[데이터넷] 다양한 형태의 내부자 보안 위협에 대응하기 위해 보안조직은 내부 위협을 관리하고 외부 위협을 방어하는 투 트랙 전략을 택해야 한다. 내부자의 고의나 실수, 혹은 감염된 내부자에 의해 대부분의 침해사고가 발생하기 때문이다.
최근 가장 많이 발생하는 공격 유형은 정상 프로세스를 사용하며, 정상적인 사용자 권한으로 실행된다. CMD, EXE, 파워쉘, WMI 등 OS에 포함된 툴 이용하며, 정상 사용자가 실행해 샌드박스나 이상행위 탐지 시스템에 탐지되지 않는다.
또한 소프트웨어 인증서를 탈취해 내부 프로그램을 변조하는 공급망 공격도 있다. 이 공격 역시 내부의 정상 소프트웨어 인증 프로세스를 이용하기 때문에 사전에 탐지하기 어렵다. 내부에서 소프트웨어가 변조돼 배포되기 때문에 해킹 방어 시스템으로 막을 수 없다.
강기호 시만텍코리아 이사는 “OS의 정상 툴을 이용하는 자력형 공격은 70% 이상 성공률을 보여주는 확실한 공격 방법이며, 공급망 공격은 정상 소프트웨어 배포 프로세스를 이용하기 때문에 기존 보안 시스템으로 막기 어렵다”며 “최근 공격은 내부자와 외부자에 의한 위협이 혼합돼 경계를 나누기 어렵고 보안 정책과 프로세스를 마련하는 것도 쉽지 않게 됐다”고 설명했다.
외부-내부 위협 구분 어려운 보안 환경
기업의 비즈니스가 클라우드로 확장되면서 위협 대응이 더욱 어려운 상황이 됐다. 온프레미스 데이터센터와 프라이빗 클라우드, 여러 퍼블릭 클라우드를 혼용하는 멀티 클라우드 환경은 내부 사용자와 외부 사용자를 구분할 수 없게 한다. 기업 내 사무실에서 근무한다 해도 외부 퍼블릭 클라우드를 사용한다면, 외부 클라우드 네트워크에 연결해야 하기 때문에 내부 사용자라고 하기 어렵다.
기업 내부와 외부의 경계를 나누기 어려운 상황에서 데이터를 보호하기 위해서는 멀티 클라우드 전반에서 데이터를 보호하는 통합 보안 시스템이 필요하다. 시만텍의 데이터 보안 솔루션은 클라우드 접근 보안 중개(CASB)와 통합돼 어떤 환경에서도 데이터를 안전하게 보호할 수 있도록 한다.
시만텍 DLP는 클라우드, 이메일, 웹, 엔드포인트, 스토리지 등 다양한 통신 채널을 포괄해 데이터 유출을 차단한다. 클라우드 DLP 서비스를 이용해 데이터 보호 기능을 클라우드로 확장할 수 있으며, CASB 솔루션 ‘클라우드 SOC’와 통합돼 클라우드 애플리케이션으로 확장된 엔터프라이즈를 보호한다. 섀도우 IT를 통한 데이터 위협을 사전 차단하고, 사용자 행동분석과 트랜잭션 가시성 제공, 데이터 거버넌스, 포렌식 분석을 제공한다.
또한 정책에 따른 사용자 웹 접근을 제어하는 보안 웹 게이트웨이(SWG) 기능을 클라우드로 확장한 ‘WSS’ 서비스를 이용해 다양한 웹 기반 공격으로부터 사용자를 보호하며, 소프트웨어 정의 경계(SDP) 기능을 적용한 ‘SAC’ 솔루션을 이용해 클라우드와 애플리케이션을 보호하면서 무결성이 검증된 사용자와 기기만이 애플리케이션에 접속하도록 한다.
패킷 분석으로 중요 정보 유출 방지
내부정보 유출 방지(DLP) 솔루션 시장은 국내 기업이 강세를 보여 왔다. 우리나라의 다양한 엔드포인트와 네트워크 환경에 최적화하면서 복잡한 규제준수 요건을 만족시키고, 국내 독특한 기업 문화를 맞출 수 있으며, 합리적인 가격으로 제공된다는 것이 큰 장점이었다.
이 장점에 문서보안 영역까지 확장 제공하면서 글로벌 경쟁력을 확보하려는 시도도 보인다. 수산아이앤티는 네트워크 DLP 솔루션 ‘이워커 DLP(eWalker DLP)’를 파수닷컴의 데이터 거버넌스 솔루션 ‘데이터 레이더’와 연동해 허용되지 않은 문서의 외부 유출을 제하하고 사내 중요 정보를 보호할 수 있도록 기능을 확장했다.
수산아이앤티의 ‘이워커 DLP’는 패킷 제어·분석 기술 ‘DPDK(Data Plane Development Kit)’를 사용해 오탐 없이 빠르고 정확하게 내부정보 유출을 탐지·대응한다. 패킷 처리와 세션 제어 처리를 모듈화 해 제품 라인별 모듈 사용 수를 조정, 성능 처리를 극대화 할 수 있다. 인메모리 기술을 기반으로 해 고속 처리 효과를 높인다.
이 제품은 SSL 가시성 솔루션 ‘이프리즘 SSL VA’ 및 SWG ‘이워커 SWG’와 연동해 보안 효과를 높인다. SSL 트래픽을 복호화 해 보안 위반 사항이 있는지 확인하고, 메일, 메신저, SNS, 웹하드, FTP 등 여러 웹 서비스로 접속을 통제해 인·아웃바운드 통제를 완성한다.
이성권 수산아이앤티 대표는 “현재 개발 중인 네트워크 기능 가상화(NFV) 시스템에 DLP를 탑재할 수 있도록 할 계획이며, 클라우드 형 서비스로도 발전시킬 계획이다. 또한 머신러닝과 시각화 기술을 사용해 고객에게 많은 인사이트를 제공할 수 있도록 할 것”이라고 설명했다.
SSL 가시성 확보해 우회 공격 차단
SSL 가시성은 최근 네트워크 DLP 분야에서도 중요한 기술로 꼽힌다. 현재 네트워크 트래픽의 70%가 SSL/TLS 암호화 트래픽으로, 이를 이용한 침해 시도가 끊이지 않기 때문이다. 암·복호화는 CPU 집약적인 작업으로, 암호화 트래픽을 복호화 할 때 하드웨어 리소스 사용이 급증하고 시스템 성능이 느려지거나 다운되는 등 장애가 발생할 수 있다. 그래서 네트워크·보안 솔루션은 암호화 트래픽을 분석하지 않거나 고사양 장비를 도입하도록 유도한다.
SSL 트래픽 암·복호화 전용 솔루션인 SSL 가시성을 이용하면 이 문제를 해결할 수 있는데, SSL 가시성 솔루션이 암호화 트래픽을 복호화 한 후 네트워크·보안 솔루션으로 보내고, 분석이 끝난 트래픽을 다시 암호화 하는 역할을 한다.
최근 네트워크 DLP 솔루션은 데이터 처리 속도를 더욱 빠르게 하기 위해 SSL 가시성 기술을 네트워크 DLP와 긴밀하게 연동시켜 제공하기도 한다. 소만사는 ‘메일아이(Mail-i)’와 프록시 장비 ‘웹키퍼 SG’를 연동해 모든 트래픽을 복호화 해 분석하면서도 인라인 속도의 데이터 처리를 지원한다. 암호화 트래픽에 숨은 중요정보 유출 시도를 차단하는 한편, 사전 차단된 로그기록으로 유출 정보를 확인하고 대책을 세울 수 있도록 도와준다.
‘웹키퍼 SG’는 설계 단계부터 DLP와 최적의 연동을 지원할 수 있도록 설계해 시스템 연동 시 발생할 수 있는 부하를 원천 제거했으며, 대용량 트래픽 환경에서도 성능저하 없이 데이터를 처리할 수 있다.
김대환 소만사 대표는 “소만사 메일아이는 국내 가장 많은 고객이 사용하는 대표적인 네트워크 DLP 솔루션으로, 모든 네트워크·웹 기반 정보유출 시도를 원천 차단할 수 있다. 향후 소만사는 이미지 파일로 장한 개인정보 문서, 텍스트를 이미지화한 그림파일 등 의도적으로 개인정보를 숨기는 행위에 대한 탐지기술을 고도화하며, 성능 개선을 지속적으로 진행해 5G·IoT·클라우드에서의 대규모 트래픽까지 지원할 계획”이라고 말했다.
최근 클라우드 활용 범위가 넓어지면서 클라우드 전반에서 데이터를 보호하는 기술이 소개되고 있으며, 클라우드를 활용해 비용 효율적으로 데이터를 보호하는 서비스도 속속 등장하고 있다. 지란지교소프트는 중소·중견기업에서 높은 호응을 받고 있는 DLP 솔루션 ‘오피스키퍼’와 PC 개인정보 보호 솔루션 ‘PC필터’를 클라우드로 제공하며, 지란지교 계열사 엑소스피어는 단일 에이전트에 엔드포인트 보호 기능을 통합한 클라우드 서비스를 출시하고 글로벌 시장을 공략한다.
