코로나19 여파로 재택근무를 시행하는 기업이 늘어났다. 재택근무시 기업들은 주로 VPN방식을 이용한다. 이 경우 인트라넷에 저장된 파일을 재택근무 PC로 다운로드·업로드 할 수 있다. ​보안담당자들에게 재택근무 시행은 악몽이다. 재택근무가 시행되면 웹방화벽, APT, IPS 등 네트워크 보안장비 도움을 전혀 받을 수 없게 된다. 망분리도 이뤄지지 않는다. 유일하게 도움을 받을 수 있는 보안제품은 엔드포인트 보안솔루션 뿐이다. ​소만사(대표 김대환)는 이 같은 기업 어려움을 줄여주고자 클라우드 기반 PC 개인정보보호 솔루션 ‘프라이버시-아이 클라우드(Privacy-i Cloud)’로 비대면 바우처 사업을 지원한다. PC내 개인정보를 최소보관하고 유출을 차단해 회사와 임직원을 형사처벌 위험으로부터 지켜준다. ​프라이버시-아이 클라우드는 개인정보 최소보유 기능과 유출차단 기능을 제공한다. ​개인정보 최소보유 기능은 PC 내 방치, 저장된 개인정보 개수를 파악해 정보자산을 식별해준다. 개인정보 최소보관정책을 통해 불필요한 개인정보 파일은 일괄적으로 삭제할 수 있다. 보관이 필요한 파일은 암호화해 보관하므로 제3자가 파일을 탈취하더라도 암호화돼 악용할 수 없다. ​개인정보 유출차단 기능은 개인정보가 외부로 반출, 악용되는 것을 막아준다. 프린터, USB, 외장하드, 메일, P2P, 클라우드 서비스, 메신저 등을 통한 정보유출행위를 통제, 차단하며 사후감사를 위해 유출시도를 기록한다. 업무를 위해 반출이 필요한 경우에는 상급자 결재를 받아 외부전송을 할 수 있다. 이 경우에도 사후감사를 위해 반출기록을 저장한다. ​프라이버시-아이 클라우드는 어플라이언스 기반 제품인 ‘프라이버시-아이’를 클라우드 방식으로 구성한 제품이다. 사내에 장비를 설치하지 않는다. 전문 정보기술(IT)인력이 없는 중소기업에서도 활용이 용이하다. 어플라이언스 방식대비 구축비용은 3분의 1로 합리적이다. 국내에서 유일하게 윈도 운용체계(OS)뿐 아니라 맥(Mac) OS도 지원한다. ​연구개발을 총괄하는 최일훈 소만사 부사장은 “프라이버시-아이는 직원수 1만여명 이상 기관 50여곳에서 성능이 입증된 개인정보보호 솔루션”이라면서 “10년간 시장 1위를 지켜오며 외산제품을 점차 대체해 나가고 있다”고 말했다. ​향후 소만사는 EDR 기능강화와 기술개발로 ‘싱글에이전트’로 엔드포인트 통합보안을 지원할 계획이다. 이를 통해 악성코드 감염부터 정보유출까지 엔드포인트에서 발생하는 모든 보안위협을 통제할 수 있게 된다. ​​ ​보도자료: https://www.etnews.com/20201019000029 ​K-비대면 바우처 플랫폼 Privacy-i Cloud 구매처: https://www.k-voucher.kr/detail.html?no=548 ​Privacy-i Cloud 공식페이지 : https://www.somansa.com/solution/cloud_service/privacy-icloud/

소만사는 SAP사의 DBMS 플랫폼 ‘SAP HANA’에 특화된 DB접근제어 솔루션 ‘DB-i HANA’를 출시했다. 현재 ‘DB-i HANA’는 SAP HANA를 사용하고 있는 모 대기업에 구축 및 적용이 완료된 상태다. SAP HANA는 글로벌 100대 기업에서 사용하는 실시간 데이터베이스 플랫폼이다. SAP HANA는 기업 내 각 지사의 개인정보, 회계정보, 생산정보, 자산정보 등 모든 정보를 일괄적으로 보관/관리할 수 있으며 이를 토대로 필요한 데이터를 추출/분석할 수 있다. 회사 IT 인프라의 핵심 성장 엔진이다. 즉, 기업의 모든 정보자산이 밀집된 만큼 높은 수준의 보안조치가 필요하다. 소만사 ‘DB-i HANA’는 SAP HANA의 높은 처리속도, 타 DB서버대비 많은 코어 개수 등 자체특성을 반영하여 개발됐다. 요청/응답시간, ID, 접속계정, 조회정보 등이 모두 기록되므로 ‘개인정보보호법고시 8조 접속기록의 보관점검 규정’을 준수하는 제품이기도 하다. SAP HANA에 접속한 관리용 단말기(PC) 통제도 가능하다. 단말기를 통해 출력, USB저장, 복사/붙여넣기 시도를 모두 차단하고 기록할 수 있다. 기존 DB접근제어 기능 뿐만 아니라 DB DLP(Data Loss Prevention) 기능까지 제공하는 통합 DB보안 솔루션이다. 연구개발을 총괄하는 소만사 최일훈 부사장은 “SAP ERP를 운영하는 기업들은 대부분 해외 각국에 지사를 보유한 대기업들인데, 최근 기존 오라클 DBMS에서 SAP HANA로 교체하고 있는 추세”라며 “중요한 정보자산이 한 곳에 집약된 만큼 조회부터 유출통제까지 SAP HANA에 발생하는 모든 구간을 통제, 기록할 수 있어야 한다”고 말했다. DB접근통제 솔루션 ‘DB-i’는 클라우드 라이선스로도 구축가능하며, 현재 대기업, 중앙부처 DB접근통제 표준솔루션으로 대규모 기업, 공공기관 500여곳에 구축되어 있다.

소만사(대표 김대환) 서버 개인정보보호 솔루션 ‘서버아이(Server-i) v3.0’이 GS인증(1등급)을 획득했다. GS인증은 Good Software Certificate의 약자로 제3자의 객관적인 시험인증결과를 토대로 제품에 신뢰를 부여한다. ​ 서버아이는 서버내 방치된 개인정보 현황을 점검, 진단, 삭제하는 서버 DLP 솔루션이다. 국내 운영중인 서버 운영체제(OS)와 각 버전, 파일포맷, 상용화된 모든 DBMS를 지원하고 있다. 광학문자인식(OCR) 기능도 탑재되어 있어 카드/대출 신청서, 진료기록서, 도면 등 이미지 문서 내 개인정보, 기밀정보가 포함되어 있을 경우에도 탐지해낸다. 서버아이는 국정원 CC인증을 시작으로, ‘가트너’의 매직쿼드런트 엔터프라이즈 DLP 부분에 2년 연속 등재되어 글로벌 경쟁력을 인정받은 솔루션이다. 또한 안정성이 중시되는 제1금융권 서버 3천여대에서 사용되는 솔루션으로 실제 제품사용을 통해 성능을 검증받았다. 연구개발을 총괄하는 소만사 최일훈 부사장은 “소만사 서버아이는 OS종류, 버전 상관없이 하나의 솔루션으로 수백 대 서버 내 개인정보를 검출할 수 있다. 서버 에이전트의 버전이 바뀌어도 안정적으로 대응할 수 있으며 관리서버가 증설되어도 부담이 없다.”고 말했다. ​ 현재 서버아이는 주요 민간, 금융, 공공기관에 도입되어 있으며 1만대 이상의 서버에서 개인정보를 탐지, 검출하여 서버를 통한 정보유출사고를 원천적으로 차단하고 있다.

소만사 (대표 김대환) ‘Privacy-i EDR’이 전자신문 2019년 하반기 인기상품에서 품질우수 상품으로 선정됐다. 지능화된 악성코드는 소스 안에 의미없는 행동인 노이즈를 섞어 악성코드의 농도를 옅게 만든다. 이를 통해 안티바이러스 솔루션을 회피한다. 때때로 APT 솔루션 탐지기능을 탑재하거나 초기 접속 후 일정 시간이 지난 후 활동을 개시하도록 악성코드를 만들기도 한다. APT 대응 솔루션을 우회하기 위해서다. 악성코드를 심은 해커는 초기 접속 성공하게 된다. 이후 PC내에서 권한상승을 조작하고 중요정보를 획득하게 된다. 해커는 PC, 서버와 같은 엔드포인트에서 대량의 개인정보/기밀정보를 유출하거나 파일을 변조, 파괴, 암호화시킨다. 이는 기업의 가치를 하락시킨다. 형사소송, 손해배상 소송 등 금전적 손해와 동시에 고객의 신뢰와 브랜드 이미지를 추락시킨다. 새로운 악성코드 공격방식은 매우 치밀하고 영리하다. 기존의 솔루션으로 일거에 방어하기란 사실상 어려워졌다. 신기술이 제시되었다. 악성행위가 실제로 발생하는 엔드포인트 단에서 행위정보를 수집하는 것이다. 실제 정보를 수집한 후 실시간으로 대응해 신규 악성코드, 변종바이러스, 이미 알려진 바이러스에 대응하는 기술이 바로 EDR(엔드포인트 위협 탐지 및 대응) 솔루션이다. 정보가 공격받는 양상은 크게 두가지로 나뉜다. 첫번째는 외부공격에 의한 정보유출이다. 두번째는 정보의 파괴, 변조, 암호화이다. 우리에게 익숙한 랜섬웨어를 떠올리면 된다. 소만사는 정보유출차단에 관한 문제에서는 적극적으로 대응해왔다. 다만 랜섬웨어 공격을 통해 정보가 파괴, 변조, 암호화되는 문제에서는 적극적으로 대응하지 못했다. 기존 유해사이트 차단 솔루션으로 네트워크부터 엔드포인트까지 통제하는데 한계가 있었기 때문이다. 소만사는 자사 엔드포인트 DLP(내부정보 유출방지) 솔루션 ‘Privacy-i’에 EDR 기능을 탑재했다. 이를 통해 다음과 같은 강점을 가질 수 있게 되었다. 첫번째, 데이터의 중요도에 따라서 보호수준을 차별화한다. 주기적으로 엔드포인트 안에 보관된 주요 기밀, 개인정보를 식별한다. 악성행위 등 보안위협 감지될 경우 엔드포인트에 설치된 탐지엔진이 기밀정보/개인정보 같은 중요정보부터 우선 보호한다. 회사기밀정보, 고객정보 등 중요정보의 랜섬웨어 감염, 정보탈취 및 유출에 신속하게 대응할 수 있다. 두번째, ‘Privacy-i’를 보유 중인 기업은 에이전트 추가없이 기존 ‘Privacy-i’ 에이전트에 EDR 기능을 추가하여 사용할 수 있다. 이를 통해 엔드포인드 DLP만 설치했던 기업도 에이전트 업그레이드 하나만으로 악성코드 차단부터 유출통제까지 전 구간의 데이터보호를 수행할 수 있게 된다. 기존 설치된 에이전트에 EDR을 추가하는 방식을 사용하기 때문에 프로젝트 기간도 단축시킬 수 있다. 세번째, 통합 사이버 킬체인 보고서인 ‘MITRE ATT&CK’ 프레임을 반영했다. 악성행위의 전술부터탐지방법, 피해경감기법까지 모두 적용해 탐지 및 대응을 고도화했다. 최근의 추세는 ‘EDR 솔루션’에 ‘MITRE ATT&CK’을 얼마나 많이 적용하였는지에 따라 ‘솔루션의 성능’이 평가되고 있다. 소만사 최일훈 부사장은 “소만사는 창립이래로 23년간 정보보호에 집중투자하고 있다. DLP, DB접근제어, 악성코드 차단 등 개인정보보호 솔루션만 만들어 왔다. 회사 내 모든 곳에 저장된 정보의 중요도를 구분하고 통합 관리할 수 있는 기업은 소만사 하나뿐” 이라며 “이후로도 모바일 EDR, EDR 빅데이터 분석 플랫폼 개발 등 기존제품을 고도화할 수 있는 기술을 개발해 고객들에게 제공하고자 한다.” 고 말했다. ‘Privacy-i EDR’은 기존 엔드포인트 DLP 솔루션을 사용중인 기업, 공공, 금융기관 중심으로 레퍼런스를 확보하고자 한다. 2020년 하반기에는 신규고객 확보에도 힘을 쏟고자 한다.

MITRE ATT&CK 등장 미국 연방정부의 지원을 받는 비영리 연구개발 단체인 ‘MITRE(마이터)’는 본래 국가안보관련 업무를 수행했다. 국가안보, 항공교통, 국토보안관리시스템 구축 등 인프라와 관련된 부문을 주로 연구했다. 그러나 점점 국가간 사이버공격의 영향력이 커지고 피해가 늘어나면서 자연스럽게 해당 부분에 대한 연구가 시작되었다. 그렇게 발간된 것이 ‘ATT&CK(어택)’이다. ‘ATT&CK’은 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 ‘사이버공격 킬체인 보고서’다. 의학으로 비유를 하면, 인체에 해를 끼치는 증상에 관한 치료법과 투약제품을 모두 정리해둔 자료라고 볼 수 있겠다. MITRE ATT&CK, 예측과 탐지, 대응이 가능해지다 ‘ATT&CK’은 실제 관측에 기반, 분석한 자료를 토대로 프레임워크를 구성했다. 11단계에 걸쳐 11개의 전술을 서술했다. 전술은 다음과 같이 정리되어 있다. 전술(Tactics) 1. 초기 접속(Initial Access): 악성코드를 유포하거나 첨부파일에 악성코드를 심어 공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성행위를 위한 초기 진입방식. ​2. 실행(Execution): 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술. ​3. 지속(Persistence): 공격 기반을 유지하기 위한 전술. 운영체제에서 사용하는 파일을 공격자가 만든 악의적인 파일로 대체하여 지속적인 악성 행위를 수행하거나 높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당. 4. 권한 상승(Privilege Escalation): 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술. 시스템의 취약점, 구성 오류 등을 활용. 높은 권한을 가진 운영체제로 악의적인 파일을 삽입하는 기법 또는 시스템 서비스 등록 기법 등으로 권한상승. 5. 방어 회피(Defense Evasion): 공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위해 사용하는 전술. 보안 소프트웨어 제거/비활성화, 악성코드의 난독화/암호화, 신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지. ​6. 접속 자격 증명(Credential Access): 공격자가 계정 이름이나 암호 등을 훔치기 위한 전술. 정상적인 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고, 목적을 달성하기 위해 더 많은 계정을 만들 수 있음. 7. 탐색(Discovery): 공격자가 시스템과 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술. 공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향을 정할 수 있음. 8. 내부 확산(Lateral Movement): 공격자가 네트워크에서 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술. 공격자는 자신의 원격 접속 도구를 설치하여 내부 확산을 수행하거나, 운영 체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근함. 9. 수집(Collection): 공격자가 목적과 관련된 정보 또는 정보의 출처가 포함된 데이터를 수집하기 위해 사용하는 전술. 데이터를 훔치고 유출하는 것이 목적. 10. 명령 및 제어(Command and Control): 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술. 11. 유출(Exfiltration): 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술. 공격자는 데이터를 탐지되는 것을 피하기 위해 데이터를 압축/암호화 후 전송하거나 데이터의 크기 제한 설정을 통해 여러 번 나누어 전송하는 방식을 사용. 12. 임팩트(Impact): 공격자가 가용성을 낮추고 무결성을 손상시키기 위해 운영 프로세스, 시스템, 데이터를 조작하고 중단시키고 나아가 파괴하는 데 사용하는 전술. MITRE는 각 전술에 사용된 기법들을 일목요연하게 정리했다. 더 나아가 피해를 경감할 수 있는 방법, 해당 악성행위를 사용하는 공격그룹, 프로그램 샘플까지 제공하고 있다. ‘ATT&CK’ 공개 후 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다. 대응체계 구성이 가능해지니 EDR의 완성도가 높아졌다. 수많은 사례와 기술에 대해 학습한 결과, 변종 악성코드와 공격 예측이 가능해진 것이다. 사전에 예견하고 대책을 세울 수 있게 되어 ‘Response’의 기능이 대폭 향상되었다. 만일 최초의 공격으로 이미 악성행위를 받은 상태라면 ‘피해경감 기법’을 참고해 피해를 확산시키지 않고 최소화할 수 있게 되었다. 매일매일 바뀌는 공격기법 속에서 ‘ATT&CK’은 지속적으로 보안기술과 보안위협에 대해 업데이트 하고 있다. 지난 7월에만 해도 485개의 전술기법, 91개의 해킹그룹, 397개의 악성코드에 대해 업데이트 했다. 뿐만 아니라 더 이상 사용하지 않는 전술과 기법에 대해서도 별도로 정리하기 때문에 항상 최신형상 유지와 동시에 ‘죽은 기법의 변종 등장’에 대해서도 꾸준히 대응책을 마련할 수 있게 되었다. 대응에 중점을 둔 EDR, 이제 어떻게 진화할까 탐지(Detection)는 가능하되 대응(Response)에서는 확실한 해법을 내세우지 못하던 ‘EDR’ 이었지만 ‘ATT&CK’의 공개는 흐름을 바꿔 놓았다. EDR 기업들은 해당 프레임워크를 활용하기 시작했고, 그 결과 EDR은 높은 수준의 악성행위 대응전략을 사용자들에게 보장할 수 있게 되었다. 다시 말하면 모두가 일정 수준의 대응방식을 취할 수 있게 되었다 TI(Threat Intelligence: 위협 인텔리전스) 연동의 경우 EDR 기업 모두 정확도를 높이기 위해 타사의 DB를 구매/공유하므로 큰 차이가 없다. 해쉬차단 역시 서로 공유하는 구조이기 때문에 데이터의 품질은 동일하다. 머신러닝, 딥러닝은 현재 모두 같은 출발 선상에 있기에 비교하기에는 무리가 있다. 어떻게 보면 또 다른 경쟁시장이 등장했다. 독보적인 강점을 가진 EDR로 살아남아야 하는 시대가 온 것이다. EDR은 인수합병 중 엔드포인트 보안의 흐름이 EDR로 굳혀진지는 오래됐다. 실제 환경에서 정보 탈취행위, 악성코드 주입, 데이터 파괴/암호화 행위 등 보안위협이 발견되면 빠르게 대응해 정보자산을 보호하고, 확산을 막는 방식이 가장 효과적임을 알게 된 것이다. 보안 기업들은 자신의 강점에 EDR을 결합하는 방식을 취하고 있다. 글로벌 보안기업 중 일부는 EDR 기업의 인수를 진행하고 있다. 포티넷은 ‘엔실로’를 인수했다. 엘라스틱은 ‘엔드게임’을 인수했다. VM웨어는 ‘카본 블랙’을 인수했다. SIEM이나 클라우드 보안 등 자신의 강점을 내세운 EDR이 출시될 것이다. DLP와 EDR 질문을 던져 본다. “왜 회사에서는 악성코드, 랜섬웨어 감염을 막기 위해 노력할까?” 컴퓨터가 느려지니까? 업무에 방해가 되니까? 업무효율을 따지면 맞는 말이긴 하다. 가장 중요한 것은 악성코드/랜섬웨어 감염으로 인하여 내부에 보관된 정보가 탈취되거나 변조되어 발생하는 후폭풍을 사전에 차단하기 위해서 일 것이다. 내부정보의 유출/변조 시 브랜드 이미지 하락, 신뢰도 하락, 고객이탈, 소송, 형사처벌 등 겪어야 할 풍파가 끊임없이 밀려올 테니까 말이다. 앞서 이야기했지만 최초의 공격은 아무도 막을 수 없다. 그저 가능한 효과적으로 신속하게 대응하는 것이 유일한 방법이다. 대응에 우선순위를 두어야 한다. 중요한 정보가 우선 보호되어야 한다는 의미이다. 데이터 중요도에 따라 보호수준을 차별화해야 한다. 주기적으로 중요정보를 식별해서 분류할 필요가 있다. 위협감지시 중요정보부터 우선 보호하도록 구상해야 한다. ​사전에 대응전략을 설정해야 사내기술정보(도면, 기밀, 특허), 개인정보 등 중요정보가 랜섬웨어에 감염돼 암호화되거나 해커에 의해 탈취되는 위험이 발생할 경우 신속하게 대응할 수 있다. 해커는 정보를 탈취하거나 데이터 파괴, 변조, 암호화를 수행할 때 네트워크를 통해 잠입한다. 달리 말하면 네트워크만 잘 통제한다면 유출행위는 막을 수 있다. 제로데이 공격으로 인해 정보유출 위기에 놓여있다고 해도 해커가 유출을 시도할 수 있는 모든 네트워크 경로를 통제하고 있다면 최악의 상황은 면할 수 있다. 해킹이 교묘해질수록 보안기술도 고도화된다 초기 악성코드는 자신의 프로그래밍 능력을 과시하기 위한 수단으로 활용됐다. 이후 경쟁사, 경쟁자의 업무를 방해하는 목적으로 사용되었으며, 시간이 흘러 기밀정보, 개인정보 등 ‘정보탈취’ 수단으로 악용되었다. 현재는 기존 데이터를 파괴, 변조, 암호화하여 데이터를 볼모로 잡고 금전적인 이득을 취하고 있다. 악성행위를 차단하고 통제할 때 마다 해커는 더 교묘한 수법으로 권한을 획득해 위협한다. 해킹의 수법은 끝이 없어 하루에도 변조된 기법만 수백 수만개가 생성된다. 일일이 시그니처를 파악해 업데이트 하는 것은 시간이 오래 소요되고 인력소모가 크다. 샌드박스를 이용하는 것은 이미 회피능력이 탑재된 악성코드에게는 무용지물이다. 실제 상황에서 발생한 데이터를 토대로 그들이 더 이상의 전술을 펼치지 못하도록 대응해야 한다. PC에서 발견한 악성행위 정보와 대응방식은 EDR 서버에 전송해 전세계 모든 PC에 악성행위가 전파, 확산되지 않도록 방어하는 것이 현재 개발된 보안기술 중 가장 효과적인 방식이다. 해커가 신박한 방법으로 기술을 개발해 우리를 교란시킬 수록, 우리도 진화한다. 정답은 EDR이다.

DLP(Data Loss Prevention)와 EDR 결합으로 시너지 창출 정보탈취, 랜섬웨어 등 보안위협 발생시 개인정보와 기밀정보 우선 보호 ​회사 PC 안에 등산대회 단체사진과 VIP고객정보 파일이 있다고 가정해보자. 정보탈취, 랜섬웨어 등 보안사고 발생시 어떤 파일이 더 치명적인 문제를 야기할까? 개인정보보호 전문기업 소만사(대표 김대환)는 18일 자사 엔드포인트 DLP(내부정보유출방지: Data Loss Prevention) 솔루션 ‘Privacy-i’에 EDR 기능을 탑재한 엔드포인트 위협 및 대응탐지 솔루션 ‘Privacy-i EDR’을 출시했다고 밝혔다. 해커들의 공격은 갈수록 고도화되고 있다. 하루에도 수십만개의 변종 악성코드가 새롭게 생성되고 발견된다. 새로운 해킹 기술이 나타난다. 기존 안티바이러스 솔루션으로는 효과적으로 대처할 수가 없다. 이러한 배경에서 실제로 해킹이 일어나는 엔드포인트 단에서 행위 정보를 실시간 수집, 분석, 차단하는 방법이 새로운 대안으로 제시되고 있다. EDR(Endpoint Detection & Response)이다. 연구개발을 총괄하는 최일훈 소만사 부사장은 “소만사는 창립이래로 23년간 데이터 보호에 집중투자하고 있다. 데이터가 공격받는 양상은 크게 두가지로 나뉜다. 첫번째는 외부공격에 의한 유출이다. 두번째는 데이터의 파괴 또는 암호화이다. 우리가 잘 아는 랜섬웨어를 생각하면 된다“며 “소만사는 DLP를 통해 외부로의 유출통제는 효과적으로 방어해왔다. 다만 랜섬웨어 공격 등을 통해 데이터가 파괴, 암호화되는 문제에서는 적극적으로 대응하지 못했던 것이 사실이다. 유해사이트 차단 솔루션으로 네트워크부터 엔드포인트까지 통제하는데에는 한계가 있었기 때문이다. 이에 소만사는 EDR과 DLP를 결합하여 완벽한 데이터 보호를 고객에게 약속하고자 한다“고 말했다.

DLP와 EDR 결합 통해 악성행위 차단하고 주요한 정보 우선적으로 보호해야 ​ – 소만사 부사장 최일훈 ​ 2018년 EDR 트렌드 작년의 대세 역시 EDR이었다. 다만 2018년에는 Detection(탐지)의 성향이 강한 솔루션이 주를 이루었다. 당시의 EDR 솔루션들은 적극적으로 행위를 제어하는 것 보다는 엔드포인트에서 발생하는 이슈들을 최대한 수집하고 분류한 후 보안관리자가 대응할 수 있도록 도와주는 포렌식 도구의 느낌이 강했다. 즉, 정보는 수집하여 줄 수 있으나 판단과 대응은 보안담당자에게 맡기는 구조였다. ​ ​ATT&CK, EDR에 대응력을 불어넣다 이런 상황을 보완하고자 하는 움직임이 있었다. 미국의 비영리 단체인 ‘MITRE’에서 ATT&CK 모델을 발표했다. ATT&CK은 사이버공격 관련 킬체인 관리보고서다. 킬체인은 본래 군사용어로 공격형 방위시스템을 일컫는다. 정보보안업계에서 킬체인은 ‘사이버 공격 방위시스템’으로 이해하면 되겠다. ​ ATT&CK은 2015년 발표된 후 조금씩 개선/고도화됐다. 2018년 봄에는 상세한 기법과 함께 정리된 데이터를 오픈소스로 공개했다. 그리고 이 시점부터 EDR 기업들은 ATT&CK을 적극적으로 활용하기 시작했다. ​ ATT&CK은 initial access, execution, discovery, Exfiltration 등 11개의 전술과 각 전술에서 사용되는 기법들을 일목요연하게 정리했다. 각 기업에 관한 설명, 탐지방법, 기법을 사용한 해킹그룹의 사례도 제공하고 있다. 더 나아가 각 엔드포인트 보안제품군이 각 기법들에 대해 어떻게 대응하고 있는지 확인이 가능해 자사제품과의 객관적인 평가가 가능하다. ​ ATT&CK을 토대로 EDR 기업들은 각 공격기법에 대해 적극적으로 대응할 수 있게 되었다. 2018년은 Detection의 비중이 컸다면 2019년은 Response로 조금 더 진화했다. ​ 국내 EDR 역시 ‘대응’에 초점 글로벌 트렌드에 맞추어 국내 EDR 솔루션 역시 대응(Response) 중심으로 변화하고 있다. 탐지엔진의 위치를 엔드포인트로 과감하게 변경하고 있다. 공격이 감지되면 바로 대응(Response) 할 수 있도록 조치하는 것이다. ​ 2019년의 EDR은 ‘Endpoint Detection’에 ‘& Response’가 강화됐다. 정확하고 신속한 위협대응으로 확산을 막는 것이 현실적으로 가능해졌다. EDR이 극복해야 할 과제 때때로 이런 질문을 받는다. ​ “EDR이 탐지했을 때는 이미 최초의 PC 한 대는 감염된 것 아닌가요? 그건 감염사고잖아요.” ​ 맞는 말이다. 전세계에서 최초 한 번은 감염된다. 다만, 그 이후 우리회사뿐만 아니라 EDR이 도입된 전세계 다른 엔드포인트 감염은 막을 수 있다. ​ EDR은 신종/변종 발견시 기존 대응 솔루션보다 신속하고 자동화된 대응능력을 가졌다. 실제 엔드포인트단에서 프로세스행위 기준으로 분석하기 때문에 정확한 패턴분석력을 가지고 있다. ​ 물론 단점도 있다. 파급력이 어마어마한 악성코드, 바이러스를 실시간으로 대응하기 위해서는 작은 정보도 놓치지 않고 수집해야 한다. 그래서 엔드포인트에서 정보를 광범위하게 수집한다. 엔드포인트 부하가 발생할 수밖에 없다. ​ 악성코드, 바이러스는 PC와 서버뿐만 아니라 모바일 환경에도 영향을 끼친다. 그러나 모바일 플랫폼의 EDR은 아직 출시되지 않았다. 아직까지는 모바일 환경에서의 악성코드, 바이러스, 랜섬웨어 차단은 기존의 시그니처 방식을 이용하고 있다. 스마트폰 활용이 보편화돼 자유로운 웹서핑이 가능해진 요즘, 모바일을 위한 EDR의 필요성이 대두되고 있다. ​ ​ DLP(Data Loss Prevention:내부정보유출방지)와 EDR EDR(Endpoint Detection & Response)은 말 그대로 엔드포인트 탐지 및 대응 솔루션이다. 엔드포인트 단에서 무엇인가를 탐지하고 대응하는 행동을 한다. 여러 업체들이 EDR 시장에 들어와 자신의 제품을 선보이고 있지만 우월한 성능을 자랑하고 있는 곳은 극소수이다. ​ 하지만 이들은 EDR에 특화된 기업이다. 그래서 어떤 정보가 더 중요하며 유출되어서는 안되는지 구분하지 못한다. 중요한 정보와 그렇지 않은 정보를 구분해서 보호하지 않는다. ​ 회사 등산대회에서 찍은 단체 사진과 2019년 신규가입 고객정보파일이 있다고 하자. 둘 다 랜섬웨어로 인하여 암호화되었다면 어떤 파일이 더 치명적인 문제를 일으킬 수 있을까? ​ 대응에도 우선순위가 있다. 중요한 정보가 우선 보호되어야 한다. ​ PC 안에 보관된 개인정보파일, DB/서버 내 고객 데이터베이스, 네트워크를 통해 전송시도된 개인정보파일 등을 통합적으로 연계, 관리하는 솔루션이 필요하다. 이를 통해 중요정보 오염에 선제적 대응을 할 줄 알아야 한다. 즉 무엇을 지켜야 하는지 알고 지켜야 한다. ​ 소만사의 EDR 솔루션은 DLP와 연계됐다. 정보의 우위를 알기에 비상상황 발생시 중요정보부터 우선 보호가 가능하며, 유출통제기능으로 정보유출을 차단하기에 우월하다. ​ 개인정보보호 솔루션은 그 동안 두 단계의 변화를 겪었다. 처음에는 개인정보 파일 검출, 삭제, 암호화를 통해 위험요소를 제거했다. 두번째는 매체, 출력물, 네트워크를 통한 유출의 경로를 차단했다. ​ 이제는 DLP와 EDR의 결합을 통해 악성행위를 차단하고 주요한 정보를 우선적으로 보호해야 한다. 엔드포인트에서 탐지하고 엔드포인트에서 대응해야 한다. 더 나아가 엔드포인트를 통해 정보가 흘러나가지 않도록 네트워크와 연동하여 전방위 대응체계를 구상해야 한다. ​ 해킹공격은 매일매일 지능적으로 고도화되고 있다. 보안 허점은 끊임없이 늘어난다. ​ EDR을 통해 방어하고 대응해야 할 때다. ​​ ​ https://www.dailysecu.com/news/articleView.html?idxno=73316

- 지난 6월 발견된 암호 화폐 거래소 D사의 스피어피싱과 동일한 형태의 공격 및 악성코드 발견 - 암호 화폐 거래소 사용자 대상 보안 위협 지속 예측 정보보안 전문기업 시큐아이(대표 최환진, www.secui.com,삼성SDS 자회사)는 암호화폐 거래소 이용자를 대상으로 하는 스피어피싱 공격 및 악성코드(해시 값:464939066968AED23F5E568BB8A523A7)를 발견해 주의를 당부한다고 6일 밝혔다. 이 악성코드는 지난 6월 27일 발견된 암호화폐 거래소 D사의 이벤트 당첨 안내 위장 스피어피싱과 동일한 이름으로, 암호화한 한글 문서 파일 형태이다. 악성코드 파일명은 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp'이다. 악성코드는 메일로 온 위 파일명의 첨부 파일 문서를 열 경우에 실행되는만큼 첨부를 열어보지 말고 메일을 바로 삭제 조치해야 안전하다. 첨부 문서를 열 경우 악성 코드가 실행되면서 감염된 시스템의 정보를 탈취하고 서버로부터 추가 악성코드를 다운받아 사용자의 PC를 감염시켜, 프로세스/파일 리스트, 네트워크 정보 등을 수집 한 뒤 메일 계정을 이용해 개인정보를 탈취한다. 조효제 시큐아이 보안분석기술팀 연구원은“발견된 악성코드가 실제 공격에 사용되었는지, 혹은 테스트를 위해 작성한 샘플이 공개되었는지 확인은 어렵지만 유사한 공격이 지속적으로 공개되는 것으로 보아 암호화폐 거래소 사용자 대상의 위협은 계속될 것으로 예상된다”며 사용자들의 각별한 주의를 당부했다.