Ex)
안티바이러스
패치관리시스템
네트워크 접근 제어(NAC)
내부정보 유출방지(DLP)
문서 보안
가상사설망(VPN)
망 분리 및 연계시스템
랜섬웨어 예방
웹 방화벽(WAF)
무선침입방지시스템(WIPS)
디도스 공격 대응시스템(Anti-DDoS)
엔트포인트탐지(EDR)
차세대방화벽(NGFW)
다크웹 대응 / OSINT
다요소 인증(MFA)
콘텐츠 무해화(CDR)
클라우드 워크로드 보호 플랫폼(CWPP)
개인정보 접속기록 관리
개인정보 비식별화 솔루션
1. 네트워크 접근 제어(NAC)
단말기(사용자 PC)가 네트워크에 접근하기 전 보안 정책을 준수했는지 여부를 검사하여 네트워크 사용을 제어하는 것을 말한다.
[주요기능]
- 안전검사
기업이 정해놓은 정책이 맞는지 검사
- 인증관리
사용자 id 네트워크 접근에 대한 인증을 수행
- 권한관리
사용자 id 기준 물리적인 접근을 제어
- 모니터링
유해 트래픽 탐지 및 차단, 해킹 행위 차단, 완벽한 증거 수집
- 장치 통제
백신 관리, 패치 관리, 자산 관리
[특징]
- 네트워크에 접근하는 사용자 및 단말을 제어
- 네트워크의 안정성을 확보
- 정책에 기반한 네트워크 관리 구현
- 기본적인 개념은 IP 관리 시스템과 거의 같고, IP 관리 시스템에 네트워크에 대한 통제를 강화
- NAC의 접근 제어 및 인증 기능은 일반적으로 MAC 주소를 기반으로 수행
- 접속에 성공한 사용자에 대한 MAC 주소와 IP 주소의 매칭뿐만 아니라 사용자 이름이나 소속등을
기록하고 있어 공격 대상 시스템의 로그를 통해 공격자를 쉽게 찾아 낼 수 있음
[인증절차]
- 네트워크 접근요청 : 접속하고자 하는 PC 사용자는 최초 네트워크에 대한 접근 시도
- 사용자 및 PC 인증 : MAC 주소를 통해 사용자 PC를 인증하거나 SSO와 연계, 백신 및 패치의 적절성 여부 검토
- 네트워크 접근 허용 : 인증이 완료되었으면 네트워크 접근 허용
- 네트워크 접근 거부 : 보안 정책을 준수하지 않았거나 보안에 이상이 있을 경우, 접근 거부 및 격리 됨. 거부 된 PC는 필요한 정책을 준수하고, 보안의 이상을 조치하였을 경우, 다시 점검하여 허용 여부를 재결정
출처 : https://velog.io/@ring-h/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%A0%91%EA%B7%BC-%EC%A0%9C%EC%96%B4NAC%EB%A5%BC-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90
2. 내부정보 유출방지(DLP)
내부 유출을 막는 정보보안 솔루션
기업이 세운 보안 가이드라인이 철저하게 지켜지도록 하는 시스템으로 개인의 실수가 많이 발생하는 지점에 안전 장치를 걸어 두는 개념
[주요기능]
데이터 보관, 사용, 전송 과정을 모두 기록으로 남겨 이를 모니터링하면서 정보 유출을 감시하고, 중요한 정보가 전달돼선 안 될 곳으로 간다면 이를 차단한다. DLP는 CCTV와 유사한 개념으로 모든 정보를 증거로 남겨 놔서 문제가 발생하면 이를 활용할 수 있도록 한다.
유출되는 파일의 콘텐츠를 분석한 뒤, 정보의 중요도에 따라 필터링, 감사, 추적, 유출 차단 등을 실행한다. 이메일뿐 아니라 프린터로 출력되는 내용까지 모든 경로에 거쳐 데이터 중요성을 평가하고, 정책 프로세스에 따라 통제를 한다. 유출 화면을 동영상 증거로 남기거나, 등록된 USB만 사용을 허가하거나, 인쇄물에 워터마크를 찍는 것 등의 확장도 가능하다.
[특징]
- DLP는 정책 설정을 어떻게 하느냐에 따라 달라지기 때문에 업무에 미치는 영향을 최소화하면서 보안을 튼튼하게 하는 것이 필요하다.
- 보안 업계는 DLP를 크게 네트워크, 엔드포인트, 스토리지로 분류하는데 각각의 영역에 특화된 DLP 솔루션이 있다.
출처 : https://enterprise.kt.com/bt/dxstory/1822.do
3. 망 분리 및 연계시스템
망 분리 : 외부의 침입을 막고 내부 정보의 유출을 막는 것을 목적으로 내부 업무 전산망/외부 인터넷망을 논리적/물리적으로 분리하는 보안 강화 기법
| 분류 | 내용 | 특징 |
| 물리적 망 분리 | 2대의 PC나 망 전환 장치를 이용, 업무용/인터넷용 PC를 구분하여 사용 | - 보안성 및 응답 속도가 높음 - 소프트웨어 및 네트워크 구성 비용이 2배 소요 - 금융권(보안성 중시)에서 많이 사용 |
| 논리적 망 분리 | 가상화 머신을 탑재한 서버 (SBC - Server Based Computing) 및 PC (CBC - Client Based Computing)을 두고 업무 처리 시 가상화 하여 이용 | - 효율적 가격으로 망분리 가능 - 유연한 구성 및 제거 가능 - 보안 측면에서 상위 PC(컨테이너) 감염 시, 하위까지 침해 당할 수 있음 - IT회사(효율성 중시)에서 많이 사용 |
망 연계 : 망 분리 환경에서 분리된 망과 망 사이, 연계 환경을 구축하는 네트워크 기술로 분리된 망에서 데이터 전달 등이 가능하게 해주는 기법
| 방식 | 내용 |
| 스토리지 방식 | 중간에 저장 가능한 SAN (Storage Area Network) 같은 스토리지를 둠 |
| 소켓 방식 | 방화벽 등을 이용해 이더넷으로 연결 |
| 시리얼 인터페이스 방식 | 별도의 IEEE 1394 카드 케이블을 이용 |
출처 : https://isc9511.tistory.com/91
“국가용 정보보호제품 보안 요구사항”에 따라 망연계 제품은 분리된 망의 사용자 PC간 저장 자료(파일 등)의 전송을 위한 “자료전송제품”과 서로 다른 네트워크에 존재하는 서버 간 서비스 전송(외부 웹서버와 내부 DB서버간 서비스 연계 등)을 위한 “스트리밍 연계제품”이다.
4. 웹 방화벽(WAF)
[특징]
- 강력한 탐지/차단
고객이 등록한 웹페이지의 HTTP, HTTPS 트래픽을 모니터링하여, 해커의 공격 시도를 실시간으로 탐지한다. 웹 방화벽 이벤트 분석을 통해 Injection, Cross-Site Scripting (XSS), Web Scan 등 공격을 분류하고, 민감정보 유출, 행위 기반 부정 접근, 웹 위변조 등 웹 보안에 필요한 다양한 방어 기능을 제공하여 신종 웹 공격 유형에 즉각적으로 대처한다.
- 안정적인 웹 서비스 운영
웹 방화벽 시그니처 패턴 및 펌웨어 업데이트를 수행하며, 웹 방화벽 장애 관리를 제공한다. OWASP (Open Web Application Security Project) 상위 10대 공격, 국정원 8대 취약점 공격, Zero-Day 공격 등 신종 웹 위협과 Bad Bot 등 해커의 공격 시도를 탐지하여 효율적이고 안정적인 웹 서비스를 운영할 수 있도록 지원한다.
- 편리한 보안 관리
다양한 공격 이벤트를 실시간으로 모니터링하고 고객 담당자에게 통보함으로써 보안 위협에 대한 선제적 대응을 가능하게 한다. 또한 월별 보고서를 제공하여 IP/포트, 날짜/시간 및 기타 공격 상태 정보를 포함한 감지된 이벤트에 대한 상세 내역을 편리하게 확인할 수 있다.
[주요기능]
- 침입 탐지/분석 및 모니터링 정보 제공
- 침입 대응
- 웹 방화벽 운영
출처 : https://www.samsungsds.com/kr/security-waf/waf.html
5. 무선침입방지시스템(WIPS)
6. 엔트포인트탐지(EDR)
데스크탑 및 노트북 컴퓨터, 서버, 모바일 디바이스, IoT(Internet of Things) 디바이스 등 네트워크의 모든 엔드포인트에서 지속적으로 데이터를 수집한다. 그리고 이 데이터를 실시간으로 분석하여 알려졌거나 의심스러운 사이버 위협의 증거를 찾고 자동으로 대응하여 식별된 위협으로 인한 피해를 방지하거나 최소화하기 위해 자동으로 보호하도록 설계된 소프트웨어이다.
[주요기능]
- 지속적인 엔드포인트 데이터 수집
네트워크의 모든 엔드포인트 디바이스에서 프로세스, 성능, 구성 변경, 네트워크 연결, 파일 및 데이터 다운로드 또는 전송, 최종 사용자 또는 장치 동작에 대한 데이터를 지속적으로 수집한다.
- 실시간 분석 및 위협 탐지
고급 분석 및 머신 러닝 알고리즘을 사용하여 알려진 위협이나 의심스러운 활동을 나타내는 패턴이 발생할 때마다 실시간으로 식별한다.
많은 기업이 엔드포인트뿐만 아니라 애플리케이션, 데이터베이스, 웹 브라우저, 네트워크 하드웨어 등 IT 인프라의 모든 계층에서 보안 관련 정보를 수집하는 보안 정보 및 이벤트 관리(SIEM) 솔루션과 EDR을 통합한다. SIEM 데이터는 위협의 식별, 우선 순위 지정, 조사 및 해결을 위해 컨텍스트를 추가하여 EDR 분석을 강화할 수 있다.
EDR은 솔루션의 사용자 인터페이스(UI) 역할도 하는 중앙 관리 콘솔에서 중요한 데이터와 분석 결과를 요약한다. 보안 팀 직원은 콘솔을 통해 모든 엔드포인트 및 엔드포인트 보안 문제를 완벽하게 파악한 후 모든 엔드포인트와 관련된 조사, 위협 대응 및 문제 해결을 시작한다.
- 위협 대응 자동화
- 위협 격리 및 해결
위협이 격리되면 EDR은 보안 분석가가 위협을 추가 조사하는 데 사용할 수 있는 기능을 제공한다. 정보를 기반으로 분석가는 문제 해결 도구를 사용하여 위협을 제거할 수 있다.
- 위협 추적 지원
보안 분석가가 네트워크에서 아직 알려지지 않은 위협 또는 조직의 사이버 보안 자동화 도구에서 아직 탐지하거나 해결하지 못한 위협을 검색하는 사전 예방적 보안 활동이다. 몇 달 동안 시스템 정보와 사용자 자격 증명을 수집하여 대규모 침해를 준비한다. 효과적이고 시기 적절한 위협 추적은 위협을 탐지하고 해결하는 데 걸리는 시간을 줄이고 공격으로 인한 피해를 제한하거나 예방할 수 있다.
위협을 찾아낼 때는 다양한 전술과 기법을 사용하는데, 대부분은 EDR이 위협 탐지, 대응 및 문제 해결에 사용하는 것과 동일한 데이터 소스, 분석 및 자동화 기능을 사용한다. 예를 들어 위협 추적 분석가는 포렌식 분석을 기반으로 하는 특정 파일, 구성 변경 또는 기타 아티팩트, 또는 특정 공격자의 공격 방법을 설명하는 MITRE ATT&CK 데이터를 검색할 수 있다.
출처 : https://www.ibm.com/kr-ko/topics/edr
7. 차세대방화벽(NGFW)
기존 방화벽의 단점을 개선하고 새로운 기능을 탑재해 고도화된 보안 위협에 대응하는 필수 네트워크 보안 솔루션이다.
공격 표면 증가와 공격자의 기술 정교화로 위협 식별과 차단에 초점을 맞추고 있다. 핵심 적용기술은 ‘제로트러스트 네트워크 접근(ZTNA, Zero Trust Network Access) 기술’과 ‘소프트웨어 정의 WAN(SD-WAN)’ 기술이다.
[특징]
제로트러스트 네트워크 접근 기술
ZTNA 구현을 기반으로 침입 탐지, URL 필터링, DNS 보안, CASB, DLP, Sandbox, 클라우드 기반 보안 서비스 등으로 확대해 다차원 방어가 가능하다.
소프트웨어 정의 WAN 기술
광역 네트워크와 보안을 모두 커버할 수 있는 유연한 확장성이 특징이다.
AI·ML 기반으로 어플라이언스의 장애를 예측하고, 서비스 연속성과 관리 편리성을 위해 AIOps 기능을 지원하고 있다. 또한, AI·ML 기능을 활용한 위협 탐지, 발생한 보안 위협에 대한 빠른 연계 및 정책 관리로 보안을 강화하고, 보안 설정의 복잡성을 낮추고 있다. 뿐만 아니라 사용자의 디바이스 인지 기술을 적용해 ‘사용자 + 디바이스’ 기반으로 세밀한 보안정책 수립이 가능하고, 양자암호에 기반을 둔 VPN 기술을 적용해 보안성을 강화하고 있다.
이메일 내의 악성 첨부파일, 악성코드가 첨부된 URL을 필터링하고, 감지가 가능하다.
출처 : https://m.boannews.com/html/detail.html?idx=121352
8. 콘텐츠 무해화(CDR)
문서 파일 내 실행 가능한 액티브 콘텐츠(Macro, JavaScript 등)를 원천 제거하는 콘텐츠 악성코드 무해화 솔루션이다.
[주요기능]
비정상포맷 탐지 : 시그니처를 통하여 파일 구조의 이상 여부(정상/비정상)탐지
매크로·스크립트 임베디드 객체 무해화 : 파일 내 실행 가능한 액티브 콘텐츠(Macro, Javascript)및 객체(버튼, 동영상, OLE객체)의 실행 원천 차단
파일구조 변경(파일 재조합) : 액티브 콘텐츠 및 객체 제거 후 안전한 파일로 재조합하여 제공
출처 : https://sanitox.jiransecurity.com/ko/scan/
9. 클라우드 워크로드 보호 플랫폼(CWPP)
클라우드 환경에 배포된 모든 워크로드를 검색하고, 자동으로 평가를 수행하고, 네트워크를 모니터링하고, 문제를 검색하고, 조직의 정책에 따라 보안 표준을 적용한다.
클라우드 워크로드를 모니터링하고 관리하여 지속적인 보안을 제공하고 위의 인프라 내에서 위협, 취약성 및 오류를 지속적으로 자동으로 검색하고 해결하여 클라우드 환경과 상호 작용하는 워크로드를 지원한다.
* 워크로드는 컴퓨터 전원 및 메모리가 필요한 조직 내에서 실행되는 애플리케이션 및 프로그램
[주요기능]
- 취약성 관리
- 네트워크 세분화 : 네트워크를 분할하여 여러 환경의 보안을 관리하는 문제를 완화하는 데 도움이 된다. 따라서 공격자가 하나의 진입점을 통해 전체 네트워크에 액세스하기가 더 어려워지며 팀이 위협이 더 빠르게 나타나는 위치를 파악할 수 있다.
- 허용 목록 : 권한 없는 소프트웨어의 설치 및 사용을 막기 위해 클라우드 인프라 내에서 애플리케이션을 허용하고 차단하도록 자동으로 적용되는 목록을 사용하여 이러한 위험을 줄일 수 있다.
- 침입 방지 : 의심스러운 활동 또는 악성 소프트웨어에 대한 네트워크를 지속적으로 모니터링하고 비정상적이거나 정책 위반이 감지되는 즉시 CWPP는 문제를 방지하기 위해 작동된다
- 엔드포인트 검색 및 응답
- 멀웨어 방지 검사 : 워크로드에서 맬웨어를 검색하고 인프라에 진입하기 전에 문제를 제거한다.
출처 : https://www.microsoft.com/ko-kr/security/business/security-101/what-is-cwpp
10. 개인정보 접속기록 관리
개인정보취급자 등이 개인정보처리시스템에 접속해 수행한 업무 내역에 대한 개인정보취급자의 계정, 접속 일시, 접속지 정보, 처리한 정보주체, 수행 업무 등을 전자적으로 기록한 것이다.
[주요기능]
- 자동화된 개인정보 접속기록의 생성 및 수집을 제공
육하원칙 형태로 표준화된 개인정보 접속기록을 수집하고, 개인정보 처리시스템의 소스 코드 수정 없이 접속기록을 생성, 수집할 수 있다. N/W 프록시, WEB/WAS(Web Application Server, 웹 서버가 요청을 받으면 애플리케이션에 대한 로직을 실행해 웹 서버로 다시 반환해주는 소프트웨어) 설치 모듈, DB 프록시 등을 연계해 접속기록에 대해 자동화된 수집과 분석 기능을 제공한다.
- 법에서 요구하는 보안처리 규제에 따라 개인정보 접속기록을 안전하게 보관
다양한 솔루션에서 제공하는 방식으로 접속기록 원본에 대한 위·변조 방지하는 Hash(다양한 길이를 가진 데이터를 고정된 길이를 가진 데이터로 매핑(mapping)한 값) 정보를 생성한다. 국정원에서 인증하는 방식으로 접속기록을 암호화해 위·변조, 도난, 분실되지 않도록 보관 관리 방안을 제공한다. 최근에는 저렴한 스토리지를 사용해 클라우드 환경에서 대인정보 접속기록을 안전하게 보관하는 것도 가능하다.
- 이상 행위, 오남용 탐지
개인정보의 생성, 수정, 삭제, 조회, 다운로드 등 이용행위에 따른 처리 단계별 현황과 개인정보를 취급하는 업무 담당자별, 부서별 개인정보 접속기록을 관리할 수 있다. 또한 개인정보 오남용 등 이상 행위에 대한 소명 기능을 제공해 법/규정 준수와 개인정보 유출 사고 모니터링, 예방, 사후 관리가 가능하다.
- 개인정보 접속기록에 대한 통계, 분석 보고서 지원
접속기록의 처리 현황과 분석, 통계를 바탕으로 다양한 개인정보 접속기록 보고서, 이상행위 분석, 다운로드 이력관리 등 개인정보 접속 현황과 행위를 분석할 수 있도록 보고서를 제공한다. 특히 기업과 공공기관의 개인정보보호 담당자에게 다양한 통계 분석 보고서 기능을 제공함으로써 개인정보 담당자의 업무 효율성을 높일 수 있도록 지원한다.
출처 : https://www.lgcns.com/blog/cns-tech/security/52205/
11. 개인정보 비식별화 솔루션
개인정보의 안전한 활용과 효율적인 사용을 위해서 가명/익명처리, 개인정보 분산저장, 개인정보 재식별 차단 등의 기술이 필수적이다. 이러한 기능들을 지원하고 조직의 개인정보 담당자가 안전하고 효율적으로 개인정보를 사용할 수 있도록 도와준다.
*가명처리 : 비식별화라고도 하며 누군가의 정체성이 공개되지 않도록 처리하는 과정
출처 : https://csrc.kaist.ac.kr/blog/2023/06/16/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4-%EA%B0%80%EB%AA%85-%EC%B2%98%EB%A6%AC%EB%B9%84%EC%8B%9D%EB%B3%84-%EC%86%94%EB%A3%A8%EC%85%98-%EA%B8%B0%EB%8A%A5-%EB%B0%8F-%EC%84%B1%EB%8A%A5-%EB%B6%84%EC%84%9D/