보안 솔루션 종류 및 특징

 

네트워크 보안

[웹방화벽, 네트워크 방화벽, IDS/IPS, 디도스차단시스템, APT 대응시스템, 네트워크포렌식시스템, 무선침입방지시스템, 네트워크접근제어, 통합보안시스템, 가상사설망]

 

시스템 보안

[바이러스 백신, 엔드포인트 탐지 및 대응 솔루션, 시스템접근통제, 스팸차단솔루션, 보안운영체제]

컨텐츠/정보유출방지 보안

[DB보안, 보안 USB, 디지털저작권관리, 네트워크/단말 정보유출 방지DLP]

보안관리(관제)

[전사적 보안관리 시스템, 보안정보 및 이벤트 관리 시스템, 보안 오케스트레이션/자동화 및 대응 시스템, 위협관리시스템, 패치관리시스템, 자산관리시스템, 백업/복구 관리 시스템, 취약점분석시스템, 디지털포렌식시스템]

인증 및 암호

[보안 스마트카드, 하드웨어 보안모듈, 일회용비밀번호, 공개키 기반구조, 싱글사인온통합접근관리, 통합계ㅓ정 관리]

 

(2) 네트워크 보안 솔루션

무선침입방지시스템(WIPS : Wireless Intrusion Prevention System)

 : 인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선공유기를 탐지하는 솔루션

(유선 방화벽과 유사하게 외부 공격으로부터 내부 시스템을 보호하기 위해 무선랜 환경에서의 보안 위협을 탐지하고 대응하는 시스템을 말한다.)

네트워크접근제어(NAC: Network Access Control) - PacketFence, FreeNAC

 : 과거 IP 관리 시스템에서 네트워크에 대한 통제 기능을 더욱 강화한 보안 솔루션

단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션으로 네트워크 제어 및 통제 기능을 통해서 내부 네트워크가 바이러스나 웜 등의 보안 위협으로부터 안전한 단말기들로 이뤄질 수 있도록 강제하는 역할을 수행한다.

통합보안시스템(UTM : Unified Threat Management)

 : 방화벽, IDS/IPS, VPN, 안티 바이러스, 웹/이메일 필터링 등 다양한 보안 기능을 하나의 장비로 통합하여 제공하는 보안솔루션이다.

(3) 시스템 보안 솔루션

엔드포인트 탐지 및 대응 솔루션(EDR : Endpoint Detection and Response)

구분	안티 바이러스 솔루션	APT 대응 솔루션	EDR 솔루션
악성 행위 판단 기준	패턴 매칭 방식	행위 기반 탐지	행위 기반 탐지
악성코드 행위 정보 수집 위치	-	샌드박스 환경에서 실행 및 정보 수집(가상환경)	엔드포인트에서 정보 수집(실제환경)
제로데이 악성코드 공격 대응 속도	느림	빠름	가장 빠름

엔드포인트에서 발생하는 악성행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해확산을 막는 솔루션을 말한다.

엔드포인트는 모든 행위를 지속적으로 모니터링하고 이를 기반으로 탐지함

스팸차단 솔루션(Anti-Spam Solution)

보안운영체제(Secure OS)

 : 운영체제에 내재된 결함으로 인해 발생할 수 있는 각종 해킹으로부터 보호하기 위해 보안 기능이 통합된 보안 커널을 추가로 인식한 운영체제를 말한다.

(4) 컨텐츠/정보유출방지 보안 솔루션

보안 USB

 : 정보유출방지 등의 보안 기능을 갖춘 USB 메모리를 말한다.

필수적으로 사용자 식별/인증, 지정 데이터 암호화/복호화, 저장된 자료의 임의복제 방지, 분실 시 데이터 보호를 위한 삭제 등의 기능을 갖춰야 한다.

디지털저작권관리(DRM)

 : 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하고 이를 의도한 용도로만 사용하도록 제어하는데 사용되는 모든 기술을 말한다.

네트워크/단말 정보유출 방지(DLP: Data Loss Prevention)

 : 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션을 말한다.

(5) 보안관리 솔루션

보안관제

 : 보호해야할 정보 자산에 대해 내/외부의 위협으로부터 보호하는 역할을 수행한다.

정보수집 > 모니터링 및 분석 > 대응 > 보고

전사적 보안관리 시스템(ESM : Enterprise Security Management)

 : 다양한 보안장비에서 발생하는 보안 정보(로그, 이벤트 등)를 통합적으로 수집 및 관리하여 불법적인 행위에 대응할 수 있도록 하는 통합 보안 관리 시스템

[전사적 차원의 일관된 정책을 가지고 통합적으로 관제 및 운영관리 업무를 수행하는 체계,

User Administration과 Management 취약점 분석이나 위험평가 등의 Risk Management,

각 정보보호 시스템으로부터 추출되는 이벤트로부터 의미 있는 데이터, 정보보호 활동 또는 관리행위가 필요한 지를 판단해 주는 시스템,

보안과 관련된 정책을 펼칠 수 있도록 이에 대한 제어까지 포함한 시스템]

{전산환경의 장애를 원격으로 처리할 수 있는 시스템으로 전산환경의 성능이나 보안의 취약성을 종합 관리하여 시스템의 안전성을 높여주는 시스템이다. 시스템 구축을 통해 장애 발생 시 중앙에서 통제하여 조치를 취할 수 있는 체제이다. 기존의 수작업으로 처리하던 CPU, 메모리 등에 의해 시스템 운영상황이 자동으로 내용이 파악되기 때문에, 미리 발생 가능성을 파악하여 조치를 취할 수 있다.}

 - 구성요소

ESM 에이전트 : 관리 대상 보안장비에 설치되어 사전에 정의된 규칙에 따른 로그 및 이벤트 데이터를 수집하여 ESM 매니저로 

ESM 매니저 또는 엔진 : agent를 통해 수집된 데이터를 저장, 분석하여 그 결과를 ESM 콘솔로 전달하는 기능을 수행한다.

ESM 콘솔 : Manager에 의해 전달된 정보의 시각적 전달, 상황 판단 및 리포팅 등의 기능을 제공하며 ESM Manager와 Agent에 대한 제어/통제를 수행

보안정보 및 이벤트 관리 시스템(SIEM:Security Information & Event Management)

 : ESM의 진화된 형태로 보안장비 뿐만 아니라 각종 서버 장비, 네트워크 장비, 어플리케이션 등 다양한 범위에서 발생하는 로그와 이벤트를 수집하여 빅데이터 기반의 상관관계 분석을 통해 위협을 사전에 차단하는 통합 보안 관제 솔루션.

 - 주요 기능

데이터 통합 : 다양한 보안장비 및 어플리케이션 등에서 발생하는 데이터를 수집하여 통합 분석한다.

• 로그 수집 : 관제 대상 시스템에 설치된 에이전트를 이용해 로그를 수집
• 로그 변환 : 다양한 로그 표현 방식을 표준 포맷으로 변환하는 과정

상관관계 분석 : 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관관계 분석 기능을 제공한다.

• 로그 분류
• 로그 분석

알림 : 이벤트를 관리자에게 자동으로 알릴 수 있다.

대시보드 : 이벤트 데이터를 가지고 패턴을 표시하여 정보를 제공하거나 표준 패턴을 형성하지 않는 활동을 파악할 수 있다.

보안 오케스트레이션, 자동화 및 대응 시스템(SOAR: Security Orchestration, Automation and Response)

 : 보안 위협에 대한 자동화된 분석과 대응 환경을 만들어 보안 인력을 효율적으로 운영하면서 분석의 정확도를 높이고 대응 시간을 단축시키기 위한 솔루션.

SOA() + SIRP(Security Incident Response Platforms) + TIP(Threat Intelligence Platforms)

SIRP : 보안 사고 대응 플랫폼

 - 다양한 보안 이벤트 유형별로 업무 특성에 맞는 업무 프로세스를 정의하는 기능으로 보안운영센터의 단순하고 반복적인 업무를 자동화함으로써 업무 처리 시간을 단축시킬 수 있다.

SOA : 보안 오케스트레이션 및 자동화

 - 다양한 IT, 보안 시스템을 통합하고 자동화하는 기능으로 SIRP에서 정의한 업무 프로세스의 실행을 지원한다.

TIP : 위협 인텔리전스 플랫폼

보안 위협을 판단하기 위해 다양한 내/외부 위협 인텔리전스를 활용하는 기능으로 보안 분석가의 판단을 보조하는 역할을 한다.

패치관리 시스템(PMS:Patch Management System)

 : 기업 네트워크에 접속하는 사용자 PC의 운영체제와 각종 어플리케이션에 대한 패치를 기업 보안 정책에 따라 자동으로 설치, 업그레이드함으로써 웜이나 바이러스 공격 등으로부터 기업의 IT 환경을 효과적으로 보호해 주는 솔루션

 

(6)인증 및 암호 솔루션

하드웨어 보안모듈(HSM: Hardware Security Module)

: 암호화된 데이터를 보호하는 암호화키/디지털 키에 대한 안전한 저장/관리 및 고속의 암호화 처리를 수행할 수 있는 전용의 하드웨어 장비를 말한다.

싱글사인온(SSO:Single Sign On)

 : 한번의 사용자 인증으로 여러 시스템에 접근할 수 있는 통합 인증 솔루션으로 단일 인증을 통해 여러 시스템에 접근함

통합접근관리(EAM: Extranet Access Management)

 : 모든 사용자에 대한 통합 인증와 사용자별/그룹별 접근제한 통제를 담당하는 권한관리 솔루션을 말한다.

통합계정관리(IAM:Identity and Access Management)

 : IAM은 통합계정관리, 통합인증관리, 계정관리 솔루션 등으로 불린다.

EAM을 보다 포괄적으로 확장한 보안 솔루션으로 조직이 필요로 하는 보안 정책을 수립하고 자동으로 사용자에게 계정을 만들어 주며, 사용자는 자신의 위치와 직무에 따라 적절한 계정 및 권한을 부여받을 수 있을 뿐만 아니라 사용자 정보의 변경과 삭제도 실시간으로 반영할 수 있다.

 

4. 네트워크 보안장비 운영

(1) 물리적 네트워크 보안 장비 구성

디도스 차단 시스템(Anti-DDoS System)

일반적으로 디도스 공격(특히 Flooding 계열 공격)으로부터 다른 장비들을 보호하기 위해 네트워크 구성상 가장 상단에 위치하는 보안 장비

네트워크 방화벽(Firewall)

 : 네트워크 계층의 IP 주소와 전송 계층의 Port 주소를 기반으로 방화벽 룰셋(필터링 정책)에 따라 패킷 필터링을 수행하는 보안장비를 말한다.

SSL 오프로드 장비

 : SSL 서버를 대신해서 SSL 트래픽에 대한 모든 암/복호화 처리를 수행하는 기능을 말한다. 

 장점 = 복호화된 트래픽을 이용하여 다양한 네트워크 보안장비의 탐지 활동에 활동할 수 있다.

SSL-VA(Visibility Appliance) : SSL 가시화 장비

 : SSL 트래픽에 대한 암/복호화 처리에 특화된 전용의 어플라이언스 장비를 말한다.

어플라이언스 : 범용 목적의 불필요한 기능을 제거하고 특정 목적에 최상의 성능을 내기 위해 최적화된 장비

 

수리카타

 : OISF(Open Information Security Foundation)단체에서 오픈 소스 프로젝트로 개발한 IDS/IPS로 대용량 트래픽을 실시간으로 처리할 수 있도록 멀티 코어/멀티스레드를 지원

APT 대응 시스템

 : 네트워크 트래픽을 통해 유입되는 실행파일, 문서파일 등을 추출, 평판 조회 및 가상머신 기반의 샌드박스 환경에서 해당 파일을 직접 실행하여 악성 여부를 판단하는 보안장비를 말한다.

네트워크 포렌식 장비

 

웹방화벽(WAF: Web Application Firewall) - KISA의 캐슬, ATRONIX의 WebKnight, Trustwave의 ModSecurity

 : 일반적인 네트워크 방화벽과 달리 웹 어플리케이션 공격에 대응하기 위해 웹 트래픽의 웹 컨텐츠를 분석하고 탐지 및 차단할 수 있는 기능을 가지고 있는 보안장비.

 

(2) 물리적 네트워크 구간 : 접근 통제 관점의 구간 구분

1) 인터넷 구간

 : 인터넷을 통해 외부에서 직접 접근이 가능한 구간

2) DMZ(Demilitarized zone) 구간

 : 인터넷 구간과 내부망 사이에 위치한 중간지점으로 접근통제 시스템을 통해 접근통제를 수행하면서 인터넷으로부터의 접근과 내부망으로의 접근을 허용하는 구간

3) 내부망

(3) 네트워크 보안 장비 설치 모드

1) 인라인(inline) 모드

 : 물리적 네트워크 경로 상에 설치되어 연결된 네트워크를 통과하는 모든 트래픽이 거쳐 가도록 하는 모드

2) 미러링 모드

 : 미러링 장비를 통해 복제된 패킷을 받아서 탐지하는 모드(Out-of-path)

SEC13)시스템 점검 도구

1. 취약점 점검 도구(nessus/nikto)

네서스 : 미국 테너블이 개발 배포하는 취약점 점검 도구 8834 port

닉토 : 공개용 웹 취약점 점검 도구로 웹 해킹에 대응하기 위해 웹 서버나 웹 기반의 응용 프로그램 취약점을 점검할 수 이쓴 대표적인 프로그램이다.

닉토는 웹 서버 설치 시 기본적으로 설치되는 파일과 웹 서버의 종류와 버전 등을 스캔하며 특히 방대한 db를이용해 cgi 파일을 스캔하는 기능이 뛰어나다. html, txt, csv..

2. 무결점 점검 도구(tripwire)

 

3. 루트킷 점검 도구(chkrootkit)

 

3) 루트킷의 hidden process 탐지 원리

/proc 파일 시스템

 : 유닉스/리눅스 커널이 메모리상에 사용하고 있는 모든 자원들에 대한 정보들을 파일형식으로 보관하는 파일 시스템이다.

커널이 관리하는 프로세스 등의 자원, 커널  파라미터 등에 대한 상태 정보를 파일명으로 보관하고 있으며 메모리 영역에 존재하는 파일 시스템으로 매 부팅시마다 새롭게 생성된다.