1. 안티바이러스
안티바이러스란?
컴퓨터에 악영향을 미치는 악성 소프트웨어를 찾아내 제거(치료)하는 소프트웨어를 말한다. 바이러스(virus), 웜(worm), 트로이목마(trojan horse), 애드웨어(Adware), 스파이웨어(spyware)와 같은 독립적인 실행파일(악성코드)이나 스크립트, 컨텐츠 등 다양한 형태로 제작되는 멀웨어를 통해 발생할 수 있는 위협으로부터 시스템을 보호하기 위한 백신을 포함하는 보안솔루션이다.
안티바이러스의 특징 및 기능
폭발적으로 증가 및 고도화되는 악성 소프트웨어에 대비하여 탐지 패턴의 자동업데이트 기능, 악성 행위를 실시간으로 탐지할 수 있는 실시간 감시 기능, 수동 및 자동으로 바이러스를 검사할 수 있는 기능이다. 최근에는 개인정보보호 기능 등을 포함해 방화벽 및 VPN과 같은 네트워크 보안 기능, 파일 접근 기록 및 저장 매체 제어를 할 수 있는 시스템 보안 기능 등을 내장해 반드시 설치해야 할 필수 컴퓨터 프로그램으로 자리 잡고 있다.
안티바이러스 인증 제도
- AV-TEST
- VB100
- ICSA
- Checkmark
- AV-comparatives
안티바이러스 제품 종류
안랩 - V3
바이러스 검사 소프트웨어를 백신(Vaccine) 소프트웨어로 부르게 된 것의 시초이며, ‘V2’, ‘V2 플러스(V2plus)’ 등으로 업데이트되어 ‘V3’라는 이름의 보안 프로그램은 국내에서 대표적으로 많이 사용되는 안티바이러스 소프트웨어이다.
이스트소프트 - 알약
바이러스 검사 소프트웨어로 비트디펜더 엔진과 이스트소프트가 자체 개발한 테라 엔진을 사용하고 있다.
ESET - Nod32
최초 도스 기반의 프로그램이다. 비즈니스 에디션은 ESET Remote Administrator를 추가하고 있어서 분산 컴퓨팅 및 관리, 위협 서명 데이터베이스 업데이트 미러링, 마이크로소프트 윈도우 서버 운영 체제에 설치하는 기능 등을 제공하고 있으며, 최소한의 리소스를 가지고 안정적인 보호를 하는 것이 특징이다.
시스코시스템즈 - ClamWin
광범위하게 체계화된 빠른 고성능의 바이러스 검사 소프트웨어이지만, 실시간 탐지는 불가한 특징이 있다.
시만텍 - Norton
사용 기간 악성코드 방지 및 제거 기능을 제공한다. 컴퓨터 바이러스를 탐지하기 위해 시그니처 및 기계학습을 사용하며, 또 다른 기능으로는 스팸 메일 필터링과 피싱 보호가 있다.
Avast
체코 프라하에 본사를 둔 체코의 다국적 사이버보안 소프트웨어 기업이 만든 안티바이러스 소프트웨어이다. 전 세계 악성 소프트웨어 방역 애플리케이션 가운데 가장 많은 시장 점유율을 차지하고 있으며 악성코드 탐지 기능 외의 VPN, 샌드박스 등 부가적인 기능들이 편리하고 강력하다.
McAfee
거대 정보보호 업체이자 회사가 판매하는 안티바이러스 소프트웨어의 브랜드 이름이다. 특히, 제로 데이 공격과 확산된 멀웨어를 차단하는 데 효과적이고 실시간 보호 및 보안 방화벽과 같은 바이러스 백신에 필요한 모든 기능 및 성능 최적화 및 암호 관리자와 같은 몇 가지 추가 기능을 모두 사용할 수 있다.
Microsoft Defender
Microsoft에서 자체 개발한 Windows 내장 안티바이러스 소프트웨어이다. 기본 내장 안티바이러스 소프트웨어이기 때문에 최적화가 잘되어 다른 안티바이러스 소프트웨어보다 안전성이 우수한 편이다.
Kaspersky
유진 카스퍼스키가 개발한 바이러스 검사 소프트웨어로, 강력한 엔진과 최적화 기술을 바탕으로 컴퓨터 리소스에 영향을 최소로하여 높은 성능을 나타내고 있으며, 세계적으로 가장 잘 알려진 안티바이러스 소프트웨어 중 하나이다.
TrendMicro
서버, 클라우드 컴퓨팅 환경에 사용되는 보안 소프트웨어를 개발하고 있으며, 랜섬웨어가 유명해지고 악의적인 공격 차단만으로는 시스템보안 유지에 한계가 있다는 것을 알게 되자 점차 머신 러닝 방식으로 보안을 강화하고 있다.
안티바이러스 기능 및 성능 분석 1부 - CSRC Weblog (kaist.ac.kr)
윈도우에 '유료' 안티바이러스 솔루션이 여전히 필요한 이유 - ITWorld Korea
안티바이러스 국제 공신력 인정 척도로 ‘자리매김’ - 데이터넷 (datanet.co.kr)
2. 패치관리시스템
구멍 난 곳을 때우다 또는 덧대다는 뜻의 ‘패치(Patch)’는 사이버 보안 분야에서 버그나 취약점을 고치는 일을 말한다. 패치관리 시스템(PMS)는 OS, 소프트웨어 취약점을 자동으로 패치하고, 최신버전으로 업데이트해주는 보안관리 시스템이다. 1)취약점 보고 2)패치 개발 3)패치 발표 4)취약점 악용 등으로 이어지는 과정 속에 취약점 악용을 효과적으로 예방하는 수단이 된다. 패치 발표와 취약점 악용 사이 시간차가 계속해서 줄어드는 가운데, 패치 테스트 및 설치를 신속하게 진행할 수 있는 대안이 되는 것이다. 복잡다단한 패치관리를 자동으로 손쉽게 관리할 수 있어 기업에서 도입이 확산되고 있다. 다만, 악성코드의 침입통로로도 자주 악용되고 있어 더욱 철저한 보안관리가 요구되고 있다.
패치관리시스템 제품 종류
안랩 - AhnLab Patch Management
- 자체 패치랩을 통한 패치검증 수행 및 별도 관리 지원
- 자사 엔드포인트 보안 플랫폼과 연계 통합관리
이스트시큐리티 - 알약 패치관리(PMS)
- 미설치 패치 및 사용자에 대하여 우선순위 제공
- 알약 제품군 구매시 별도 구축 없이 라이센스 만으로 사용 가능
아이스테이션 - TA-PRS
- 내부 정책에 따른 정책 설정 기능
- 비업무용 SW 설치 차단
- 장애로 인한 시스템 재기동시 원본 시스템으로의 복원
앤앤에스피 - nNetTrust
- 패치 관리가 수동에서 자동으로 전환되어 효율성 증대
- 물리적 단방향 기술 적용하여 망분리 효과 유지
- 안전하게 격리된 클린존을 통해 파일 검사
마이크로소프트 - SCCM
- 통합 관리 콘솔로 자동화된 관리 도구
- 상태 모니터링 및 규정 준수하며 소프트웨어 배포 및 데이터 보호
시만텍 - Altiris
- 패치 관리를 중앙에서
- 패치 설치 자동화
- 실시간 컴플라이언스 지원하여 엔드포인트 보안 강화
닥터소프트 - NetClient
- PC 자산관리 솔루션
- 패치 강제 설치, PC 보안점검, 네트워크 차단, 백신 관리, PC 방화벽
- 운영체제별 자동 패치 및 예약 패치 제공
- 중요도에 따른 자동 승인으로 패치를 자동화
- 장비별 패치 설치율 및 진행 상태 확인 및 설치된 패치가 문제될 경우 롤백 기능
- 선택적인 패치 설치 및 서비스팩 패치 개별화, 통계보고서 제공
하우리 - ViRobot PMS
- 맞춤배포, 백그라운드 파일 배포 가능
- 무결성 탐지 기능 및 관리자 지문정보를 이용하여 배포 파일 제작
- 파일 위변조 차단 및 프로세스 보호 등 자체 보호
엠엘소프트 - TCO!hotpatch
- 중요패치에 대해 자동배포 설정 가능
- 윈도우 패치의 경우 자체 패치 클라우드 시스템 이용
- 낮은 속도의 네트워크에서도 안정적인 배포 가능
에스지에이솔루션 - PatchChaser
- 전자서명 및 암호화 채널을 통한 패치 배포
- SGA 특허기술을 이용한 신속한 보안 패치
- 듀얼 사전 검증 체계를 통한 패치 검증
취약점 지뢰밭! 패치관리시스템(PMS) 매출도 ‘쭉쭉’ (boannews.com)
3. 네트워크 접근 제어(NAC)
네트워크 접근제어(NAC : Network Access Control) 솔루션은 네트워크에 접근하는 접속단말의 보안성을 강제화할 수 있는 보안 인프라로, 허가되지 않거나 웜·바이러스 등 악성코드에 감염된 PC 또는 노트북, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하는 보안 솔루션이다.
네트워크에 접근하는 디바이스 및 사용자에 대한 가시성을 제공하고, 이를 기반으로 사용자에 대한 접근 허가 및 통제를 수행할 수 있어 네트워크 보안의 기본으로 꼽히는 제품이다. 특히 다양한 기기가 사용되는 환경에서 내부 네트워크를 보호하는 데 효과적이라 필수 솔루션으로 꼽히고 있다. NAC는 내부 네트워크에 접근하려는 다수의 사용자와 기기를 검증해 인가된 사용자의 접근 요청인지, 랜섬웨어에 감염되지는 않았는지, 또 보안프로그램 활성화와 같은 보안정책이 잘 적용돼 있는지 등을 확인한 후 인가를 받지 않은 사용자 및 단말의 네트워크 접근을 차단한다.
네트워크 접근제어 NAC, 각 업체별 기능 비교해보니 (boannews.com)
[NAC ①] 네트워크 보안의 기본, 접근제어 < 기획특집 < 기획특집 < 기사본문 - 아이티데일리 (itdaily.kr)
4. 내부정보 유출방지(DLP)
네트워크 DLP는 사용자의 고의 또는 실수, 외부 해킹, 멀웨어 등을 통해 네트워크를 이용한 정보유출을 컨텐츠 수준에서 차단한다.
단말 DLP는 사용자의 고의 또는 실수, 외부 해킹, 멀웨어 등을 통해 단말 호스트(PC, 서버, 모바일 등)에서의 정보유출을 차단한다.
각종 외부 인터페이스(USB, 외장하드, CD/DVD, 프린트, 블루투스 등)를 통해 유출되는 정보의 내용을 감시하고, 필요에 따라 차단한다.
정보유출방지, 데이터유출예방, 데이터유출방지, 정보유출예방 등 다양한 이름으로 불리고 있는 DLP는 Data Loss Prevention의 약자로 '유출로 인한 내부정보의 손실을 막는다.' 라는 의도를 가진 정보보안 기능 중 하나이다.
DLP솔루션을 사용하는 목적
- 개인(민감)정보 보호
- 지적재산 보호
- 데이터 가시성 확보
DLP보안 기능
매체 제어 - 휴대용 저장매체로 파일이동을 차단하거나, 관리자의 승인절차 단계를 부여
애플리케이션 제어 - 사내에 설치된 S/W를 통해 업무파일이 반출될 때 위협을 탐지하고 보안정책을 수립
개인(민감)정보보호(암호화) - 사내 PC에 보관된 개인(민감)정보를 식별하고 암호화해서 안전하게 보관
화면캡처 방지 - 캡처 프로그램 · 메신저 · 브라우저 등의 캡처 기능 차단해서 PC화면 속 정보의 유출을 방지
출력물 보안 - 출력을 통한 내부 문서 복제를 차단하고 워터마크 삽입으로 저작권을 표기
DLP의 핵심은 데이터 보관, 사용, 전송 과정을 모두 기록으로 남기고, 이를 모니터링하면서 정보 유출을 감시하고, 중요한 정보가 전달돼선 안 될 곳으로 간다면 이를 차단하는 방식이다. CCTV와 유사한 개념이다.
블로그 - 정보유출방지, DLP솔루션이란? - 엑소스피어 (exosp.com)
DLP (정보유출방지 솔루션), 줄줄 새는 기밀 정보를 막는다 | KT Enterprise
5. 문서 보안
DRM(Digital rights management)은 문서를 원천적으로 암호화시키는 것으로, 본래 디지털 콘텐츠의 저작권을 보호하는 기술로 불법 복제를 막거나 콘텐츠 사용료를 받으려는 방법으로 만들어졌으나 기업에서는 이를 주요 문서 관리에 사용하고 있다. 문서를 암호화하는 것은 물론 생성, 열람, 편집, 인쇄, 저장 등 모든 파일 사용 이력을 수집하고 기업 밖으로 유출됐다 하더라도 열람할 수 없다.
위의 DLP와 비슷하지만 작동방식은 크게 다르다.
DLP : 데이터의 흐름(이동경로)을 모니터링해서 기업 내부정보 유출을 감시/차단하는 기능
DRM : 데이터를 암호화 등의 방식으로 접근 권한을 부여해 특정 사용자만 접근할 수 있게 제어하는 기능
DRM 솔루션, 문서보안 등 제품별 기능 전격 비교 (boannews.com)
6. 가상사설망(VPN)
인터넷망 또는 공중망을 사용하여 둘 이상의 네트워크를 안전하게 연결하기 위하여 가상의 터널을 만들어 암호화된 데이터를 전송할 수 있도록 만든 네트워크로 공중망 상에서 구축되는 논리적인 전용망이다.
VPN은 퍼블릭 네트워크를 통해 데이터를 안전하게 익명으로 전송하는 데 사용된다. 또한 사용자 IP 주소를 마스킹하고 데이터를 암호화하여 수신 권한이 없는 사람이 읽을 수 없도록 한다.
VPN 연결은 데이터 패킷을 인터넷을 통해 서드 파티에 전송하기 전에 컴퓨터에서 다른 원격 서버로 리디렉션하는 식으로 이루어진다.
VPN 기술의 핵심 원칙
터널링 프로토콜
가상 사설 네트워크는 기본적으로 로컬 컴퓨터와 수천 마일 떨어진 위치에 있는 다른 VPN 서버 사이에 보안 데이터 터널을 생성합니다. 온라인 상태가 되면 이 VPN 서버가 모든 데이터의 소스가 됩니다. 인터넷 서비스 제공업체(ISP)와 기타 서드 파티는 더 이상 인터넷 트래픽의 콘텐츠를 볼 수 없습니다.
암호화
IPSec과 같은 VPN 프로토콜은 데이터 터널을 통해 데이터를 전송하기 전에 데이터를 스크램블합니다. IPsec은 데이터 스트림의 각 IP 패킷을 인증하고 암호화함으로써 인터넷 프로토콜(IP) 통신의 보안을 유지하는 프로토콜입니다. VPN 서비스는 필터 역할을 하여 한쪽 끝에서는 데이터를 읽을 수 없게 만들고 다른 쪽 끝에서는 디코딩만 합니다. 이렇게 하면 네트워크 연결이 손상되더라도 개인 데이터 오용을 방지할 수 있습니다. 네트워크 트래픽이 더 이상 공격에 취약하지 않으며 인터넷 연결이 안전합니다.
VPN이란 무엇인가요? - 가상 프라이빗 네트워크 설명 - AWS (amazon.com)
7. 망 분리 및 연계시스템
지방자치단체에 적용하려고 하는 망분리란, 말 그대로 업무용 PC에서 인터넷 망을 분리해 외부(인터넷)와 연결되지 않도록 하는 것을 말한다. 이는 외부(인터넷)에서 각종 공격이 들어오는 것을 실질적으로 차단하고, 내부(서버/PC)에서 중요한 자료가 유출되는 것을 막기 위해서다.
하지만 인터넷의 발전으로 업무를 볼 때 인터넷 연결이 필수가 되면서 별도로 인터넷이 연결된 인터넷 PC가 필요했고, 인터넷이 연결된 ‘인터넷 PC’와 인터넷이 연결되지 않은 ‘업무용 PC’를 각각 사용하기에 이르렀다. 문제는 PC를 2대 사용하는 것이 비용이 2배가 드는데다, 인터넷 PC로 인터넷을 통해 받은 자료를 다시 업무용 PC에 옮기는 것도 일이었다. 상황이 이렇게 되자 사람들은 1대의 PC를 물리적 스위치나 소프트웨어를 통해 망을 분리하는 연구를 시작했고, 또 안전하게 파일을 주고받을 수 있는 방안 마련에 나섰다.
이때 등장한 것이 바로 ‘보안 USB’였는데, 뛰어난 보안성과 사용성에도 불구하고 분실 등의 문제와 일반 USB에 비해 너무나 높은 가격은 보안 USB가 대중화되지 못하는 이유 중 하나가 됐다. 그리고 ‘망연계 솔루션’이 등장했다.
망연계 솔루션은 보안 수준이 서로 다른 영역의 서버나 PC를 보안정책에 따라 안전하게 연결해 자료 등을 전송해주는 솔루션이다. 망연계 솔루션은 외부에서 멀웨어 등 보안위협이 업무용 PC에 들어오는 것을 막아주는 것은 물론, 내부의 중요한 자료가 외부로 무단 반출되지 않도록 하는 기능을 갖고 있다.
망연계 솔루션은 크게 두 가지로 구분된다.
첫 번째는 서버간에 실시간으로 데이터를 전송하는 ‘스트림 연계 방식(Streaming Service)’이고,
두 번째는 사용자 PC간에 파일을 전송하는 ‘파일 연계 방식(File Transfer)’이다.
두 방식 모두 안전하고 빠르게 데이터와 파일을 전송하는 데 초점을 맞췄으며, 특히 자체 프로토콜이나 안티멀웨어를 이용해 악성코드나 바이러스 등이 침입하지 못하도록 했다.
연결하는 방식도 구분된다. 처음에는 ‘스토리지(Storage)’를 서버와 서버 사이에 연결시켜 파일을 공유하는 방식을 사용하다 ‘네트워크 카드(NIC)’와 ‘IEEE1394’, 그리고 최근 ‘인피니밴드(Infini Band)’ 등 케이블을 이용하기에 이르렀다.
또한, 최근 공공기관과 금융기관, 기업들까지 클라우드를 도입하기 시작하면서 클라우드에서 망분리/망연계를 하는 기술도 등장했다. 클라우드 방식은 사용자 환경과 보안 솔루션 모두 클라우드로 적용하는데, 여기에 보안 솔루션만 물리적인 형태로 도입하는 하이브리드 방식도 생겼다. 일반적으로 클라우드는 망분리와 상반되는 개념이지만, 최근 망분리 환경에서 인터넷망을 클라우드로 연결해 사용하거나, 업무망에서 원격근무 등을 위해 클라우드 업무 환경으로 연결을 허용하는 등 새로운 방식의 망분리/망연계가 도입되고 있다.
필드에서 활약 중인 망연계 솔루션 주요 기업
- 소프트위드솔루션
- 시큐에버
- 앤앤에스피
- 에스큐브아이
- 한싹시스템
- 휴네시온
[망연계 리포트] 지자체 망분리 ISP로 제2의 전성기 온다 (boannews.com)
8. 랜섬웨어 예방
사용자 PC의 자료를 인질로 몸값을 요구하는 악성코드인 랜섬웨어(ransomware)로부터 데이터를 보호하고 복구하는 기능이 포함된 보안솔루션이다.
- 백업정책 수립/운영: 엄격한 백업 정책을 수립/시행
- 취약점 대비: 알려진 취약점에 대해서 철저한 배치를 실행
- Virus: 안티바이러스와 같은 endpoint 보안 수단도 배포
- 망분리: 웜의 전파를 방지하기 위한 네트워크 세분화 및 전용PC
랜섬웨어 예방 방안 및 절차 _ 백업솔루션 - Acts Solution (actscloud.co.kr)
9. 웹 방화벽(WAF)
일반적인 네트워크 방화벽과는 달리 웹 어플리케이션 보안에 특화된 보안장비를 말한다.
웹 방화벽의 기본 역할은 SQL인젝션, XSS 등과 같은 웹 공격을 탐지하고 차단하는 기능이다.
- 정보 유출 방지 : 개인정보가 웹 게시판에 게시되거나 개인 정보가 포함된 파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해 탐지하고 대응하는 것을 말한다.
- 부정 로그인 방지 : 무작위 대입(Brute Force) 등의 방식으로 웹사이트 로그인을 시도하는 경우와 같이 비정상적인 접근에 대한 제어 기능을 말한다.
- 웹사이트 위변조 : 해킹 후 웹사이트를 위변조할 경우 이를 탐지하고 대응하는 것을 말한다.
웹방화벽이란?(WAF) | 펜타시큐리티시스템 (pentasecurity.co.kr)
10. 무선침입방지시스템(WIPS)
인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기를 탐지하는 솔루션으로, 유선 방화벽과 유사하게 외부 공격으로부터 내부 시스템을 보호하기 위해 무선랜 환경에서의 보안 위협을 탐지하고 대응하는 시스템을 말한다.
먼저 WIPS 장비는 단독으로 구성되지 않으며, 중앙에 WIPS 관리 서버가 1대 설치되고, 15~30m 거리마다 센서(지점장비)장비를 설치해야 한다.
독립형 WIPS는 별도의 WIPS 컨트롤러와 WIPS 센서로 이루져 있다. WIPS센서 측면에서 보면 무선 서비스를 하는 AP와 별도의 센서가 보안을 위하여 무선랜을 모니터링 하는 것이다. 이렇게 하면 무선랜에 대하여 센서의 풀타임 스캐닝이 가능해지며 채널이용이 증가하더라도 센서의 발견속도가 떨어지지 않는다. 하지만 무선랜 인프라와 무선랜 서비스에 관여를 하지 않기 때문에 무선랜의 모니터링에 한계가 있는 단점이 있다. RF상태, 위치정보 등의 활용에 제한적이기 때문에 통합 운영에는 제한이 생기게 된다. 또한 무선랜 인프라와는 별개로 WIPS 컨트롤러나 WIPS 센서 등을 추가로 설치해야 해서 비용이 더 많이 들게 된다.
통합형 WIPS는 무선랜 서비스용 AP가 무선랜 서비스를 하다가 주기적으로 무선랜 서비스를 중단하고 보안을 위해 모니터링 하는 구조로 되어 있다. 또한, 서비스용 AP를 센서 전용모드로 변경하여 사용하기도 한다. 이러한 통합형 WIPS의 가장 큰 장점은 구축비용이다. 기존의 무선랜 인프라를 공통으로 사용하면서 최소의 비용으로 WIPS 솔루션을 도입할 수 있기 때문이다. 또한 AP에 WIPS 솔루션이 들어가 있기 때문에 인가된 무선랜 서비스를 모니터링하고 무선랜 서비스 내의 공격과 불법 디바이스를 파악할 수 있는 장점을 가지고 있다. 하지만 무선랜 서비스 중이 아닌 다른 채널 주파수를 모니터링 하는 능력은 떨어지는 단점을 가지고 있다.
[보안초보 길라잡이] 무선 네트워크 보안장비 WIPS를 아시나요~ (boannews.com)
11. 디도스 공격 대응시스템(Anti-DDoS)
DDoS 차단 시스템은 대량의 트래픽을 전송해 시스템을 마비시키는 DDoS(DDoS: Distributed Denial of Service, 분산서비스거부) 공격 전용의 차단 솔루션으로, 대량으로 유입되는 트래픽을 신속하게 분석해 유해트래픽 여부를 판단해 걸러줌으로써 보호대상 네트워크의 가용성과 안정성을 높여주며, 해당 서비스의 연속성을 보장하는 데 중요한 역할을 한다.
12. 엔트포인트탐지(EDR)
‘Endpoint Detection Response’의 약자인 EDR은 실시간으로 보안위협 탐지, 분석, 대응이 가능한 엔드포인트 보안 솔루션으로, 패턴화돼 이미 알려져 있는 악성코드를 잡아내는 백신과 달리 신종 악성코드나 기존 바이러스가 변종돼 백신이 잡아낼 수 없는 악성코드까지 인지하고 이를 차단한다. 기존 백신이 A위협, B위협을 각각 모니터링했다면, EDR은 통합적으로 이를 탐지하고 관리할 수 있는 역할까지 하게 돼 보안 사각지대를 줄일 수 있다는 장점이 있다.
단말에서 발생하는 이벤트를 검사하고 타 보안 솔루션과의 교차조사를 통해 위협 탐지와 대응 목적으로 EDR을 도입해 사용 중이다. 가장 주된 용도는 PC에서 악성 행위 발생 여부 등 관제 목적으로, 로그를 보거나 대시보드의 위젯을 본다. 업무와 관련된 특정한 이벤트 탐지를 위해 다양한 위젯을 만들 수 있는데 위젯을 보면 한눈에 전체를 파악할 수 있어 유용하다.
둘째, 악성 이벤트가 탐지되면 조사 및 분석 툴로 사용한다. EDR 자체의 탐지 기능을 활용하기도 하지만 방화벽이나 IPS 등 타 보안 제품에서 탐지된 이벤트를 바탕으로 EDR에서 추가 또는 교차로 의미 있는 정보를 찾는다. 이를 통해 종전 대비 분석 및 대응 능력이 향상됐다.
마지막으로 전체 PC를 대상으로 악성코드 감염 및 보유 여부 등 확인을 위해 사용 중이다. 사용자 정보나 부서, 위치 등을 확인할 수 있는데 이를 통해 피해 확산 여부를 가늠할 수 있다. C&C로 추정되는 서버에 접속하는 PC를 탐지해 차단하거나 관계 기관에서 악성 URL을 받았는데 EDR에서 전체 PC를 대상으로 접속 여부를 검색해 몇 대의 PC를 찾아 조치했다.
국내는 소만사와 안랩, 엔피코어, 이스트시큐리티, 지니언스, 글로벌 기업으로는 사이버리즌과 센티넬원, 시만텍, IBM, 카본블랙(VM웨어), 크라우드스트라이크, 트렐릭스(Trellix : 파이어아이+맥아피), 트렌드마이크로 등 약 20여개 기업이 있다.
센티넬원: 고도화 기능 제공 + XDR 구성 지원
소만사: 정적·동적 2단계 분석 통한 정교한 탐지
시만텍: 5가지 고도화된 보안위협 탐지 대응
안랩: 전문적인 분석·대응과 정교한 위협 탐지 및 분석
엔피코어: 실시간 랜섬웨어 탐지·차단 & 실행보류 기능
이스트시큐리티: Threat Inside와 결합해 위협 식별과 상세 분석 제공
지니언스: 국내외 EDR 제품 최초 보안기능 확인서 획득
트렌드마이크로: 전 방위로 데이터 수집 및 상관 분석해 XDR 기능 제공
[2022 EDR 솔루션 리포트] 차세대 보안 솔루션의 왕좌로 ‘우뚝’ (boannews.com)
13. 차세대방화벽(NGFW)
차세대 방화벽은 시스템의 보안을 위해 네트워크 상에서 외부에서 내부로, 내부에서 외부로의 불법적인 접근은 차단하는 보안 솔루션으로, 기존의 포트/프로토콜 검사 및 차단을 넘어 응용 프로그램 수준 검사, 침입방지(IPS), 안티 바이러스 등 복합적인 보안 기능과 함께 방화벽 외부에서 위협에 대한 인텔리전스를 가져온다. 이를 통해 알려지지 않은 위협에 대응하고, 클라우드 및 원격근무 등 새로운 환경을 이용한 업무 방식을 보호할 수 있다.
기존 방화벽 기능을 넘어 기존 네트워크 보안 장비의 기능을 통합하고, 특정 응용 프로그램을 인지해 제어까지 할 수 있는 확장형 방화벽이다. 이를 통해 과거보다 더 견고한 보안을 구축할 수 있도록 지원하며, 다양한 보안기능을 하나의 솔루션으로 간소화하고, 통합된 보고를 통해 가시성을 제공하고, 보안 담당자는 추가적인 부담 없이도 다양한 형태의 보안 기능을 관리 및 제어할 수 있다.
가트너
차세대 방화벽의 필수 조건으로 응용 프로그램 단에서 사용자 단위로 콘텐츠를 제어해야 한다. 포트나 프로토콜 검사 및 차단 기능을 넘어 응용 프로그램 수준 검사, 침입방지 기능과 딥 패킷 검사까지 가능해야 한다.
VM웨어
각 방화벽 벤더마다 세부적인 기능의 차이는 있지만, 일반적으로 응용 프로그램 인식, 심층 패킷 검사, IPS, 고성능, 외부 위협 인텔리전스 등의 기능을 조합하는 것을 기본으로 하며, 여기에 안티 바이러스나 멀웨어 보호 등 추가적인 기능을 더하고 있다.
[2021 NGFW 리포트] 차세대 방화벽, 비대면 기업환경 보호한다 (boannews.com)
NGFW(차세대 방화벽)의 정의와 이점 | Aruba (arubanetworks.com)
14. 다크웹 대응 / OSINT
OSINT(Open Source Intelligence)란 공개된 출처에서 정보를 수집하는 기술, 혹은 공개적으로 이용할 수 있는 출처를 의미합니다. 다크웹도 하나의 OSINT이며, 공개된 출처에서 정보를 수집하기 위해 검색 엔진에서 명령어를 사용하거나 도구를 사용해 정보를 수집할 수 있습니다.
- 사이트마다 인증정보를 다르게 설정하고, 2-factor 인증을 사용
- 출처가 불분명한 메일은 열람하거나 첨부파일을 다운로드하지 않기
- 꾸준히 다크웹 및 딥웹을 모니터링
- Tor 네트워크로의 통신을 차단
- 기업 내부 자료가 유출되지 않도록 사전에 프로세스를 점검하고 직원들의 보안 교육 실시
OSINT 서비스를 제공하고 있는 보안 기업은 레코디드 퓨처(Recorded Future), NSHC, 에스투더블유랩(S2WLAB), 씨엔시큐리티 등이다.
[보안동향] 늘어나는 다크웹 사건 사고, 어떻게 대응해야 할까? 2편 – LG CNS 블로그
[다크웹②] 다크웹 정보 유출 대응 위해 암호화 등 2차 방안 수립 필요 < 기획특집 < 기획특집 < 기사본문 - 아이티데일리 (itdaily.kr)
[이슈조명] 사이버 범죄의 통로 ‘다크웹’ < 이슈조명 < 기사본문 - 컴퓨터월드 (comworld.co.kr)
15. 다요소 인증(MFA)
흔히 2단계 인증이라고 부르는 MFA는 복잡한 비밀번호 설정이라는 부담을 줄이면서도 유출로 인한 보안사고를 예방할 수 있는 수단이다. ID와 비밀번호를 입력하는 1차 인증과 함께 ARS, 보안카드, OTP, 이메일, 문자메시지, 전용 애플리케이션 등 다양한 수단을 활용해 추가적인 인증을 거치는 방식으로 이뤄지며, 최근에는 스마트폰을 기반으로 하는 2단계 인증을 주로 사용한다. MFA가 적용된 계정은 비밀번호가 노출되더라도, 사용자가 설정한 2차 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있다. 기업 보안담당자 입장에서도 반복적인 2차 인증 요구에도 실제 로그인이 이뤄지지 않은 이벤트를 발견했다면, 이를 사이버 공격자로 의심하고 IP를 차단하거나 해당 계정의 소유자에게 비밀번호 변경을 알릴 수도 있다.
이니텍
- 인증통합플랫폼
미래테크놀로지
- 재택근무 환경에 최적화 된 인증플랫폼 제공
- 비대면 발급시스템 지원으로 보안성과 편의성 동시 해결
한국보안인증
- 안전하고 편리한 보안인증플랫폼 ‘OKey ACCESS’
- EMR 인증제 표준 전자서명솔루션 ‘OKey MEDICAL’
[2021 MFA 리포트] 디지털 시대의 철저한 신원 증명, 다요소 인증 (boannews.com)
16. 콘텐츠 무해화(CDR)
CDR(콘텐츠 무해화, Content Disarm&Reconstruction)은 이처럼 파일 내부에 숨어있는 악성 행위를 사전에 탐지하고 유해한 요소를 제거(Disarm)해 다시 사용할 수 있는 형태로 만드는(Reconstruction) 기술이다. 콘텐츠(파일)를 분석해서 해당 포맷의 필수적인 정보 외에 다른 정보가 있는지 분석하고, 다른 정보가 있을 경우 콘텐츠에서 제거한 후, 무해한 정보를 바탕으로 다시 원본과 똑같은 콘텐츠로 재구성한다.
메일 등 외부에서 들어오는 콘텐츠 파일을 분석한 후 실행 파일 등 불필요한 혹은 위험한 요소를 제거하고 문자나 그림 등 콘텐츠만을 원본처럼 구성하기 때문에 한글이나 워드 파일을 이용한 랜섬웨어, 스파이웨어 등의 공격으로부터 사용자를 보호할 수 있다. 특히, 시그니처 기반의 탐지 솔루션(백신)과 달리 정보가 변화하는 비실행 파일에 대해서도 적용할 수 있기 때문에 백신이 놓친 악성코드를 찾아낼 수 있다.
시큐레터
- 문서 파일 같은 비실행 파일에 대해서 취약점을 일으킬 수 있는 원인을 어셈블리 레벨에서 진단해 차단
- 매크로, 스크립트 등을 이용한 악성 행위, 취약점을 이용한 익스플로잇 등을 사전에 분석 및 차단한다.
- 기존 샌드박스 기반 솔루션과 달리 파일을 통한 특정 행위가 발생하지 않아도 리버스 엔지니어링을 통해 악성 행위탐지 및 차단
- 익스플로잇이 발생해 쉘코드(Shell code) 실행하기 전에, 이러한 악성 행위 실행 가능성을 발견할 수 있기 때문에 제로데이 취약점에 대해서도 대응 가능
소프트캠프
- 단순 액티브 콘텐츠만을 제거하는 방식이 아닌, 눈에 보이는 정상 콘텐츠만을 추출해 정합성을 확인하고 문서를 재구성하는 방식
- 문서의 위변조 검출, 문서 재구성을 통한 위험요소 선제 차단, 압축 파일에 포함된 문서 CDR 지원, 비밀번호가 걸린 문서에 대한 CDR 지원, 문서 격리를 통한 법적 분쟁 시 송신자의 원본 파일에 대한 지원
인섹시큐리티 - 메타디펜더
- 데이터 살균 기능을 통해 문서, 이미지, 압축 파일을 무해화하고, 알려지지 않은 위협에 대해 탐지하고 제거함으로써 제로데이 공격을 사전에 차단
- CDR 처리 전 파일은 안티 바이러스 엔진으로 1차 악성 여부를 진단하고, 이후 파일 내 콘텐츠들을 개별 요소로 분리해 메타 데이터와 콘텐츠 내 불필요한 데이터를 제거한 뒤 재구성해 원본과 동일한 파일로 복원
지란지교시큐리티
- 문서 기반의 표적형 악성코드의 파일 구조를 분석해 액티브 콘텐츠 영역만을 탐지하고, 악성코드를 제거(비활성화)해 문서의 원본성을 보장한다.
- 상세 리포트를 제공해 악성 문서의 무해화 결과 및 상세·연관 분석 내용을 직관적으로 파악할 수 있다.
- 가격과 운영에 대한 부담을 줄여야 하는 소호·중소기업에 대해 클라우드 기반의 엔드포인트 보안 솔루션과 함께 기업별 환경에 맞춰 설치 가능한 구축형 솔루션 등 두 가지 형태 CDR 솔루션 제공
[2021 CDR 리포트] 디지털 시대를 위한 사이버 방역, 콘텐츠 무해화(CDR) (boannews.com)
17. 클라우드 워크로드 보호 플랫폼(CWPP)
CWPP는 서버워크로드 중심의 보안을 위한 솔루션으로, 워크로드에 대한 가시성 확보 및 공격 방어가 주요 목적이다. 가트너에 따르면 CWPP는 물리적 컴퓨터, 가상 머신, 컨테이너, 서버리스 워크로드 등에 대한 일관적인 제어 및 가시성을 제공해야 한다. 또한, 시스템 무결성 보호, 접근 영역을 세분화하는 마이크로 세그먼트, 메모리 보호, 사용자 행동 모니터링, 호스트 기반 침입 방지 및 멀웨어 방지 등을 통해 프로그램이 실행 중인 영역에서 발생하는 공격으로부터 워크로드를 보호할 수 있어야 한다.
CWPP 솔루션의 8가지 주요 기능
1. 보안 강화 및 설정/취약점 관리(Hardening, Configuration and Vulnerability Management)
워크로드 이미지는 필요한 코드와 소프트웨어로만 구성된다. 텔넷/FTP, 브라우저 등 불필요한 애플리케이션이 제거됐는지, 산업 표준이나 기업 가이드라인 등에 맞게 시스템 보안 설정이 구성됐는지, 취약점이 존재하는지 등을 점검하고 관리한다.
2. ID 세그멘테이션 및 네트워크 가시성(Identity-based segmentation and Network Visibility)
워크로드별 방화벽 및 세그멘테이션 기능으로 각 워크로드를 보호하고 네트워크 가시성을 제공한다. 사용자는 CSP(클라우드 서비스 제공 기업)가 기본적으로 제공하는 세그멘테이션(AWS Security group, Azure Network Security Group 등)을 활용하거나 CWPP가 제공하는 보안 기능을 이용할 수도 있다. 이스트-웨스트(East-West) 통신에서의 네트워크 공격 탐지를 위해 요구되고 있다.
3. 시스템 무결성 보장(System Integrity Assurance)
워크로드를 인스턴스화(시작)하는 동안 무결한지 검증하거나, 워크로드가 부팅된 후 시스템 파일 및 구성에 주요한 변경사항이 있는지 실시간으로 모니터링한다. 일반적으로 FIM(File Integrity Monitoring, 파일 무결성 모니터링)과 같이 중요 파일에서 레지스트리, 시작폴더, 부트로더(Boot loader) 등을 모니터링한다.
4. 애플리케이션 제어(Application Control/Whitelisting)
일반적으로 서버는 단일(Single) 애플리케이션을 구동한다. 서버에서 무슨 실행 파일을 구동할 것인지 제어함으로써 보안을 강화할 수 있으며, 자동거부(Default Deny) 또는 제로트러스트 보안 형상(Zero-Trust Security Posture)을 적용할 수 있다.
5. 익스플로잇 예방 및 메모리 보호(Exploit Prevention/Memory Protection)
운영체제 및 실행 가능한 애플리케이션 취약점에 대응하며, 메모리상 악성코드 실행 등 파일리스 공격으로부터 서버 워크로드를 보호한다.
6. 서버 워크로드 EDR, 행위 모니터링 및 위협 탐지/대응(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response)
워크로드의 네트워크 통신, 프로세스 시작, 파일 오픈, 로그 등을 모니터링해 의심스러운 행위를 탐지하고 이에 대응한다. 또는 허용된 애플리케이션 행위에서 벗어난 비정상적인 행위가 있는지 탐지하는 형태이기도 하다. 호스트 기반 에이전트 방식으로 탐지되거나, 네트워크 또는 클라우드 베이스 기반으로 탐지되는 형태도 존재한다.
7. 호스트 기반 침입 탐지 시스템(Host-Based IPS With Vulnerability Shielding)
워크로드 환경으로 유입되는 네트워크 트래픽을 분석해 알려진 취약점에 대한 공격을 탐지/차단한다. 네트워크 기반 IPS만으로는 워크로드 보호 외에 가상머신 간(Inter-VM), 컨테이너 간(Inter-Container-Based) 공격으로부터의 보호는 어렵다. 반면 HIPS(호스트 기반 IPS)는 패치되지 않거나 또는 패치될 수 없는 호스트를 제로데이 취약점 공격로부터 보호하며, 서버 워크로드를 보호하는 데 중요한 역할을 수행할 수 있다.
8. 안티 멀웨어 스캐닝(Anti-malware Scanning)
시그니처 기반의 안티 멀웨어 스캐닝을 말한다. 일반적으로 관리되고 있는 서버 워크로드에서는 필요성이 크지 않으며, NFS 서버나 FTP 서버 등의 파일 공유가 진행되는 저장소(Repository) 서버를 대상으로 활용된다. 컴플라이언스 요구사항 중 하나로 제시될 수 있는 기능이다.
[2021 CWPP 리포트] 멀티 클라우드로 복잡해진 비즈니스 워크로드를 지켜라 (boannews.com)
[시장동향] 복잡해지는 클라우드 보안, ‘CWPP’가 책임진다 < 기획특집 < 기획특집 < 기사본문 - 아이티데일리 (itdaily.kr)
[테크리포트]클라우드 보안 핵심 'CWPP' - 전자신문 (etnews.com)
[클라우드 보안-CWPP①] 클라우드 보안 첫 단계, 워크로드 보호 - 데이터넷 (datanet.co.kr)
18. 개인정보 접속기록 관리
개인정보의 중요성이 점차 강조되고 있지만, 이를 노리는 외부 공격은 물론 내부에서의 실수 혹은 고의적인 개인정보 유출도 빈번히 발생하고 있다. 이럴 때 필요한 것이 바로 개인정보 접속기록 관리 솔루션이다. 기관 혹은 기업이 보유하고 있는 개인정보에 누가 언제 어디서, 접근하고 복사하며 수정했는지 등의 기록을 남겨 효과적으로 개인정보를 관리할 수 있는 이 솔루션은 2017년 정부기관을 중심으로 급격하게 시장이 성장했다.
[기획특집] 개인정보 보호법 전면 개정…개인정보 접속기록 관리 솔루션 ‘주목’ < 기획특집 < 기사본문 - 컴퓨터월드 (comworld.co.kr)
‘개인정보 접속기록 관리’ 어떤 솔루션 쓸까 (boannews.com)
19. 개인정보 비식별화 솔루션
'비식별화(De-identification)'는 데이터를 일부 삭제, 대체, 범주화 등을 함으로써 특정 개인을 유추할 수 없도록 처리하는 것을 뜻한다. 덧붙여, 다른 정보와 결합했을 때 개인을 쉽게 특정할 수 있는지를 검사하는 '비식별 조치 적정성 평가'를 함께 진행하여야 한다.
식별자란 개인 또는 개인과 관련한 사물에 고유하게 부여된 값이나 이름을 의미한다. 예를 들어, 주민등록번호, 전화번호, 이메일, 이름 등과 같이 1:1로 대응이 가능한 경우가 이에 해당된다.
속성자는 다른 정보와 쉽게 결합하는 경우, 특정 개인을 알아볼 수도 있는 정보를 일컫는다(준 식별자라고 칭하기도 한다). 예시로, ①개인 특성에 해당하는 성별, 나이, 거주 도시 등, ②신체 특성에 해당하는 몸무게, 혈액형, 희귀병명 등, ③신용 특성에 해당하는 카드 결제 금액, 예금 잔고 등, ④경력 특성에 해당하는 직업, 학교명 등, ⑤전자적 특성에 해당하는 인터넷 쿠키정보, GPS 정보 등, ⑥가족 특성에 해당하는 배우자, 자녀 등 총 6가지 유형으로 구분되며 결합을 통해 재식별 가능성이 있는 개인정보다.
안전한 데이터 활용 환경 마련을 위한 개인정보 비식별화 | KT Enterprise
지란지교데이터, 개인정보 비식별화 솔루션 ‘아이디필터’ 출시 (boannews.com)
20. OT/ICS 보안솔루션
OT(Operation Technology, 운영 기술)는 생산망과 설비망, 공정망 등 제작 작업의 프로세스를 운영하는 것을 말하며, ICS(Industrial Control System, 산업제어 시스템)는 생산망과 설비망, 공정망 등을 제어하는 시스템을 말한다. 현장에서는 보통 같은 의미로 사용하나, IT 관계자들은 OT를 생산설비 관계자들은 ICS를 선호한다.
생산 공정을 크게 5단계(Level 0~4)로 구분한다. 일반적으로 Level 0부터 Level 3까지 OT/ICS 영역으로 보며, Level 3.5~Level 4단계까지 IT 영역으로 본다.
Level 0
가장 기본적인 장비와 운영장비를 말한다. 생산에 필요한 각종 센서들과 장비들을 말하는데, 예를 들면 온도를 체크하는 온도센서나 공정에 필요한 수도시설이나 풍력장비 등이 Level 0에 속한다. 가장 작은 센서부터 대형 제조장비까지 다양하며, 공정에 따라 추가해 사용하다 필요없어지면 그대로 방치되기 때문에 보안에 가장 취약한 부분이기도 하다.
Level 1
Level 0의 장비들을 서로 연결하고 제어하며, 제작에 필요한 순서를 지정해 컨트롤 할 수 있는 PLC(Programmable Logic Controller)와 중앙 컨트롤러와 원격제어 시스템을 연결해주는 RTU(Remote Terminal Unit)가 포함된다.
Level 2
PLC와 연동해 장비를 직접 컨트롤할 수 있는 일종의 터치패널인 HMI(Human Machine Interface)와 엔지니어링 워크스테이션(Engineering Workstaion), Remote i/o Rack 등의 장비를 의미한다.
Level 3
Historian 서버와 DNS 서버, 방화벽(Firewall) 등이 포함된다.
Level 4
Central Management Console(CMC), SIEM(Security Information&Event Management, 통합보안관제) 등이 포함된다.
장비들, 즉 자산정보를 한눈에 파악할 수 있게 되면 외부 혹은 내부에서 어떤 문제가 발생하는지, 혹은 발생할 가능성이 있는지를 분석하는 것이 가능해진다. OT/ICS 보안 솔루션은 바로 이러한 문제점이나 징후 등 ‘위협’을 탐지할 수 있다.
NOZOMI Networks + 이탈리아 에너지 국영기업 ‘ENEL’
- OT/ICS 보안 솔루션을 통한 발전소와 네트워크의 안전성·효율성·보안성 향상
CLAROTY + 다국적 제약·바이오 회사
- 풍부한 지적재산(IP)과 생산운영 보호를 위한 OT/ICS 보안 솔루션 도입
[OT보안 리포트-2] OT/ICS 보안 솔루션, 스마트공장의 미래를 담다 (boannews.com)
공격 시나리오를 통한 OT/ICS 환경의 보안이슈 분석 및 강화 방안 - Security & Intelligence 이글루코퍼레이션 (igloo.co.kr)
참고 자료
'WISET 멘토링 IT@Security > 기업 보안 담당자' 카테고리의 다른 글
| 보안 직무 조사 및 취업 희망 기업 PT 발표 (0) | 2023.09.20 |
|---|---|
| 정보보호 관련 법령 조사 (0) | 2023.08.16 |
| 7월 보안 이슈, 동향 (0) | 2023.08.16 |
| 6월 최신 정보보호 이슈, 기술 동향 (0) | 2023.07.07 |
| 5월 최신 정보보호 이슈, 기술 동향 (1) | 2023.06.03 |
