top of page
게시판 게시물
지헌 이
2024년 3월 11일
In NEWS
엠퍼시스정보기술(대표 이영호, 이하 엠퍼시스)는 고객을 대상으로 최근 개정된 개인정보보호법과 정보보호·개인정보보호 관리체계(ISMS-P) 인증기준 관련 대응 세미나를 29일 개최했다.
회사는 세미나에서 개인정보보호법과 ISMS-P에 대한 이해를 제공하고 현장 사례 중심의 실무적인 접근 방법과 적용 전략을 통해 개인정보 보호의 중요성을 강조했다. 특히, 조직이 보안과 프라이버시를 보장하며 고객 신뢰를 구축하는데 필수적인 지식을 제공했다.
엠퍼시스 관계자는 “고객이 정보보호 정책 수립·관리 대한 구체적인 기준과 인증 심사·사후 관리에 대한 보안 대책을 마련해야 한다”라면서 “하지만 대부분 기업이 전문 정보와 기술력이 부족한 상황에 놓여 있어 이를 해결하기 위해 세미나를 마련했다”라고 설명했다.
유지호 엠퍼시스 교육이사는 “이번 세미나 참석을 통해 기업 정보보호 담당자들은 정보보호에 대한 경각심을 더욱 높이는 한편 회사는 고객들에게 더욱 신뢰받는 기업으로 나아갈 수 있도록 준비하겠다”라고 전했다.
엠퍼시스는 올해 CPPG, ISMS-P, ISO27001 인증 심사 실무반을 준비해 고객들이 실무에 적용할 수 있는 교육과 인증 심사원 자격까지 갖출 계획이다.
이영호 대표는 “기업에 인증 획득 지원 서비스를 제공하고 향후 더 많은 기업 보안 담당자들이 세미나에 참여해 정보보호 역량을 강화하고 글로벌 경쟁에서 높은 신뢰를 받도록 지원한다”고 말했다.
안수민 기자 smahn@etnews.com
https://www.etnews.com/20240308000251
0
0
43
지헌 이
2020년 11월 20일
In NEWS
- 기술지원 체계 구축 및 보안 안전성 검증 통해 글로벌 방화벽 솔루션 시장 공략 본격화 정보보안 전문기업 시큐아이(대표 최환진, www.secui.com, 삼성SDS 자회사)는 클라우드용 차세대 방화벽 ‘블루맥스 NGF VE’를 아마존웹서비스(AWS) 마켓플레이스에 등록했다고 27일 밝혔다. AWS 이용자는 지역에 관계없이 시큐아이의 방화벽 솔루션을 편리하게 구매하고 업무에 곧 바로 적용할 수 있게 되었다. 시큐아이의 이번 AWS 마켓플레이스 등록은 글로벌 시장 진출을 본격화하기 위한 것으로, 기술 지원 체계 구축 및 솔루션에 대한 보안 안전성 검증을 이미 받았다. 블루맥스 NGF VE는 고성능 방화벽 필수 기능을 제공하고 클라우드 서비스와 가상 서버 환경 보안에 최적화된 차세대 방화벽 제품이다. 이 솔루션은 클라우드와 가상 서버 환경에서 네트워크 트래픽과 시스템의 과부화가 발생해도 오토스케일링(서버, 네트워크 등을 자동으로 확장해 최적의 인프라를 제공하는 기술) 기능이 있어 안정적인 보안 환경을 구현한다. 또한 △사용자ID∙앱∙디바이스 제어 △침입방지시스템 △안티 DDoS∙안티 바이러스∙안티 스팸 △지능형지속공격(APT) △내부정보 유출방지 △암호화 프로토콜(SSL) 가시화 △보안 가상사설망(IPSec VPN, SSL VPN) 등 클라우드 환경에서 필요한 다양한 보안 기능을 제공한다. 최환진 시큐아이 대표는“이번 AWS 마켓플레이스 등록을 통해 글로벌 고객에게도 차세대 방화벽 솔루션을 제공할 수 있는 기반을 마련했다”며 “지속적인 기술력 강화와 현지 파트너 확보를 통해 글로벌 시장 진출을 가속화할 계획”이라고 말했다.
0
0
186
지헌 이
2020년 11월 20일
In NEWS
- 보안 위협과 관리비용은 줄이고, 보안은 크게 강화한 클라우드 보안 서비스 선보여 - 데브섹옵스 보안서비스∙DNS 기반 웹보안 서비스∙워크로드 보안∙형상 관리 등 최신 클라우드 보안 솔루션 적용 정보보안 전문기업 시큐아이(대표 최환진, www.secui.com, 삼성SDS 자회사)는 플랫폼 기반 클라우드 전용 보안 서비스 ‘클라우드맥스’를 새롭게 선보이며 사업에 나선다. 이번에 선보인 클라우드맥스는 최근 각광받고 있는 ▷데브섹옵스(DevSecOps) 보안 ▷DNS 기반 웹보안 ▷워크 로드 보안 ▷클라우드 보안 형상 관리 등 최신 클라우드 보안 솔루션을 적용해 각종 보안 위협과 관리 부담은 대폭 줄이는 대신 보안은 크게 강화한 보안 서비스다.
시큐아이는 이 서비스를 자사의 보안 전문 인력을 통해 고객사의 클라우드 환경과 니즈에 맞는‘맞춤형 보안 서비스’와 ‘사용량 기반 클라우드 보안 서비스’로 제공한다.
데브섹옵스는 클라우드 컨테이너와 서버리스 서비스 관련해 IT개발부터 배포, 운영, 관리까지 전 영역을 보안과 연계하는 방식이다. 시큐아이가 이 방식을 적용함으로써 고객은 프로그램 개발 관련 보안 리스크를 최소화하고 설사 배포한 프로그램에 문제가 생길 경우라도 빠른 복구로 업무 효율을 높일 수 있다.
시큐아이의 DNS 웹보안 서비스는 각종 디도스∙봇 검출과 함께 대용량의 테라급 디도스 공격을 동시에 방어할 수 있는 솔루션으로, 이를 탑재함으로써 클라우드맥스의 보안 성능을 크게 향상시켰다.
워크로드 보안은 운영체계∙애플리케이션 등 고객의 클라우드 인프라 자원을 보호하는 기능을 한다. 클라우드맥스는 이 기능을 통해 컴플라이언스 관리와 함께 데이터 유출, 계정 침해, 리소스 악용으로부터 고객의 클라우드 자산을 빈틈없이 보호한다.
이밖에 클라우드 보안 형상 관리 솔루션은 방화벽, 접근 제어 등 클라우드 환경에서 보안 설정을 변경할 경우, 보안 규정 위배 사항 유무를 실시간으로 알려주는 역할을 한다. 클라우드맥스는 이 솔루션으로 잘못된 보안 설정을 사전에 파악해 고객의 보안 침해 사고를 선제적으로 예방해준다.
최환진 시큐아이 대표는“다양한 고객의 니즈에 최적화된 클라우드 보안 서비스를 제공하며 관련 시장을 적극 공략해 나가겠다”고 말했다.
0
0
101
지헌 이
2020년 11월 20일
In NEWS
코로나19 여파로 재택근무를 시행하는 기업이 늘어났다. 재택근무시 기업들은 주로 VPN방식을 이용한다. 이 경우 인트라넷에 저장된 파일을 재택근무 PC로 다운로드·업로드 할 수 있다. 보안담당자들에게 재택근무 시행은 악몽이다. 재택근무가 시행되면 웹방화벽, APT, IPS 등 네트워크 보안장비 도움을 전혀 받을 수 없게 된다. 망분리도 이뤄지지 않는다. 유일하게 도움을 받을 수 있는 보안제품은 엔드포인트 보안솔루션 뿐이다. 소만사(대표 김대환)는 이 같은 기업 어려움을 줄여주고자 클라우드 기반 PC 개인정보보호 솔루션 ‘프라이버시-아이 클라우드(Privacy-i Cloud)’로 비대면 바우처 사업을 지원한다. PC내 개인정보를 최소보관하고 유출을 차단해 회사와 임직원을 형사처벌 위험으로부터 지켜준다. 프라이버시-아이 클라우드는 개인정보 최소보유 기능과 유출차단 기능을 제공한다. 개인정보 최소보유 기능은 PC 내 방치, 저장된 개인정보 개수를 파악해 정보자산을 식별해준다. 개인정보 최소보관정책을 통해 불필요한 개인정보 파일은 일괄적으로 삭제할 수 있다. 보관이 필요한 파일은 암호화해 보관하므로 제3자가 파일을 탈취하더라도 암호화돼 악용할 수 없다. 개인정보 유출차단 기능은 개인정보가 외부로 반출, 악용되는 것을 막아준다. 프린터, USB, 외장하드, 메일, P2P, 클라우드 서비스, 메신저 등을 통한 정보유출행위를 통제, 차단하며 사후감사를 위해 유출시도를 기록한다. 업무를 위해 반출이 필요한 경우에는 상급자 결재를 받아 외부전송을 할 수 있다. 이 경우에도 사후감사를 위해 반출기록을 저장한다. 프라이버시-아이 클라우드는 어플라이언스 기반 제품인 ‘프라이버시-아이’를 클라우드 방식으로 구성한 제품이다. 사내에 장비를 설치하지 않는다. 전문 정보기술(IT)인력이 없는 중소기업에서도 활용이 용이하다. 어플라이언스 방식대비 구축비용은 3분의 1로 합리적이다. 국내에서 유일하게 윈도 운용체계(OS)뿐 아니라 맥(Mac) OS도 지원한다. 연구개발을 총괄하는 최일훈 소만사 부사장은 “프라이버시-아이는 직원수 1만여명 이상 기관 50여곳에서 성능이 입증된 개인정보보호 솔루션”이라면서 “10년간 시장 1위를 지켜오며 외산제품을 점차 대체해 나가고 있다”고 말했다. 향후 소만사는 EDR 기능강화와 기술개발로 ‘싱글에이전트’로 엔드포인트 통합보안을 지원할 계획이다. 이를 통해 악성코드 감염부터 정보유출까지 엔드포인트에서 발생하는 모든 보안위협을 통제할 수 있게 된다. 보도자료: https://www.etnews.com/20201019000029 K-비대면 바우처 플랫폼 Privacy-i Cloud 구매처: https://www.k-voucher.kr/detail.html?no=548 Privacy-i Cloud 공식페이지 : https://www.somansa.com/solution/cloud_service/privacy-icloud/
0
0
224
지헌 이
2020년 11월 20일
In NEWS
소만사는 SAP사의 DBMS 플랫폼 ‘SAP HANA’에 특화된 DB접근제어 솔루션 ‘DB-i HANA’를 출시했다. 현재 ‘DB-i HANA’는 SAP HANA를 사용하고 있는 모 대기업에 구축 및 적용이 완료된 상태다. SAP HANA는 글로벌 100대 기업에서 사용하는 실시간 데이터베이스 플랫폼이다. SAP HANA는 기업 내 각 지사의 개인정보, 회계정보, 생산정보, 자산정보 등 모든 정보를 일괄적으로 보관/관리할 수 있으며 이를 토대로 필요한 데이터를 추출/분석할 수 있다. 회사 IT 인프라의 핵심 성장 엔진이다. 즉, 기업의 모든 정보자산이 밀집된 만큼 높은 수준의 보안조치가 필요하다. 소만사 ‘DB-i HANA’는 SAP HANA의 높은 처리속도, 타 DB서버대비 많은 코어 개수 등 자체특성을 반영하여 개발됐다. 요청/응답시간, ID, 접속계정, 조회정보 등이 모두 기록되므로 ‘개인정보보호법고시 8조 접속기록의 보관점검 규정’을 준수하는 제품이기도 하다. SAP HANA에 접속한 관리용 단말기(PC) 통제도 가능하다. 단말기를 통해 출력, USB저장, 복사/붙여넣기 시도를 모두 차단하고 기록할 수 있다. 기존 DB접근제어 기능 뿐만 아니라 DB DLP(Data Loss Prevention) 기능까지 제공하는 통합 DB보안 솔루션이다. 연구개발을 총괄하는 소만사 최일훈 부사장은 “SAP ERP를 운영하는 기업들은 대부분 해외 각국에 지사를 보유한 대기업들인데, 최근 기존 오라클 DBMS에서 SAP HANA로 교체하고 있는 추세”라며 “중요한 정보자산이 한 곳에 집약된 만큼 조회부터 유출통제까지 SAP HANA에 발생하는 모든 구간을 통제, 기록할 수 있어야 한다”고 말했다. DB접근통제 솔루션 ‘DB-i’는 클라우드 라이선스로도 구축가능하며, 현재 대기업, 중앙부처 DB접근통제 표준솔루션으로 대규모 기업, 공공기관 500여곳에 구축되어 있다.
0
0
115
지헌 이
2020년 4월 07일
In NEWS
재택근무 환경에서 데이터를 보호하기 위해 DLP도 필수다. 소만사는 엔드포인트 DLP ‘프라이버시아이(Privacy-i)’와 EDR 솔루션 ‘프라이버시아이 EDR’을 하나의 에이전트로 결합시켜 에이전트 관리 복잡성을 제거하면서 재택근무 시 강화되는 엔드포인트 보안 관리 문제를 해결한다. 소만사의 유해·악성코드 배포 사이트 DB를 이용해 이메일·메신저 등을 통해 유입되는 악성 URL을 차단하며, 악성코드가 PC에 침투하면 EDR 엔진으로 차단하는 프로세스를 가진다. 소만사는 데이터 중요도에 따라 보호 수준을 달리 해 업무 생산성을 극대화하며, 마이터 어택(MITRE ATT&CK) 프레임워크를 적용해 고도화된 엔드포인트 보호를 제공한다. 김대환 소만사 대표는 “재택근무라는 분산된 엔드포인트 환경에서 백신, 샌드박스 등 포인트 솔루션만으로 다양한 엔드포인트 위협을 차단하지 못한다. DLP를 통한 데이터 유출 방지와 데이터 파괴·변조·무단 암호화 방지, 유해사이트 차단을 통한 악성코드 감염 방지와 함께 EDR의 제로데이 공격 방어 기능을 통해 보다 안전한 엔드포인트 환경을 만들 수 있다”며 “신속하고 자동화된 대응 능력을 가진 통합 엔드포인트 보호 솔루션으로 보안 위협이 높은 재택근무 환경까지 보호할 수 있다”고 설명했다. 데이터넷 김선애 기자 : http://www.datanet.co.kr/news/articleView.html?idxno=144246
0
1
166
지헌 이
2020년 4월 07일
In NEWS
소만사(대표 김대환) 서버 개인정보보호 솔루션 ‘서버아이(Server-i) v3.0’이 GS인증(1등급)을 획득했다. GS인증은 Good Software Certificate의 약자로 제3자의 객관적인 시험인증결과를 토대로 제품에 신뢰를 부여한다. 서버아이는 서버내 방치된 개인정보 현황을 점검, 진단, 삭제하는 서버 DLP 솔루션이다. 국내 운영중인 서버 운영체제(OS)와 각 버전, 파일포맷, 상용화된 모든 DBMS를 지원하고 있다. 광학문자인식(OCR) 기능도 탑재되어 있어 카드/대출 신청서, 진료기록서, 도면 등 이미지 문서 내 개인정보, 기밀정보가 포함되어 있을 경우에도 탐지해낸다. 서버아이는 국정원 CC인증을 시작으로, ‘가트너’의 매직쿼드런트 엔터프라이즈 DLP 부분에 2년 연속 등재되어 글로벌 경쟁력을 인정받은 솔루션이다. 또한 안정성이 중시되는 제1금융권 서버 3천여대에서 사용되는 솔루션으로 실제 제품사용을 통해 성능을 검증받았다. 연구개발을 총괄하는 소만사 최일훈 부사장은 “소만사 서버아이는 OS종류, 버전 상관없이 하나의 솔루션으로 수백 대 서버 내 개인정보를 검출할 수 있다. 서버 에이전트의 버전이 바뀌어도 안정적으로 대응할 수 있으며 관리서버가 증설되어도 부담이 없다.”고 말했다. 현재 서버아이는 주요 민간, 금융, 공공기관에 도입되어 있으며 1만대 이상의 서버에서 개인정보를 탐지, 검출하여 서버를 통한 정보유출사고를 원천적으로 차단하고 있다.
0
0
101
지헌 이
2020년 3월 31일
In NEWS
- 사용자ID, 앱, 디바이스 제어 등 고성능 차세대 방화벽 필수 기능 제공
- 오토스케일링 기능 통해 네트워크 트래픽 및 시스템 과부하 발생 시에도 안정적인 보안 환경 구현 가능
- AWS, 애저, 오픈스택, VM웨어 등 글로벌 클라우드 서비스 및 가상 서버 환경에 최적화
- 국내외 기업 대상으로 사업 전개해 나갈 계획 정보보안 전문기업 시큐아이(대표 최환진, www.secui.com, 삼성SDS 자회사)가 클라우드 보안 차세대 방화벽 '블루맥스 NGF 버추얼 에디션'(이하 블루맥스 NGF VE)을 출시한다고 13일 밝혔다. 블루맥스 NGF VE는 고성능 방화벽 필수 기능을 제공하고 글로벌 수준의 클라우드 서비스 및 가상 서버 환경 보안에 최적화된 차세대 방화벽 제품이다. 이 제품은 △사용자ID 제어 △App 제어 △디바이스 제어 △DLP(Data Loss Prevention, 내부 정보 유출 방지) △SSL(Secure Sockets Layer, 암호화 통신) 가시성 △Rest API 연동 등 고성능 차세대 방화벽 필수 기능을 제공한다. 또한 시큐아이는 이 제품에 오토스케일링 기능을 적용함으로써 보안에 대한 가용성을 대폭 향상시켰다. 이 기능으로 클라우드와 가상 서버 환경에서 네트워크 트래픽 및 시스템 과부하가 발생할 경우라도 시스템이 자동 확장돼 안정적인 보안 환경 구현이 가능하다. 특히 블루맥스 NGF VE는 VM웨어, 시트릭스 젠(Xen), KVM, 하이퍼-V 등 다양한 가상 서버환경과 아마존웹서비스(AWS), MS 애저, 오픈스택 등 글로벌 대표 클라우드 서비스 환경에 최적화되어 있어 사용 환경에 관계없이 사용자에게 높은 편의성을 제공한다. 시큐아이는 이 제품 출시와 함께 IT인프라 환경을 클라우드 환경으로 전환하고자 하는 국내외 기업을 대상으로 적극적인 영업 활동을 펼칠 계획이다. 최환진 시큐아이 대표는“블루맥스 NGF VE는 국내 방화벽 보안 시장은 물론 글로벌 네트워크 보안 시장이 요구하는 최신 보안 기능을 충족시킨 클라우드 보안 차세대 방화벽 제품”이라며“이번 제품 출시를 통해 국내외 가상 환경 기반의 클라우드 보안 시장으로 영역을 확대하며 보안 플랫폼 전문 기업의 명성을 이어 나갈 것”이라고 밝혔다.
0
0
100
지헌 이
2020년 3월 31일
In NEWS
'싱글에이전트', 비용절감, 성능유지, 안정성 확보, 보안성, 업무효율 혁신 가져와 지금으로부터 10년 전, 모 은행 보안 책임자가 한탄한 적이 있다. “PC에 설치되는 에이전트 갯수가 너무 많다”고. 고객의 요구사항은 이미 10년 전부터 존재했다. 이제는 한계에 도달했다. 대기업은 전문 보안팀이 있으니 전문적으로 수행할 수 있겠지만, 중견·중소규모의 기업기관은 많은 에이전트를 수월하게 관리할 수 없을 것이다. 중견·중소규모의 기업기관은 보안이슈가 발생했을 때부터 싱글 에이전트에 대한 열망이 컸다. 보안담당자의 요구사항과 함께 어느덧 기술력도 높아졌다. 개별 에이전트 운영 시 얻을 수 있는 장점보다, 통합 에이전트 운영시 누릴 수 있는 장점이 압도적으로 더 커졌다. 이제는 ‘싱글 에이전트’에 도전할 수 있는 시기가 되었다. #엔드포인트 보안은 <악성코드 차단>과 <데이터 보호>로 나뉜다 엔드포인트 보안이슈는 크게 <악성코드 차단>과 <데이터 보호>로 요약할 수 있다. 큰 그림으로 보면 보안사고는 다음과 같은 시나리오로 발생한다. <악성코드 차단>은 기존에는 실행파일 패턴 분석의 안티바이러스 솔루션이 보안을 수행했다. 패치관리 시스템도 비슷한 역할을 했다. 패치만 적시에 이루어진다면 악성코드에 감염될 확률이 줄어들었기 때문이다. 최근에는 행위기반의 솔루션인 EDR(endpoint detection and response)로 차세대 보안솔루션 트렌드가 바뀌고 있다. 최초의 공격인 제로데이 어택에 대응하기 위해서는 실제환경에서 실시간으로 대응하는 것이 더 효과적이기 때문이다. <악성코드 차단> 솔루션은 안티바이러스 솔루션을 거치고, 패치관리를 지나, EDR쪽으로 통합화의 길을 걷고 있다. <데이터 보호>는 USB 매체제어, 출력물통제, 인터넷 파일전송통제, 파일 암호화, DLP, DRM 등 개별적인 솔루션으로 등으로 개발되어 왔다. 이 분야는 DLP(내부정보유출방지: Data Loss Prevention)솔루션이 통합하고 있는 추세다. 초기에는 특정 솔루션을 지칭하는 단어였지만 현재는 데이터 보호를 통칭하고 있다. DLP가 유출차단 뿐만 아니라 데이터 검출과 매체제어, 암호화 기능을 함께 수행하고 있기 때문이다. DLP 솔루션은 국내기업이 강세를 보이고 있다. 대한민국 산업 특성상 제조업이 발달했는데, 이로 인하여 도면, 기술, 생산라인, 제품디자인 등 산업과 관련된 정보를 보유하고 있어 이를 보호하기위해 국내기업의 DLP 기술이 크게 발전했다. 미국이 소스코드, 개인정보, 의료정보보호 측면에서 DLP 기술이 발전한 것과는 다른 양상이다. DRM은 파일 암호화, 애플리케이션 통제에 중점을 둔 보안 솔루션이다. DLP와 비교했을 때 기능이 비슷해지는 추세이기에 큰 차이는 없어졌다. 과거에는 DLP와 DRM에 관한 비교자료가 나올 정도로 두 솔루션은 다른 솔루션으로 인식되었다. 하지만 지금은 큰 차이가 없는 솔루션으로 받아들여지고 있다. 보안기업들은 에이전트의 개수를 축소, 통합하는데 집중하고 있다. <악성코드 차단>과 <데이터보호>로 에이전트의 개수를 2개로 축소하는 것은 단순해 보이지만 매우 큰 혁신이다. 에이전트 개수를 2개로 줄이는데 성공하면, 마지막으로 하나의 솔루션으로 통합하는 것이 목표가 될 것이다. 그래서 보안기업들은 <악성코드 차단>기능을 수행하는 에이전트와 <데이터 보호>를 수행하는 DLP 통합을 목표로 단일화에 도전하고 있다. 글로벌 업체들은 장기적인 로드맵을 가지고 싱글 에이전트에 도전하고 있다. 전통 PC보안강자인 시만텍, 맥아피 이외에도 OS와 오피스로 유명한 MS(마이크로소프트)가 악성코드 차단에 투자하고 있다. 보안산업이 20년 동안 성장하고 안정됨에 따라, 우리나라에서도 20년간 기술력과 고객을 바탕으로 싱글에이전트 프로젝트에 도전하고 있다. 몇몇 대기업은 현재 통합 프로젝트를 수행하고 있다. ‘싱글에이전트’의 출시는 비용절감, 성능유지, 안정성 확보, 보안성, 업무효율 측면에서 혁신을 가져올 수 있다. 총소유비용(TCO: Total cost of Ownership)의 절감을 가져올 수 있고, 안정적인 환경 속에서 정교한 통제가 가능해진다. 대기업과 중견·중소기업 모두가 원하는 솔루션이다. 싱글에이전트는 모든 보안 담당자가 꿈꾸는 꿈의 기술인 것이다. [글. 소만사 최일훈 부사장] 출처 : 데일리시큐(https://www.dailysecu.com) https://www.dailysecu.com/news/articleView.html?idxno=106928
0
0
104
지헌 이
2020년 3월 31일
In NEWS
여러개의 에이전트를 PC에 설치할 경우 발생하는 많은 문제들... PC에 설치되는 PC보안 에이전트 종류는 15개를 훌쩍 넘는다. DLP, USB매체제어, 출력물보안, PC개인정보검색, 안티바이러스, PC보안, EDR, DRM, 패치관리 시스템, 소프트웨어 자산관리, PC유해사이트 차단, 지키미(공공기관 보안점검 에이전트), 문서중앙화, 랜섬웨어 차단, 키보드보안 등 대기업에서는 평균 5~6개의 에이전트가 PC에 설치된다. 보안사고 발생, 정부정책 법령변화, 그리고 해킹기술의 발달로 인하여 PC보안 에이전트 개수는 꾸준히 증가해왔다. 예를 들면, 2011년 개인정보보호법 제정에 따라 PC 개인정보 검색/삭제/암호화 솔루션이 설치되었다. 최근에는 악성코드 변종이 폭발적으로 증가함에 따라 패턴기반 안티바이러스 에이전트가 아닌, 행위기반 EDR 에이전트가 PC에 설치되기 시작했다. 각각의 보안 솔루션은 특정 이슈에 대해서 최고의 성능올 보인다. 예시를 들어보겠다. 출력물 보안 솔루션은 워터마킹, 출력물 로그관리, 출력물 결재, 출력물 개인정보 검색, 토너 절감기능을 가지고 있다. 출력물 보안 솔루션은 출력물 보안에 대해서는 가장 최적화된 기능을 제공한다. 하지만 부팅 후 작업표시줄에 에이전트 트레이 아이콘이 하나둘씩 나타나 한 쪽을 꽉 채우는 모습을 보면 내 PC를 혹사 시키고 있는 것 같아 애처로워 보일 때가 있다. 중견수, 좌익수 사이에 공이 떠 있으면 누가 잡아야 할까? 여러 개의 에이전트를 PC에 설치할 경우 발생할 수 있는 문제는 다음과 같다. 첫번째, 성능문제가 발생한다. 엑셀 프로그램 클릭만 했을 뿐인데 갑자기 PC가 먹통되는 경험이 최소 한 번 정도는 있을 것이다. 보안 에이전트가 백그라운드에서 동작하기 때문에 발생하는 문제다. 한정된 PC 메모리에서 에이전트 5개 이상이 동시에 실행되고 있기에 시스템에 부하가 발생하는 것은 당연한 일일지도 모르겠다. 두번째, 안정성 문제가 발생한다. 장애발생은 치명적이다. 새로운 보안 솔루션이 도입되면 PC에 블루스크린이 자주 뜰 때가 있다. 난감해진다. 블루스크린은 보안 솔루션의 후킹(Hooking) 때문에 발생한다. 보안 솔루션은 이상행위를 감지해야 한다. 때문에 USB, 출력물, 메신저, 오피스 프로그램 등을 통제해야 하므로 디바이스 이벤트를 후킹할 때가 있다. 안정성이 떨어질 수밖에 없다. 5개의 솔루션이 죄다 후킹을 하다가 그 중에 하나가 삐끗하기라도 하면 PC가 먹통이 된다. 5개의 솔루션 중 무엇이 문제를 일으켰는지 확인할 길이 없기에 때때로 5개의 보안업체가 한 곳에 모여 문제를 해결하기도 한다. 세번째, 보안성이 저하된다. 보안 솔루션이 다른 보안 솔루션을 적으로 인식하기도 한다. 서로 충돌한다. 보안위협을 찾아내는 것이 역할이기 때문에 중복으로 보안하는 구간에서 만나게 되면 서로를 보안 위협으로 인식할 수가 있다. 이를 해결하기 위해 충돌방지기능을 추가하면 보안에 사각지대가 생길 수 있다. 마치 야구 경기 중에 중견수, 좌익수끼리 서로 눈치보다가 어이없이 실책하는 경우 같다고 보면 되겠다. 네번째, 업그레이드가 번거롭다. 진정한 지옥문은 PC OS가 업그레이드될 때 열린다. OS의 업그레이드는 곧 보안 솔루션 에이전트의 업그레이드를 의미한다. 만일 그 사이 업체가 사업에서 철수하거나 폐업하거나 합병되었을 경우 새로운 OS 보안에 대책이 없는 상태이기 때문에 새롭게 솔루션을 도입해야 할 수도 있다. 충돌/안정화문제는 다시 한번 점검해야 할 사항이 될 것이고 말이다. 마지막으로 일관성이 없는 경우가 있다. 대표적인 것이 개인정보 분석능력이다. 하나의 엑셀 파일에 대해 분석을 했을 때 개인정보 검색 솔루션은 주민번호 100건을 탐지하고, 출력물 보안 솔루션은 95건을, USB 통제 솔루션은 90건을 탐지한다면 문제가 된다. 업체마다 개인정보 정확도가 다를 수는 있지만 정확하게 탐지하지 못하면 이는 도입한 기업, 기관의 위험부담이 된다. 이렇게 많은 문제가 있음에도 불구하고 에이전트 개수는 줄지 않고 늘어나기만 했다. 왜냐하면 보안 솔루션 하나를 직원 6천명의 PC에 설치하고 안정화하려면 1년의 시간이 소요됐기 때문이다. 그렇기 때문에 에이전트를 새롭게 설치하고 안정화하는 것은 보안담당자 입장에서는 다시 겪고 싶지 않은 경험일 것이다. 기존 솔루션에 다른 솔루션을 추가해 어떻게 해서든 버텨나가는 것이 마음은 편할 것이다. 소프트웨어 에이전트는 업그레이드시 큰 비용이 소요되지 않는다. 개발사의 입장에서도 기능추가보다는 새로운 솔루션을 출시하는 것이 매출확대에 더 도움이 된다. 그래서 비효율적임에도 불구하고 PC에 설치되는 에이전트의 개수는 계속 늘어나기만 했다. [글. 소만사 최일훈 부사장] 출처 : 데일리시큐(https://www.dailysecu.com) https://www.dailysecu.com/news/articleView.html?idxno=106872
0
0
232
지헌 이
2019년 12월 27일
In NEWS
소만사 (대표 김대환) ‘Privacy-i EDR’이 전자신문 2019년 하반기 인기상품에서 품질우수 상품으로 선정됐다. 지능화된 악성코드는 소스 안에 의미없는 행동인 노이즈를 섞어 악성코드의 농도를 옅게 만든다. 이를 통해 안티바이러스 솔루션을 회피한다. 때때로 APT 솔루션 탐지기능을 탑재하거나 초기 접속 후 일정 시간이 지난 후 활동을 개시하도록 악성코드를 만들기도 한다. APT 대응 솔루션을 우회하기 위해서다. 악성코드를 심은 해커는 초기 접속 성공하게 된다. 이후 PC내에서 권한상승을 조작하고 중요정보를 획득하게 된다. 해커는 PC, 서버와 같은 엔드포인트에서 대량의 개인정보/기밀정보를 유출하거나 파일을 변조, 파괴, 암호화시킨다. 이는 기업의 가치를 하락시킨다. 형사소송, 손해배상 소송 등 금전적 손해와 동시에 고객의 신뢰와 브랜드 이미지를 추락시킨다. 새로운 악성코드 공격방식은 매우 치밀하고 영리하다. 기존의 솔루션으로 일거에 방어하기란 사실상 어려워졌다. 신기술이 제시되었다. 악성행위가 실제로 발생하는 엔드포인트 단에서 행위정보를 수집하는 것이다. 실제 정보를 수집한 후 실시간으로 대응해 신규 악성코드, 변종바이러스, 이미 알려진 바이러스에 대응하는 기술이 바로 EDR(엔드포인트 위협 탐지 및 대응) 솔루션이다. 정보가 공격받는 양상은 크게 두가지로 나뉜다. 첫번째는 외부공격에 의한 정보유출이다. 두번째는 정보의 파괴, 변조, 암호화이다. 우리에게 익숙한 랜섬웨어를 떠올리면 된다. 소만사는 정보유출차단에 관한 문제에서는 적극적으로 대응해왔다. 다만 랜섬웨어 공격을 통해 정보가 파괴, 변조, 암호화되는 문제에서는 적극적으로 대응하지 못했다. 기존 유해사이트 차단 솔루션으로 네트워크부터 엔드포인트까지 통제하는데 한계가 있었기 때문이다. 소만사는 자사 엔드포인트 DLP(내부정보 유출방지) 솔루션 ‘Privacy-i’에 EDR 기능을 탑재했다. 이를 통해 다음과 같은 강점을 가질 수 있게 되었다. 첫번째, 데이터의 중요도에 따라서 보호수준을 차별화한다. 주기적으로 엔드포인트 안에 보관된 주요 기밀, 개인정보를 식별한다. 악성행위 등 보안위협 감지될 경우 엔드포인트에 설치된 탐지엔진이 기밀정보/개인정보 같은 중요정보부터 우선 보호한다. 회사기밀정보, 고객정보 등 중요정보의 랜섬웨어 감염, 정보탈취 및 유출에 신속하게 대응할 수 있다. 두번째, ‘Privacy-i’를 보유 중인 기업은 에이전트 추가없이 기존 ‘Privacy-i’ 에이전트에 EDR 기능을 추가하여 사용할 수 있다. 이를 통해 엔드포인드 DLP만 설치했던 기업도 에이전트 업그레이드 하나만으로 악성코드 차단부터 유출통제까지 전 구간의 데이터보호를 수행할 수 있게 된다. 기존 설치된 에이전트에 EDR을 추가하는 방식을 사용하기 때문에 프로젝트 기간도 단축시킬 수 있다. 세번째, 통합 사이버 킬체인 보고서인 ‘MITRE ATT&CK’ 프레임을 반영했다. 악성행위의 전술부터탐지방법, 피해경감기법까지 모두 적용해 탐지 및 대응을 고도화했다. 최근의 추세는 ‘EDR 솔루션’에 ‘MITRE ATT&CK’을 얼마나 많이 적용하였는지에 따라 ‘솔루션의 성능’이 평가되고 있다. 소만사 최일훈 부사장은 “소만사는 창립이래로 23년간 정보보호에 집중투자하고 있다. DLP, DB접근제어, 악성코드 차단 등 개인정보보호 솔루션만 만들어 왔다. 회사 내 모든 곳에 저장된 정보의 중요도를 구분하고 통합 관리할 수 있는 기업은 소만사 하나뿐” 이라며 “이후로도 모바일 EDR, EDR 빅데이터 분석 플랫폼 개발 등 기존제품을 고도화할 수 있는 기술을 개발해 고객들에게 제공하고자 한다.” 고 말했다. ‘Privacy-i EDR’은 기존 엔드포인트 DLP 솔루션을 사용중인 기업, 공공, 금융기관 중심으로 레퍼런스를 확보하고자 한다. 2020년 하반기에는 신규고객 확보에도 힘을 쏟고자 한다.
0
0
189
지헌 이
2019년 11월 28일
In NEWS
MITRE ATT&CK 등장 미국 연방정부의 지원을 받는 비영리 연구개발 단체인 ‘MITRE(마이터)’는 본래 국가안보관련 업무를 수행했다. 국가안보, 항공교통, 국토보안관리시스템 구축 등 인프라와 관련된 부문을 주로 연구했다. 그러나 점점 국가간 사이버공격의 영향력이 커지고 피해가 늘어나면서 자연스럽게 해당 부분에 대한 연구가 시작되었다. 그렇게 발간된 것이 ‘ATT&CK(어택)’이다. ‘ATT&CK’은 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 ‘사이버공격 킬체인 보고서’다. 의학으로 비유를 하면, 인체에 해를 끼치는 증상에 관한 치료법과 투약제품을 모두 정리해둔 자료라고 볼 수 있겠다. MITRE ATT&CK, 예측과 탐지, 대응이 가능해지다 ‘ATT&CK’은 실제 관측에 기반, 분석한 자료를 토대로 프레임워크를 구성했다. 11단계에 걸쳐 11개의 전술을 서술했다. 전술은 다음과 같이 정리되어 있다. 전술(Tactics) 1. 초기 접속(Initial Access): 악성코드를 유포하거나 첨부파일에 악성코드를 심어 공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성행위를 위한 초기 진입방식. 2. 실행(Execution): 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술. 3. 지속(Persistence): 공격 기반을 유지하기 위한 전술. 운영체제에서 사용하는 파일을 공격자가 만든 악의적인 파일로 대체하여 지속적인 악성 행위를 수행하거나 높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당. 4. 권한 상승(Privilege Escalation): 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술. 시스템의 취약점, 구성 오류 등을 활용. 높은 권한을 가진 운영체제로 악의적인 파일을 삽입하는 기법 또는 시스템 서비스 등록 기법 등으로 권한상승. 5. 방어 회피(Defense Evasion): 공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위해 사용하는 전술. 보안 소프트웨어 제거/비활성화, 악성코드의 난독화/암호화, 신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지. 6. 접속 자격 증명(Credential Access): 공격자가 계정 이름이나 암호 등을 훔치기 위한 전술. 정상적인 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고, 목적을 달성하기 위해 더 많은 계정을 만들 수 있음. 7. 탐색(Discovery): 공격자가 시스템과 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술. 공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향을 정할 수 있음. 8. 내부 확산(Lateral Movement): 공격자가 네트워크에서 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술. 공격자는 자신의 원격 접속 도구를 설치하여 내부 확산을 수행하거나, 운영 체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근함. 9. 수집(Collection): 공격자가 목적과 관련된 정보 또는 정보의 출처가 포함된 데이터를 수집하기 위해 사용하는 전술. 데이터를 훔치고 유출하는 것이 목적. 10. 명령 및 제어(Command and Control): 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술. 11. 유출(Exfiltration): 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술. 공격자는 데이터를 탐지되는 것을 피하기 위해 데이터를 압축/암호화 후 전송하거나 데이터의 크기 제한 설정을 통해 여러 번 나누어 전송하는 방식을 사용. 12. 임팩트(Impact): 공격자가 가용성을 낮추고 무결성을 손상시키기 위해 운영 프로세스, 시스템, 데이터를 조작하고 중단시키고 나아가 파괴하는 데 사용하는 전술. MITRE는 각 전술에 사용된 기법들을 일목요연하게 정리했다. 더 나아가 피해를 경감할 수 있는 방법, 해당 악성행위를 사용하는 공격그룹, 프로그램 샘플까지 제공하고 있다. ‘ATT&CK’ 공개 후 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다. 대응체계 구성이 가능해지니 EDR의 완성도가 높아졌다. 수많은 사례와 기술에 대해 학습한 결과, 변종 악성코드와 공격 예측이 가능해진 것이다. 사전에 예견하고 대책을 세울 수 있게 되어 ‘Response’의 기능이 대폭 향상되었다. 만일 최초의 공격으로 이미 악성행위를 받은 상태라면 ‘피해경감 기법’을 참고해 피해를 확산시키지 않고 최소화할 수 있게 되었다. 매일매일 바뀌는 공격기법 속에서 ‘ATT&CK’은 지속적으로 보안기술과 보안위협에 대해 업데이트 하고 있다. 지난 7월에만 해도 485개의 전술기법, 91개의 해킹그룹, 397개의 악성코드에 대해 업데이트 했다. 뿐만 아니라 더 이상 사용하지 않는 전술과 기법에 대해서도 별도로 정리하기 때문에 항상 최신형상 유지와 동시에 ‘죽은 기법의 변종 등장’에 대해서도 꾸준히 대응책을 마련할 수 있게 되었다. 대응에 중점을 둔 EDR, 이제 어떻게 진화할까 탐지(Detection)는 가능하되 대응(Response)에서는 확실한 해법을 내세우지 못하던 ‘EDR’ 이었지만 ‘ATT&CK’의 공개는 흐름을 바꿔 놓았다. EDR 기업들은 해당 프레임워크를 활용하기 시작했고, 그 결과 EDR은 높은 수준의 악성행위 대응전략을 사용자들에게 보장할 수 있게 되었다. 다시 말하면 모두가 일정 수준의 대응방식을 취할 수 있게 되었다 TI(Threat Intelligence: 위협 인텔리전스) 연동의 경우 EDR 기업 모두 정확도를 높이기 위해 타사의 DB를 구매/공유하므로 큰 차이가 없다. 해쉬차단 역시 서로 공유하는 구조이기 때문에 데이터의 품질은 동일하다. 머신러닝, 딥러닝은 현재 모두 같은 출발 선상에 있기에 비교하기에는 무리가 있다. 어떻게 보면 또 다른 경쟁시장이 등장했다. 독보적인 강점을 가진 EDR로 살아남아야 하는 시대가 온 것이다. EDR은 인수합병 중 엔드포인트 보안의 흐름이 EDR로 굳혀진지는 오래됐다. 실제 환경에서 정보 탈취행위, 악성코드 주입, 데이터 파괴/암호화 행위 등 보안위협이 발견되면 빠르게 대응해 정보자산을 보호하고, 확산을 막는 방식이 가장 효과적임을 알게 된 것이다. 보안 기업들은 자신의 강점에 EDR을 결합하는 방식을 취하고 있다. 글로벌 보안기업 중 일부는 EDR 기업의 인수를 진행하고 있다. 포티넷은 ‘엔실로’를 인수했다. 엘라스틱은 ‘엔드게임’을 인수했다. VM웨어는 ‘카본 블랙’을 인수했다. SIEM이나 클라우드 보안 등 자신의 강점을 내세운 EDR이 출시될 것이다. DLP와 EDR 질문을 던져 본다. “왜 회사에서는 악성코드, 랜섬웨어 감염을 막기 위해 노력할까?” 컴퓨터가 느려지니까? 업무에 방해가 되니까? 업무효율을 따지면 맞는 말이긴 하다. 가장 중요한 것은 악성코드/랜섬웨어 감염으로 인하여 내부에 보관된 정보가 탈취되거나 변조되어 발생하는 후폭풍을 사전에 차단하기 위해서 일 것이다. 내부정보의 유출/변조 시 브랜드 이미지 하락, 신뢰도 하락, 고객이탈, 소송, 형사처벌 등 겪어야 할 풍파가 끊임없이 밀려올 테니까 말이다. 앞서 이야기했지만 최초의 공격은 아무도 막을 수 없다. 그저 가능한 효과적으로 신속하게 대응하는 것이 유일한 방법이다. 대응에 우선순위를 두어야 한다. 중요한 정보가 우선 보호되어야 한다는 의미이다. 데이터 중요도에 따라 보호수준을 차별화해야 한다. 주기적으로 중요정보를 식별해서 분류할 필요가 있다. 위협감지시 중요정보부터 우선 보호하도록 구상해야 한다. 사전에 대응전략을 설정해야 사내기술정보(도면, 기밀, 특허), 개인정보 등 중요정보가 랜섬웨어에 감염돼 암호화되거나 해커에 의해 탈취되는 위험이 발생할 경우 신속하게 대응할 수 있다. 해커는 정보를 탈취하거나 데이터 파괴, 변조, 암호화를 수행할 때 네트워크를 통해 잠입한다. 달리 말하면 네트워크만 잘 통제한다면 유출행위는 막을 수 있다. 제로데이 공격으로 인해 정보유출 위기에 놓여있다고 해도 해커가 유출을 시도할 수 있는 모든 네트워크 경로를 통제하고 있다면 최악의 상황은 면할 수 있다. 해킹이 교묘해질수록 보안기술도 고도화된다 초기 악성코드는 자신의 프로그래밍 능력을 과시하기 위한 수단으로 활용됐다. 이후 경쟁사, 경쟁자의 업무를 방해하는 목적으로 사용되었으며, 시간이 흘러 기밀정보, 개인정보 등 ‘정보탈취’ 수단으로 악용되었다. 현재는 기존 데이터를 파괴, 변조, 암호화하여 데이터를 볼모로 잡고 금전적인 이득을 취하고 있다. 악성행위를 차단하고 통제할 때 마다 해커는 더 교묘한 수법으로 권한을 획득해 위협한다. 해킹의 수법은 끝이 없어 하루에도 변조된 기법만 수백 수만개가 생성된다. 일일이 시그니처를 파악해 업데이트 하는 것은 시간이 오래 소요되고 인력소모가 크다. 샌드박스를 이용하는 것은 이미 회피능력이 탑재된 악성코드에게는 무용지물이다. 실제 상황에서 발생한 데이터를 토대로 그들이 더 이상의 전술을 펼치지 못하도록 대응해야 한다. PC에서 발견한 악성행위 정보와 대응방식은 EDR 서버에 전송해 전세계 모든 PC에 악성행위가 전파, 확산되지 않도록 방어하는 것이 현재 개발된 보안기술 중 가장 효과적인 방식이다. 해커가 신박한 방법으로 기술을 개발해 우리를 교란시킬 수록, 우리도 진화한다. 정답은 EDR이다.
0
0
318
지헌 이
2019년 11월 28일
In NEWS
DLP(Data Loss Prevention)와 EDR 결합으로 시너지 창출 정보탈취, 랜섬웨어 등 보안위협 발생시 개인정보와 기밀정보 우선 보호 회사 PC 안에 등산대회 단체사진과 VIP고객정보 파일이 있다고 가정해보자. 정보탈취, 랜섬웨어 등 보안사고 발생시 어떤 파일이 더 치명적인 문제를 야기할까? 개인정보보호 전문기업 소만사(대표 김대환)는 18일 자사 엔드포인트 DLP(내부정보유출방지: Data Loss Prevention) 솔루션 ‘Privacy-i’에 EDR 기능을 탑재한 엔드포인트 위협 및 대응탐지 솔루션 ‘Privacy-i EDR’을 출시했다고 밝혔다. 해커들의 공격은 갈수록 고도화되고 있다. 하루에도 수십만개의 변종 악성코드가 새롭게 생성되고 발견된다. 새로운 해킹 기술이 나타난다. 기존 안티바이러스 솔루션으로는 효과적으로 대처할 수가 없다. 이러한 배경에서 실제로 해킹이 일어나는 엔드포인트 단에서 행위 정보를 실시간 수집, 분석, 차단하는 방법이 새로운 대안으로 제시되고 있다. EDR(Endpoint Detection & Response)이다. 연구개발을 총괄하는 최일훈 소만사 부사장은 “소만사는 창립이래로 23년간 데이터 보호에 집중투자하고 있다. 데이터가 공격받는 양상은 크게 두가지로 나뉜다. 첫번째는 외부공격에 의한 유출이다. 두번째는 데이터의 파괴 또는 암호화이다. 우리가 잘 아는 랜섬웨어를 생각하면 된다“며 “소만사는 DLP를 통해 외부로의 유출통제는 효과적으로 방어해왔다. 다만 랜섬웨어 공격 등을 통해 데이터가 파괴, 암호화되는 문제에서는 적극적으로 대응하지 못했던 것이 사실이다. 유해사이트 차단 솔루션으로 네트워크부터 엔드포인트까지 통제하는데에는 한계가 있었기 때문이다. 이에 소만사는 EDR과 DLP를 결합하여 완벽한 데이터 보호를 고객에게 약속하고자 한다“고 말했다.
0
0
113
지헌 이
2019년 10월 21일
In NEWS
“소만사, 엔드포인트부터 네트워크까지 전 구간 개인정보 유출 위험 클라우드 기반 서비스로 통제, 보안 가능” 소만사(김대환 대표)는 클라우드 기반 네트워크DLP 서비스 ‘Mail-i Cloud(메일아이 클라우드)’를 출시했다고 17일 밝혔다. 해커가 개인정보를 탈취한 후 밖으로 유출시키는 유일한 통로는 인터넷이다. 웹메일, 웹하드, 웹게시판, FTP, Telnet 등 인터넷으로 나가는 경로만 제대로 통제한다면 개인정보가 탈취되었더라도 마지막 단계에서 막아낼 수 있다. 네트워크를 통한 정보유출을 차단하기 위해서는 하드웨어 장비를 사내에 설치해야 한다. 오고 가는 수십기가 바이트 트래픽을 안정적으로 분석해야 하기 때문이다. 해당 방식은 초기투자비, 서버실, 전담관리자 등 고정비용이 수반됐다. 하드웨어 기반이기에 웹서비스 패턴이 변경될 경우 보안담당자 없이는 실시간 대응이 어려웠다. 보안인력이 충분하지 않아도, 물리적 인프라가 구성되어 있지 않아도 실시간으로 보안위협에 대처할 수 있는 네트워크DLP의 필요성이 대두됐다. ‘Mail-i Cloud’에 대해 소만사 측은 “이메일, 웹메일, 웹하드 등 인터넷 프로토콜을 통한 개인정보 유출을 차단하고 패킷분석 방식으로 개인정보 포함여부를 분석하므로 본문, 첨부파일, 압축파일로 유출을 시도해도 검출해낸다. 그리고 로그저장, 검색, 리포팅 기능이 있어 감사자료로도 활용할 수 있다”고 설명했다. 또 ‘Mail-i Cloud’에는 SSL/TLS 가시성 확보를 위한 웹프록시 기술이 적용됐다. 기획단계부터 DLP와 웹프록시를 일체화 할 수 있도록 구상해 성능이 안정적이다. 가시성을 확보한 후 패킷 내 개인정보를 분석하므로 기존 솔루션으로는 불가능했던 사전통제가 가능하다. 이 서비스는 한국전자통신연구원(ETRI)이 개발한 ‘클라우드 기반 맞춤형 보안서비스’의 일환으로 개발됐다. ‘클라우드 기반 맞춤형 보안서비스’는 과학기술정보통신부 정보보호핵심 원천기술 개발사업의 지원을 받아 개발된 오픈 플랫폼이다. 한편 ‘Mail-i Cloud’는 해당 환경에서 빅데이터 분석 플랫폼과의 연동을 통해 1년치 데이터 속에서 원하는 정보를 3분내로 찾아낼 수 있다. https://www.dailysecu.com/news/articleView.html?idxno=74416
0
0
137
지헌 이
2019년 10월 21일
In NEWS
DLP와 EDR 결합 통해 악성행위 차단하고
주요한 정보 우선적으로 보호해야 – 소만사 부사장 최일훈 2018년 EDR 트렌드 작년의 대세 역시 EDR이었다. 다만 2018년에는 Detection(탐지)의 성향이 강한 솔루션이 주를 이루었다. 당시의 EDR 솔루션들은 적극적으로 행위를 제어하는 것 보다는 엔드포인트에서 발생하는 이슈들을 최대한 수집하고 분류한 후 보안관리자가 대응할 수 있도록 도와주는 포렌식 도구의 느낌이 강했다. 즉, 정보는 수집하여 줄 수 있으나 판단과 대응은 보안담당자에게 맡기는 구조였다. ATT&CK, EDR에 대응력을 불어넣다 이런 상황을 보완하고자 하는 움직임이 있었다. 미국의 비영리 단체인 ‘MITRE’에서 ATT&CK 모델을 발표했다. ATT&CK은 사이버공격 관련 킬체인 관리보고서다. 킬체인은 본래 군사용어로 공격형 방위시스템을 일컫는다. 정보보안업계에서 킬체인은 ‘사이버 공격 방위시스템’으로 이해하면 되겠다. ATT&CK은 2015년 발표된 후 조금씩 개선/고도화됐다. 2018년 봄에는 상세한 기법과 함께 정리된 데이터를 오픈소스로 공개했다. 그리고 이 시점부터 EDR 기업들은 ATT&CK을 적극적으로 활용하기 시작했다. ATT&CK은 initial access, execution, discovery, Exfiltration 등 11개의 전술과 각 전술에서 사용되는 기법들을 일목요연하게 정리했다. 각 기업에 관한 설명, 탐지방법, 기법을 사용한 해킹그룹의 사례도 제공하고 있다. 더 나아가 각 엔드포인트 보안제품군이 각 기법들에 대해 어떻게 대응하고 있는지 확인이 가능해 자사제품과의 객관적인 평가가 가능하다. ATT&CK을 토대로 EDR 기업들은 각 공격기법에 대해 적극적으로 대응할 수 있게 되었다. 2018년은 Detection의 비중이 컸다면 2019년은 Response로 조금 더 진화했다. 국내 EDR 역시 ‘대응’에 초점 글로벌 트렌드에 맞추어 국내 EDR 솔루션 역시 대응(Response) 중심으로 변화하고 있다. 탐지엔진의 위치를 엔드포인트로 과감하게 변경하고 있다. 공격이 감지되면 바로 대응(Response) 할 수 있도록 조치하는 것이다. 2019년의 EDR은 ‘Endpoint Detection’에 ‘& Response’가 강화됐다. 정확하고 신속한 위협대응으로 확산을 막는 것이 현실적으로 가능해졌다. EDR이 극복해야 할 과제 때때로 이런 질문을 받는다. “EDR이 탐지했을 때는 이미 최초의 PC 한 대는 감염된 것 아닌가요? 그건 감염사고잖아요.” 맞는 말이다. 전세계에서 최초 한 번은 감염된다. 다만, 그 이후 우리회사뿐만 아니라 EDR이 도입된 전세계 다른 엔드포인트 감염은 막을 수 있다. EDR은 신종/변종 발견시 기존 대응 솔루션보다 신속하고 자동화된 대응능력을 가졌다. 실제 엔드포인트단에서 프로세스행위 기준으로 분석하기 때문에 정확한 패턴분석력을 가지고 있다. 물론 단점도 있다. 파급력이 어마어마한 악성코드, 바이러스를 실시간으로 대응하기 위해서는 작은 정보도 놓치지 않고 수집해야 한다. 그래서 엔드포인트에서 정보를 광범위하게 수집한다. 엔드포인트 부하가 발생할 수밖에 없다. 악성코드, 바이러스는 PC와 서버뿐만 아니라 모바일 환경에도 영향을 끼친다. 그러나 모바일 플랫폼의 EDR은 아직 출시되지 않았다. 아직까지는 모바일 환경에서의 악성코드, 바이러스, 랜섬웨어 차단은 기존의 시그니처 방식을 이용하고 있다. 스마트폰 활용이 보편화돼 자유로운 웹서핑이 가능해진 요즘, 모바일을 위한 EDR의 필요성이 대두되고 있다. DLP(Data Loss Prevention:내부정보유출방지)와 EDR EDR(Endpoint Detection & Response)은 말 그대로 엔드포인트 탐지 및 대응 솔루션이다. 엔드포인트 단에서 무엇인가를 탐지하고 대응하는 행동을 한다. 여러 업체들이 EDR 시장에 들어와 자신의 제품을 선보이고 있지만 우월한 성능을 자랑하고 있는 곳은 극소수이다. 하지만 이들은 EDR에 특화된 기업이다. 그래서 어떤 정보가 더 중요하며 유출되어서는 안되는지 구분하지 못한다. 중요한 정보와 그렇지 않은 정보를 구분해서 보호하지 않는다. 회사 등산대회에서 찍은 단체 사진과 2019년 신규가입 고객정보파일이 있다고 하자. 둘 다 랜섬웨어로 인하여 암호화되었다면 어떤 파일이 더 치명적인 문제를 일으킬 수 있을까? 대응에도 우선순위가 있다. 중요한 정보가 우선 보호되어야 한다. PC 안에 보관된 개인정보파일, DB/서버 내 고객 데이터베이스, 네트워크를 통해 전송시도된 개인정보파일 등을 통합적으로 연계, 관리하는 솔루션이 필요하다. 이를 통해 중요정보 오염에 선제적 대응을 할 줄 알아야 한다. 즉 무엇을 지켜야 하는지 알고 지켜야 한다. 소만사의 EDR 솔루션은 DLP와 연계됐다. 정보의 우위를 알기에 비상상황 발생시 중요정보부터 우선 보호가 가능하며, 유출통제기능으로 정보유출을 차단하기에 우월하다. 개인정보보호 솔루션은 그 동안 두 단계의 변화를 겪었다. 처음에는 개인정보 파일 검출, 삭제, 암호화를 통해 위험요소를 제거했다. 두번째는 매체, 출력물, 네트워크를 통한 유출의 경로를 차단했다. 이제는 DLP와 EDR의 결합을 통해 악성행위를 차단하고 주요한 정보를 우선적으로 보호해야 한다. 엔드포인트에서 탐지하고 엔드포인트에서 대응해야 한다. 더 나아가 엔드포인트를 통해 정보가 흘러나가지 않도록 네트워크와 연동하여 전방위 대응체계를 구상해야 한다. 해킹공격은 매일매일 지능적으로 고도화되고 있다. 보안 허점은 끊임없이 늘어난다. EDR을 통해 방어하고 대응해야 할 때다. https://www.dailysecu.com/news/articleView.html?idxno=73316
0
0
276
지헌 이
2019년 10월 21일
In NEWS
[디지털데일리 홍하나기자] 소만사(대표이사 김대환)는 SAP 접근통제 솔루션 ‘App-i’가 SAP본사에서 부여하는 SAP인증을 재획득했다고 10일 밝혔다. SAP본사가 ‘App-i는 SAP 환경에서 안정적으로 개인정보 접근통제를 수행할 수 있음’을 입증했다는 것이라고 설명했다. SAP은 전세계 190개국 이상에서 삼성을 비롯한 글로벌 대기업들이 사용하는 ERP시스템이다. ‘App-i’는 SAP을 통해 개인정보에 접근한 개인정보조회자 정보를 기록한다. IP, ID, 접속시간 등을 모두 기록하기 때문에 누가 개인정보 유출을 했는지 추적할 수 있다는 것이 회사 측의 설명이다. http://www.ddaily.co.kr/news/article/?no=186730
0
0
104
지헌 이
2019년 10월 01일
In NEWS
- 지난 6월 발견된 암호 화폐 거래소 D사의 스피어피싱과 동일한 형태의 공격 및 악성코드 발견
- 암호 화폐 거래소 사용자 대상 보안 위협 지속 예측 정보보안 전문기업 시큐아이(대표 최환진, www.secui.com,삼성SDS 자회사)는 암호화폐 거래소 이용자를 대상으로 하는 스피어피싱 공격 및
악성코드(해시 값:464939066968AED23F5E568BB8A523A7)를 발견해 주의를 당부한다고 6일 밝혔다. 이 악성코드는 지난 6월 27일 발견된 암호화폐 거래소 D사의 이벤트 당첨 안내 위장 스피어피싱과 동일한 이름으로, 암호화한 한글 문서 파일 형태이다. 악성코드 파일명은 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp'이다. 악성코드는 메일로 온 위 파일명의 첨부 파일 문서를 열 경우에 실행되는만큼
첨부를 열어보지 말고 메일을 바로 삭제 조치해야 안전하다. 첨부 문서를 열 경우 악성 코드가 실행되면서 감염된 시스템의 정보를 탈취하고 서버로부터 추가 악성코드를 다운받아 사용자의 PC를 감염시켜,
프로세스/파일 리스트, 네트워크 정보 등을 수집 한 뒤 메일 계정을 이용해 개인정보를 탈취한다. 조효제 시큐아이 보안분석기술팀 연구원은“발견된 악성코드가 실제 공격에 사용되었는지, 혹은 테스트를 위해 작성한 샘플이 공개되었는지 확인은 어렵지만
유사한 공격이 지속적으로 공개되는 것으로 보아 암호화폐 거래소 사용자 대상의 위협은 계속될 것으로 예상된다”며 사용자들의 각별한 주의를 당부했다.
0
1
104
지헌 이
2019년 10월 01일
In NEWS
- 빅데이터 기술 적용 및 고성능SSD 탑재 통해 기존 제품(시큐아이 TMS) 대비 통계 분석 성능 10배, 로그 수집 능력 4배 이상 대폭 향상
- 보안 관리자 이용 편의성 확대 및 보안장비 정책검증 비용?시간 절감
- 오픈 API(Application Program Interface)를 통한 타사 정책 신청 시스템과의 유기적 연동 서비스 제공 정보보안 전문기업 시큐아이(대표 최환진, www.secui.com, 삼성SDS 자회사)는 통합 보안 관리 시스템‘블루맥스 탐스(BLUEMAX TAMS)’를 출시한다. 블루맥스 탐스는 시큐아이가 생산·판매중인 다양한 보안 장비로부터 로그를 수집해 각종 보안 위협 정보를 분석하고 보안정책 관리기능을 제공하는
통합 보안 관리 시스템이다. 이 시스템은 빅데이터 기술을 적용한 소프트웨어 아키텍처 구현, 고성능 SSD(Solid State Drive) 탑재 등을 통해
이전 제품 대비 통계분석성능 10배, 로그수집능력 4배이상 개선한 게 특징이다. 시큐아이는 이 시스템에 보안 로그와 성능 등의 정보를 쉽게 확인할 수 있는 직관적인 UI를 새로이 적용해 보안 관리자의 이용 편의성을 강화했다. 특히 블루맥스 탐스는 자동화된 정책 관리 프로세스를 사용해 보안 장비의 정책 검증에 소요되는 시간과 비용을 절감시켜준다. 보안 관리자는
다수의 보안 장비를 직접 관리하지 않고도 블루맥스 탐스의 정책 검증 기능을 활용해 보다 빠른 보안 설정 최적화가 가능해 업무 효율을 높일 수 있다.
또한 국내 최초로 오픈API를 반영해 다른 회사의 보안정책 신청 시스템과 유기적인 연동 서비스를 제공한다. 이로써 보안 관리자는
블루맥스 탐스를 통해 정책신청 시스템의 종류에 상관없이 보안환경에 적합한 정책수립이 가능하다. 시큐아이는 올해 1월 출시한 차세대 방화벽 블루맥스(BLUEMAX) NGF를 포함한 자사의 다양한 보안 제품을 블루맥스 탐스와 연동해
고객의 보안 환경에 맞는 최적의 보안 관리 기능을 제공할 계획이다. 최환진 시큐아이 대표는 “다수의 보안 제품을 운영하는 현재의 보안 환경에서 자동화된 보안 관리 시스템은 필수 요소”라며
“시큐아이는 변화하는 보안 환경에 즉각적으로 대응할 수 있는 보안 기술 개발에 지속적인 투자를 할 것”이라고 말했다.
0
0
185
지헌 이
운영자
더보기
bottom of page