는 보통 해당되는 컴퓨터만 전용선으로 연결해서 제3자가 함부로 접근하지 못하는 서버를 쓴다. 그러나 회선이 없는 지역에서는 망 자체에 접근이 불가능해진다. 또한 전국, 해외 단위로 회사가 커지면 커질수록 전용선 구축 비용이 천문학적으로 늘어난다. 따라서 확장성이 뛰어난 인터넷을 인트라넷처럼 사용할 수 있도록 하는 기술이 개발되었다. 그게 바로 가상 사설망, 즉 VPN이다.

가상 사설망은 업무에만 쓰이는 기술이 아니다. 인트라넷의 확장 또는 검열, 지역제한이 있는 인터넷의 자유로운 인터넷을 중계해주기도 한다.

대부분의 사람에게는 인터넷 검열을 피하는 도구로만 알려져 있다. 하지만 그렇게 사용하는것은 개념적으로는 프록시 서버에 더 가깝다.

 

출처 : https://namu.wiki/w/%EA%B0%80%EC%83%81%20%EC%82%AC%EC%84%A4%EB%A7%9D

특징 : 

1. VPN은 응용프로그램 하단 계층에 작동하므로 응용프로그램을 수정할 필요가 없기 때문에 투명성을 제공

2. 사용자가 필요에 따라 자체적으로 보안성을 적용한 네트워크를 구축할 수 있다.

3. 구축비용 부담이 적다.

 

VPN 장점
- 전송되는 데이터가 외부로 노출되지 않아 보안성이 크다.
- 사설망의 장점인 보안성을 가져오며 단점인 비용면에서 절감을 할수 있다.
- 해외망 이용시 속도 개선

VPN 단점
- 사설망으로 구축한 전용망보다 상대적으로 보안 취약
- 공중망이기 때문에 대역폭 보장이 안된다.
- 모든장비가 호환되는건 아니다.

VPN 원리
- 단말기는 인터넷 연결된것, (인터넷,인트라넷) 연결된것, 인트라넷 연결된것 으로 나뉨
- 인터넷 만 연결된건 인트라넷 연결된 단말기에 접근하지 못하는데 그걸 이어주는 역할을 하는게 VPN라우터
VPN 규약중 하나를 사용해서 연결을 시도하며 비밀번호 입력등 자격증명이 필요하며 성공시 암호화된 연결이 형성
암호화 되어 연결된게 VPN의 기술중 하나인 터널링이다.
- VPN라우터는 인트라넷, 인터넷이 연결된것처럼 중간에서 중계역할을 함

VPN 종류
1. Internet-VPN
 - 인터넷 망을 사용
 - IPsec 이라는 암호기술 프로토콜을 사용하여 접속
 - 외부와 사내 네트워크를 연결하므로 암호화된 통로를 만듬
2. IP-VPN
 - MPLS라는 기술을 사용하여 사업자 전용 폐쇄망을 사용
 - 폐쇄망을 사용하기 때문에 암호화 기능이 필요 없음

 

7. 망 분리 및 연계시스템

필요성 : (망분리/망연계 필요성)

정보보호 목적으로 인터넷 망(비-보안영역)과 업무 망(보안영역) 등을 분리 운용함으로써 사이버 해킹이나 내/외부 업무 혼용으로 인해 발생할 수 있는 내부정보 유출을 원천 방지한다.

출처 : http://www.3ssoft.co.kr/board/board.php?db=olution&category=3&pageID=ID14138642280

 

업무망과 인터넷망 분리, 망분리 : 

- 기업 또는 공공기관 내/외부 네트워크 분리로 데이터 유출 및 보안 사고를 차단하는 기술

출처 : http://blog.skby.net/%EB%A7%9D-%EB%B6%84%EB%A6%AC-%EB%A7%9D-%EC%97%B0%EA%B3%84/

 

참고하면 좋을 자료 : 

http://blog.skby.net/%EB%A7%9D-%EB%B6%84%EB%A6%AC-%EB%A7%9D-%EC%97%B0%EA%B3%84/

망 분리, 망 연계 > 도리의 디지털라이프

 

 

 

8. 랜섬웨어 예방

개념 :

랜섬웨어는 금전적인 이득을 얻기 위해 사이버 갈취를 하는 일반적인 수법을 의미한다. 사용자의 파일, 애플리케이션 또는 시스템 접근을 즉시 차단하여 피해자가 몸값을 지불하면 공격자가 암호화 키로 액세스를 복구하는 공격 유형이다.

활용 가능한 위협 인텔리전스를 바탕으로 지원되는 고급 탐지 및 예방 기능이 랜섬웨어와 기타 지능형 공격에 대한 최상의 방어 수단이다. 즉 랜섬웨어 예방 솔루션은 이러한 방어를 제공한다.

 

기능 : 

- 날로 늘어가고 끊임없이 변화하는 랜섬웨어 위협을 차단

- 다양한 공격 경로에 대해 실시간 인라인 랜섬웨어 보호 기능을 제공하여 랜섬웨어가 활성화되지 않도록 방지 또는 방해하고 재정적 손실과 업무 중단으로부터 고객을 보호

 

 

아래 참고하면 좋을것 같음(다양한 솔루션이 존재) : 

https://security.gabia.com/solution/ransomeware?utm_source=google&utm_medium=cpc&utm_term=%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%EC%98%88%EB%B0%A9&utm_campaign=%EB%B3%B4%EC%95%88%EA%B4%80%EC%A0%9C 

가비아: 보안

https://www.fireeye.kr/products/ransomware.html

랜섬웨어 | FireEye

https://www.estsecurity.com/enterprise/solution/ransomware

이스트시큐리티 기업 | 랜섬웨어 대응 솔루션

 

 

9. 웹 방화벽(WAF)

개념 :
웹방화벽(Web Application Firewall, WAF) 은, 일반적인 네트워크 방화벽 (Firewall)과는 달리 웹 애플리케이션 보안에 특화되어 개발된 솔루션이다. 웹방화벽의 기본 역할은 그 이름에서도 알 수 있듯, SQL Injection, Cross-Site Scripting(XSS)등과 같은 웹 공격을 탐지하고 차단하는 것이다. * 웹방화벽은 직접적인 웹 공격 대응 이 외에도, 정보유출방지솔루션, 부정로그인방지솔루션, 웹사이트위변조방지솔루션 등으로 활용이 가능하다.

- 정보유출방지솔루션으로 웹방화벽을 이용할 경우, 개인정보가 웹 게시판에 게시되거나 개인 정보가 포함된
   파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해서 탐지하고 이에 대응하는 것이 가능하다.

 

- 부정로그인방지솔루션으로서는, 추정 가능한 모든 경우의 수를 대입하여 웹사이트에 로그인을 시도하는 경우와 같은 
   비정상적인 접근에 대한 접근 제어 기능을 한다.

- 주로 해커가 해킹을 한 후에 과시하는 것이 목적인 웹사이트 위변조가 발생했을 경우, 이에 대해 탐지하고
   대응하는 웹사이트위변조방지솔루션의 역할을 한다.

출처 : https://isc9511.tistory.com/35

기능 : 즉, 웹방화벽은 위에서 기술한 4 가지 웹 보안 기능을 제공하면서, 웹 애플리케이션이라는 [ 집 ]을 미처 예상하지 못했던 외부의 공격으로부터 지켜내고, 사전에 발견하지 못했던 내부의 위험 요소로부터 지켜내는 [ 울타리 ] 역할을 수행하는 존재라고 할 수 있다.

 

 

방어하는 웹 공격의 대표적 종류들 :

출처 : https://www.monitorapp.com/ko/waf-kr/

등등..

 

FW / WAF 차이 ? : FW와 다르게 패킷의 페이로드(Payload, 내용)을 직접확인, SSL 복호화(Offloading)을 통한 HTTPS트래픽 복호화 가능

출처 : https://isc9511.tistory.com/35

 

 

10. 무선침입방지시스템(WIPS)

개요 : 

와이파이 전파는 눈에 보이거나 물리적으로 막을 수 있는 것이 아니지만, 방법이 없는 것은 아니다. 대표적인 장치가 바로 WIPS(Wireless Intrusion Prevention System, 무선 침입 방지 시스템)다. WIPS는 구현된 공간 내 모든 무선 네트워크 이용 장치와 네트워크 신호를 실시간으로 관제하고, 허가를 받지 않은 유해성 네트워크를 파악해 차단한다.

WIPS는 중앙에 WIPS 관리 서버를 두고, 위치나 구성에 따라 15~30m 간격으로 센서를 배치해야하므로 개인보다는 국가정보원, 국방부, 금융감독원 같은 정부 기관에서 주로 사용하고 있다. 최근에는 보안 관리가 중요한 기업, 금융사, 연구소 등으로 사용 범위가 확산하는 추세다.

 

개념 :

WIPS : 무선 네트워크 환경에서 특정 패턴을 기반으로 공격자 침입을 탐지 및 방어하는 시스템
- 금융 분야는 '전자금융 감독 규정'에 따라 전산실에 WIPS 장비 필수

WIPS 매커니즘 : 

인가받지 않은 네트워크 탐지 시, 더 강한 신호를 내보내 그 무선 네트워크를 끊는 형태

출처 : https://isc9511.tistory.com/40

기능 :

1. 탐지 능력 : 위협 요소와 채널 모니터링

2. 자동화된 사전 방어 : 위협을 적극적으로 방어

3. 위협 요소 위치 표시 : 지도에 위협의 위치를 표시하여 전달

4. Disable Rogue : 비인가 장비 무력화

 

* 하나의 솔루션을 예시로 들어 주요 기능을 설명하자면 아래와 같다. (secui BLUEMAX WIPS)

센서 - 단말 - AP - 행위 - 조치 5단계 심층분석 엔진을 탑재하여 무선 침입 방지부터 무선 보안사고 포렌식까지 지능적으로 대응합니다.

출처 : https://www.secui.com/network/bluemaxwips

 

11. 디도스 공격 대응시스템(Anti-DDoS)

DDOS 공격 개념 :

DoS(Denial of Service) 공격은 웹 사이트 또는 애플리케이션과 같은 대상 시스템의 가용성과 합법적인 최종 사용자에게 악영향을 미치려는 악의적인 시도이다. 일반적으로 공격자는 대량의 패킷 또는 요청을 생성하여 궁극적으로 대상 시스템을 마비시킨다.

* DDoS(Distributed Denial of Service) 공격에서는 공격자가 여러 개의 손상된 또는 제어된 소스를 사용하여 공격을 생성함

일반적으로 DDoS 공격은 공격 대상인 OSI(Open Systems Interconnection) 모델의 계층에 따라 분리될 수 있다. 
DDoS 공격은 네트워크(계층 3), 전송(계층 4), 표현(계층 6) 및 애플리케이션(계층 7) 계층에서 가장 많이 나타난다.

출처 : https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=sdream4&logNo=10085897435

 

굉장히 정리가 잘되어있는 사이트 : 

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=sdream4&logNo=10085897435 

anti DDos 장비 정리

 

이렇게 DDOS공격을 대응하고, 예방하고자 안티 디도스와같은 다양한 디도스 대응 장비를 사용하는 것이다.

 

기능 : 

출처 : https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=54&utm_source=google&utm_medium=cpc&utm_campaign=google%5Fb2b&utm_content=TrusGuard+DPX&utm_term=%EC%95%88%ED%8B%B0%EB%94%94%EB%8F%84%EC%8A%A4&gt_network=g&gt_keyword=%EC%95%88%ED%8B%B0%EB%94%94%EB%8F%84%EC%8A%A4&gt_target_id=kwd-337214000820&gt_campaign_id=888219307&gt_adgroup_id=50150557612&gclid=Cj0KCQjw1tGUBhDXARIsAIJx01l3edbwuyGoDWCBb2yNrHBR0U_2ByCTj7c-LQHLow6GK-wGMudjaYsaAjvNEALw_wcB

*  "AhnLab TrusGuard DPX는 DDoS 공격 대응 전용 솔루션으로 국내 DDoS 솔루션 시장 점유율 1위 제품입니다"라고 한다.

 

12. 엔트포인트탐지(EDR)

개념 :

EDR(EndPoint Detection & Response)를 알기 위해선, End Point(엔드포인트)의 개념을 알고 있어야 한다.

엔드포인트를 단순하게 얘기하자면 커뮤니케이션 채널의 한쪽 끝이다. 이는 웹으로 치면은 웹페이지가 될 수 있고, 사용자 입장에서는 사용자가 사용하는 단말(pc, 태블릿 등)일 수도 있다. 즉 소프트웨어나 하드웨어 제품의 최종 목적지라고 생각하면 되겠다.

 

- SK인포섹에서 발행한 정보보호 구축 가이드에서는 엔드포인트에서 행위기반으로 시스템의 위협을 탐지하고 그에 대응하는 솔루션이라고 정의한다.

- EDR은 엔드포인트에서 활동을 기록하고 사용자 행위 분석, 머신러닝 등을 이용하여 위협정보를 분석하거나 잠재적 위협활동을 식별해 보안사고를 방지하는 솔루션인 것이다. (출처: https://bigsong.tistory.com/17?category=937090 )

 

EDR 솔루션 구성 : https://bigsong.tistory.com/17?category=937090

기능 : 

- 내/외부 위협 탐지와 대응

- 정보 유출 등 단말 보안이 고도화

- 악성코드 유입과 감염, 취약점을 이용한 내부 확산 탐지, 반복적 이상 행위와 위협을 실시간 추적해 신속 대응하는 인텔리전스 보안 솔루션이다. (랜선웨어를 탐지할 수도 있음)

 

EDR은 행위기반으로 악성코드 탐지나 위협을 예측하고 방어하기 때문에 신속하게 대응하는 것이 대표적인 기능임

- 기능의 영역은 앞서 말한대로 '예측', '탐지', '방어', '대응' 4개의 기능영역으로 구분지을 수 있음.

1. 예측은 행위기반으로 위협예측 및 위협 평가

2. 탐지는 사고를 탐지하고 위험확인 및 우선순위를 지정함

3. 방어은 위협에 대한 방어와 시스템 격리, 강화

4. 대응에서는 피해에 대한 치료나 분석 등을 수행

 

BMT(3가지 항목 정도) : 

1. 엔피코어 - Zombie Zero EDR

- 패턴 풀링 기능을 토항 상관분석

- 동적 분석을 통한 신종 위협 탐지

 

2. Paloalto - XDR

- 네트워크 IPS 공격 탐지 기술 제공

- AI를 통한 엔드포인트 및 네트워크 학습 및 분석

- 자사 Auto Focus 인텔리전스 서비스

 

3. 지니언스 - Insight E

-IOC 침해사고 지표 탐지
-머신러닝 통한 이상행위 탐지/행위기반분석(XBA) 엔진 제공

-자체 인텔리전스 서비스 EcoSystem 제공

 

13. 차세대방화벽(NGFW)

방화벽이란?

접근제어 시스템으로 기업이나 조직의 IT자산을 외부에서 내부 또는 내부에서 외부로 접속할 때 보안정책에 의해 접근 승인/차단 하는 시스템이다.

출처 : https://m.blog.naver.com/prsystem17/221511155947

 

https://m.blog.naver.com/prsystem17/221511155947

 

 

개념 :

차세대 방화벽은 3세대 방화벽 기술의 일부로, 상황을 인지하는 지능형 보안 기능을 통해 애플리케이션 수준에서 고급 보안 위협을 해결하도록 설계되었다.NGFW는 패킷 필터링과 상태 저장 검사 등의 기존 방화벽 기능을 다른 기능과 결합하여 허용할 트래픽을 선택하는 데 더 나은 의사 결정을 내릴 수 있도록 한다.

차세대 방화벽은 애플리케이션을 기반으로 패킷을 필터링하고 IP 헤더뿐만 아니라 패킷에 포함된 데이터를 검사하는 기능을 보유하고 있다. 즉 다시 말해, 이전의 방화벽 기술은 OSI 모델의 레이어 4(전송 계층) 수준까지만 작동했지만 이 기술은 레이어 7(애플리케이션 계층)까지 작동한다는 것이다. OSI 모델의 레이어 4~7 수준에서의 공격이 증가하고 있기 때문에 이러한 기능은 매우 중요하다.

 

 이점은 다음과 같다고 한다.

출처 : https://www.vmware.com/kr/topics/glossary/content/next-generation-firewall.html

 

https://www.fortinet.com/kr/products/next-generation-firewall

차세대 방화벽 | NGFW | FortiGate

 

14. 다크웹 대응 / OSINT

딥웹 다크웹 개념 :

출처 : https://privateinformationsecurity.tistory.com/117

 

개요 : 

OSINT 분석 서비스를 제공하는 쿤텍은 “다크웹이나 텔레그램은 고도의 익명성이 보장되기 때문에 일반적으로 쉽게 접근할 수 없는 마약, 총기, 성 관련 영상 등을 배포하고 거래하더라도 범죄 수사의 추적을 피하기 쉽다. 특히, 다크웹은 수요자와 공급자의 원활한 소통이 어려운 부분도 있어 ‘리코쳇(RICOCHET)’ 등의 익명 채팅 프로그램을 사용하고 있으며, 텔레그램을 범죄에 이용하는 경우 ‘대포폰’으로 계정을 생성하는 경우도 있어 추적이 어려운 것이 현실”이라고 말했다

다크웹 인텔리전스 전문기업 S2W LAB은 “다크웹을 이용하는 가장 큰 이유는 익명성이 유지되는 공간이기 때문이다. 간혹 실제 범죄자들이 잡히는 경우도 있지만 이는 전체 다크웹이나 텔레그램 등에서 활동하는 범죄자들의 수에 비해 매우 적은 수”라고 말했다.

이처럼 익명 공간에서 발생하는 범죄를 탐지하고 추적하기 위해서 OSINT(공개출처정보, Open Source INTelligence)의 필요성 역시 커지고 있다. OSINT란 공개된 출처로부터 정보를 모으고 이를 분석해 정보를 얻는 첩보 수집방법 중 하나다. 과거 신문이나 논문 등을 통해 주로 정보를 수집한 것과 비교해, 인터넷이 발달한 오늘날 OSINT는 소셜 미디어, 온라인 커뮤니티, 인터넷 뉴스 등 표면웹 뿐만 아니라 딥웹, 다크웹 등 다양한 공개출처에서 정보를 수집한다.

 

개념 :

OSINT는 정보 유출 사고 인지 및 대응, 그리고 사이버 공격 및 범죄 동향 파악을 목적으로 하는 국가 기관과 기업으로부터 국제적인 관심을 받고 있다. 최근 국내 대기업 중의 하나가 다크웹 랜섬웨어 조직의 공격을 받아 AD를 통해 수십만대의 PC 리스트와 크리덴셜이 다크웹에 공개되며 OSINT의 중요성이 사회적으로 부각되고 있다.

기업 별 제공 서비스 : 

서비스의 주요 특징으로는 △100만개의 소스로부터 200억 건의 이벤트를 실시간 수집 및 처리 △머신러닝에 의한 자동화된 분석 기능 △실시간 위협정보 업데이트 △전직 CIA, NSA, USSS, DHS 애널리스트 보유(Insikt Group) △데이터 소스의 투명성과 실시간 컨텍스트 제공 △한국어를 포함해 13개 언어에 대한 자연어 처리 △고급 검색을 통한 맞춤형 탐색 △SOAR, SIEM, SNOW 서드파티 보안 솔루션과 연동 △데이터 피드, 리포트, 실시간 웹 포털 등 보안인텔리전스 서비스 제공 등을 들었다. 해당 서비스는 클라우드 기반(SaaS) 형태에 사용자당 연간 라이선스 방식으로 공급 중이다.

 

이외에도 쿤텍, 레코디드퓨처 등등 다양한 기업의 서비스(솔루션)이 존재한다.

 

참고 자료 : 

https://www.boannews.com/media/view.asp?idx=97019 

[2021 OSINT 리포트] 익명성 악용하는 사이버 범죄자, OSINT로 끝까지 추적한다

https://blog.lgcns.com/2754

[보안동향] 늘어나는 다크웹 사건 사고, 어떻게 대응해야 할까? 2편

 

무튼..! 이렇게 다크웹이나 딥웹 관련해서 피해 확산을 예방 할 수 있도록 사고 인지 및 모니터링을 해주는 솔루션이다.

 

15. 다요소 인증(MFA)

개념 :
What is Multi-Factor Authentication 다중요소인증이란?

다중요소인증은 사용자가 두가지 이상의 것을 서로 다른 카테고리에서 검증하여, 온라인 사용자를 식별하는 프로세스라고 할 수 있다. 
단계별 인증, 고급 인증, 2단계 인증 및 2단계 검증과 같은 변형된 형식으로 전화를 받을 수 있다.

* MFA에서 사용할 수 있는 3가지 요소는 다음과 같음
1. 사용자가 알고 있는 핀번호 또는 비밀번호 
2. 사용자가 가지고 있는 모바일 장치 
3. 사용자의 지문 또는 음성(목소리)

 

장점 : 

모바일 장치를 이용한 사용자의 인증 또는 지문이나 생체인식 요소와 같은 현재 상태를 통해, 사용자를 인증함으로서 쉽게 추측할 수 없는 인증 요소를 추가하여 보완할 수 있음. 만약, 이 때 해커가 시스템에서 요구하는 모든 요소를 가지고 있지 않고 있다면 결국 계정에 접근하게 될 수 없게 됩니다.

* 이렇듯 MFA의 가장 큰 장점은 보안을 강화할 수 있다는 것입니다.

 

사전적 정의 : 

다요소 인증(多要素認證, Multi-factor authentication, MFA)은 적어도 다음 분류 중 두 가지에 한해 별도의 여러 증거 부분을 인증 매커니즘에 성공적으로 제시한 이후에만 사용자가 접근 권한이 주어지는 컴퓨터 접근 제어 방식의 하나이다: 지식(knowledge), 소유(possession), 속성(inherence).2요소 인증(Two-factor authentication, 2FA)은 두 개의 다른 요소를 병합함으로써 사용자가 주장하는 식별자를 확인하는 방식이다. 2요소 인증은 다요소 인증의 일종이다.

 

솔루션 : 

https://www.pentasecurity.co.kr/multi-factor-authentication/

다중 인증 (MFA, Multi-Factor Authentication) | 펜타시큐리티시스템

 

 

16. 클라우드 워크로드 보호 플랫폼(CWPP)     

개요 :

클라우드 환경을 보호하기 위한 보안 솔루션으로 ‘클라우드 워크로드 보호 플랫폼(Cloud Workload Protection Platform)’, 일명 CWPP 솔루션이 주목받고 있다. 클라우드 서비스 제공사(CSP)가 컴퓨팅, 스토리지, 데이터베이스, 네트워크 등 인프라 부문에 대한 보안을 책임지고는 있지만 데이터, 애플리케이션, 운영체제, 네트워크 및 방화벽의 설정 등에 대한 보안은 이용하는 기업·기관이 책임져야 하기 때문이다. CWPP 솔루션은 복잡한 하이브리드 및 멀티 클라우드 환경에서 관련 워크로드를 보호하며, 서버나 가상머신(VM) 뿐만 아니라 컨테이너 등 새로운 환경까지를 포함하는 가시성과 다양한 보안 기능을 제공한다.

 

클라우드 보안 시장에서 떠오르는 솔루션은 크게 3가지로 요약할 수 있다.

1. CASB(Cloud Access Security Broker, 클라우드 접근 보안 중개)

2. CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)

3. CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)

* 이 중 특히 CWPP는 애플리케이션 제어, 안티 멀웨어(Anti-Malware), 호스트 기반 침입방지시스템(HIPS, Host-Based Intrusion Prevention System) 등의 기능을 제공해 클라우드 보안을 위한 필수 솔루션으로 평가받고 있다.

 

개념 :

CWPP는 하이브리드, 멀티 클라우드 환경에서의 서버 워크로드를 보호하기 위한 제품이다.

클라우드 전환이 시작되면서 가트너는 초기 CWPP라는 새로운 범주의 솔루션에 대해 클라우드 서버 워크로드, 특히 물리적 환경과 가상머신 등에 대한 런타임(Runtime, 운영 상)에서의 보안을 중심으로 한다고 정의했다.

 

그러나 클라우드 환경으로의 전환이 가속화되며 기업의 조직 환경이 변화함에 따라 가트너에서 정의한 CWPP의 보호 영역 또한 확장되는 추세다. 최근 컨테이너, 쿠버네티스(Kubernetes), 서버리스(Serverless) 등으로 서비스 제공 형태가 변화하면서 운영뿐만 아니라 개발 단계로까지 보호 영역이 확대되고 있는 것이다.

가트너는 최근 이처럼 새롭게 변화하고 있는 CWPP의 정의를 △기본적으로 물리, 가상머신, 컨테이너, 서버리스 등의 서버 워크로드에 대한 가시성을 지원하고 △시스템 무결성 보호, 애플리케이션 제어, 행위 모니터링, IPS, 안티멀웨어 등의 기능을 이용해 워크로드를 런타임에서 공격으로부터 보호하며 △개발 파이프라인에서 취약점 등에 대한 스캐닝을 기반으로 워크로드에 대한 위협에 사전 대응하는 것 등으로 요약해 발표했다.

 

기능 :

< CWPP 솔루션의 8가지 주요 기능 >

가트너는 하이브리드/멀티 클라우드 데이터센터에서의 워크로드 보호를 위해 중요한 기능을 8개 레이어로 설명한다.


1. 보안 강화 및 설정/취약점 관리(Hardening, Configuration and Vulnerability Management)
워크로드 이미지는 필요한 코드와 소프트웨어로만 구성된다. 텔넷/FTP, 브라우저 등 불필요한 애플리케이션이 제거됐는지, 산업 표준이나 기업 가이드라인 등에 맞게 시스템 보안 설정이 구성됐는지, 취약점이 존재하는지 등을 점검하고 관리한다.


2. ID 세그멘테이션 및 네트워크 가시성(Identity-based segmentation and Network Visibility)
워크로드별 방화벽 및 세그멘테이션 기능으로 각 워크로드를 보호하고 네트워크 가시성을 제공한다. 사용자는 CSP(클라우드 서비스 제공 기업)가 기본적으로 제공하는 세그멘테이션(AWS Security group, Azure Network Security Group 등)을 활용하거나 CWPP가 제공하는 보안 기능을 이용할 수도 있다. 이스트-웨스트(East-West) 통신에서의 네트워크 공격 탐지를 위해 요구되고 있다.


3. 시스템 무결성 보장(System Integrity Assurance)
워크로드를 인스턴스화(시작)하는 동안 무결한지 검증하거나, 워크로드가 부팅된 후 시스템 파일 및 구성에 주요한 변경사항이 있는지 실시간으로 모니터링한다. 일반적으로 FIM(File Integrity Monitoring, 파일 무결성 모니터링)과 같이 중요 파일에서 레지스트리, 시작폴더, 부트로더(Boot loader) 등을 모니터링한다.


4. 애플리케이션 제어(Application Control/Whitelisting)
일반적으로 서버는 단일(Single) 애플리케이션을 구동한다. 서버에서 무슨 실행 파일을 구동할 것인지 제어함으로써 보안을 강화할 수 있으며, 자동거부(Default Deny) 또는 제로트러스트 보안 형상(Zero-Trust Security Posture)을 적용할 수 있다.


5. 익스플로잇 예방 및 메모리 보호(Exploit Prevention/Memory Protection)
운영체제 및 실행 가능한 애플리케이션 취약점에 대응하며, 메모리상 악성코드 실행 등 파일리스 공격으로부터 서버 워크로드를 보호한다.


6. 서버 워크로드 EDR, 행위 모니터링 및 위협 탐지/대응(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response)
워크로드의 네트워크 통신, 프로세스 시작, 파일 오픈, 로그 등을 모니터링해 의심스러운 행위를 탐지하고 이에 대응한다. 또는 허용된 애플리케이션 행위에서 벗어난 비정상적인 행위가 있는지 탐지하는 형태이기도 하다. 호스트 기반 에이전트 방식으로 탐지되거나, 네트워크 또는 클라우드 베이스 기반으로 탐지되는 형태도 존재한다.


7. 호스트 기반 침입 탐지 시스템(Host-Based IPS With Vulnerability Shielding)
워크로드 환경으로 유입되는 네트워크 트래픽을 분석해 알려진 취약점에 대한 공격을 탐지/차단한다. 네트워크 기반 IPS만으로는 워크로드 보호 외에 가상머신 간(Inter-VM), 컨테이너 간(Inter-Container-Based) 공격으로부터의 보호는 어렵다. 반면 HIPS(호스트 기반 IPS)는 패치되지 않거나 또는 패치될 수 없는 호스트를 제로데이 취약점 공격로부터 보호하며, 서버 워크로드를 보호하는 데 중요한 역할을 수행할 수 있다.


8. 안티 멀웨어 스캐닝(Anti-malware Scanning)
시그니처 기반의 안티 멀웨어 스캐닝을 말한다. 일반적으로 관리되고 있는 서버 워크로드에서는 필요성이 크지 않으며, NFS 서버나 FTP 서버 등의 파일 공유가 진행되는 저장소(Repository) 서버를 대상으로 활용된다. 컴플라이언스 요구사항 중 하나로 제시될 수 있는 기능이다.

출처 : 아이티데일리(http://www.itdaily.kr)

이외에도, 콘텐츠 무해화(CDR), 개인정보 접속기록 관리, 개인정보 비식별화 솔루션, OT/ICS 보안솔루션, SSO, EAM, IAM, UTM 등등 다양한 솔루션이 존재합니다 ㅎㅎ. 이외에 솔루션에 대해서는 향후 다시 조사 후 기재하도록 하겠습니다 !