검수요청.png검수요청.png

"기술적 보안"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
잔글 (전망)
1번째 줄: 1번째 줄:
'''기술적 보안'''(being technical security)이란 정보자산에 대한 [[보안]]을 뜻하며 [[물리적 보안]]을 수행할 수 있도록 하는 모든 기반 기술에 대한 탐지 기술, 예방 기술, 조치 기술 등의 보안 기술을 일컫는 말이다. 기술적 보안 대책은 실제 정보 시스템에 적용된 기술에 특화하여 기술적으로 정보 대책을 마련할 수 있는 정보보호 대책을 의미하는 것이다. 기술적 보안은 다른 여러 보안 중에 하나이며, [[관리적 보안]]과 [[물리적 보안]]과 함께 [[정보보안]]의 [[프레임워크]]를 구성한다.<ref name="기술적 보안"> 〈[http://jidum.com/jidums/view.do?jidumId=589 관리적보안, 물리적보안, 기술적보안]〉, 《지덤》</ref>
+
'''기술적 보안'''(being technical security)이란 정보자산에 대한 [[보안]]을 뜻하며 [[물리적 보안]]을 수행할 수 있도록 하는 모든 기반 기술에 대한 탐지 기술, 예방 기술, 조치 기술 등의 보안 기술을 일컫는 말이다.<ref name="기술적 보안"> 〈[http://jidum.com/jidums/view.do?jidumId=589 관리적보안, 물리적보안, 기술적보안]〉, 《지덤》</ref>
  
==요소==
+
== 개요 ==
다음은 기술적 보안요소들에 대한 설명이다.
+
기술적 보안은 정보자산에 대한 보안으로, 기술적 보안 대책은 실제 정보 시스템에 적용된 기술에 특화하여 기술적으로 마련할 수 있는 정보 보호 대책을 의미한다. 그리고 물리적 보안을 수행할 수 있도록 하는 모든 기반 기술을 의미하기도 한다. 이에 속하는 것으로 지문인식시스템, 카드출입시스템, 데이터 암호화 기술 등이 있다. 또한 정보화 역기능인 [[해킹]], [[스팸메일]], [[피싱]](Phishing), [[파밍]](Pharming) 등에 대한 탐지 기술, 예방 기술, 조치 기술 등의 보안 기술을 의미한다. 기술적 보안 대책은 실제 정보 시스템에 적용된 기술에 특화하여 기술적으로 정보 대책을 마련할 수 있는 정보보호 대책을 의미하는 것이다. 기술적 보안은 다른 여러 보안 중에 하나이며, [[관리적 보안]]과 [[물리적 보안]]과 함께 [[정보보안]]의 [[프레임워크]]를 구성한다. 기술적 보안을 구축할 때 고려해야 할 사항은 정보처리시스템에 대한 보호 체제 확립과 정보보호 시설에 대한 물리적 통제 확립 등이 있다.<ref name="기술적 보안"></ref>
  
===보안 표준===
+
== 요소 ==
*'''AAA''' : [[인증]](Authentication), [[권한검증]](Authorization), [[과금]](Accounting)을 제공하는 서비스, 서버, 프레임워크의 기술 총칭하는 용어이다.
+
=== 암호화 ===
*'''접근제어'''(Conditional Access) : 권한이 있는 사용자들에게만 특정 데이터 또는 자원들이 제공되는 것을 보장하기 위한 기술을 가리키는 말이다. 참고로 접근제어의 유형은 [[강제적 접근제어]](MAC)[[임의적 접근제어]](DAC), [[역할 기반 접근 제어]](RBAC)의 3가지로 구분되는 것이다.
+
[[암호화]]는 메시지의 내용이 불명확하도록 [[평문]](Plain text)를 재구성하여 [[암호화된 문장]](Cipher text)로 만드는 과정이다. 암호화 키와 복호화 키가 동일한 대칭키 방식과 암호화 키와 복호화 키가 다른 비대칭 키 방식으로 분류한다. [[PKI]](Public Key Infrastructure), [[비대칭키]](공개키,비밀키) 기반의 인증 및 암호화 인증기관에서 [[공개키]]와 [[개인키]]로 포함하는 인증서를 발급받아 네트워크상에서 안전하게 비밀 통신을 가능케 하는 기반 구조이다.<ref name="기술적 보안"></ref>
*'''XML 보안''' : 웹 서비스 요청자와 제공자 간의 안전한 데이터 송수신을 위한 인증 보안 기술이다.<ref name="기술적 보안"></ref>
 
  
===SSO===
+
;통신
'''통합인증'''(Single Signe on) : 한 번의 시스템 인증을 통하여 여러 정보시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션이다.<ref name="기술적 보안"></ref>
+
*'''보안 소켓 계층'''(Secure Socket Layer) : C/S 간의 보안 기능을 수행하는 [[TCP/IP]] 상위에서 수행되는 보안 프로토콜이다.
 +
*'''네트워크 계층 프로토콜''' : [[아이피]](IP) 계층을 기반으로 보안 프로토콜을 제공하는 개방형 프레임워크이다.
 +
*'''암호화 보안 프로토콜'''(Transport Layer Security) : 엔드-투-엔드(End-to-End) 보안 제공하는 통신이다.<ref name="기술적 보안"></ref>
  
===EAM===
+
=== 네트워크 ===
'''기업 접근 관리'''(Enterprise Access management) : 통합인증과 권한 부여, 조직 내 자원관리, 보안정책 수립을 단일한 메커니즘으로 제공하는 솔루션이며, [[EAM]] = [[통합인증]](Authentication) + [[권한관리]](Authorization) + [[자원관리]] 및 [[보안정책]]을 수립한 것이다.<ref name="기술적 보안"></ref>
 
 
 
===IAM===
 
'''ID 액세스 관리'''(IAM : Identity Access Management) : [[권한 설정]](Provisioning) 기능을 포함한 포괄적인 의미의 [[계정 관리]](IM : Identity Management)로서 조직이 필요로 하는 보안 정책을 수립하고 정책에 따라 자동으로 사용자의 계정과 권한을 관리하는 솔루션이다.<ref name="기술적 보안"></ref>
 
 
 
===ESM===
 
'''통합보안관리'''(Enterprise Security Management) : 방화벽, 침입 탐지시스템, 가설 사설망 등의 여러 보안 시스템으로부터, 발생한 각종 이벤트를 관리, 분석, 통보, 대응 및 보안 정책을 관리하는 시스템이다.<ref name="기술적 보안"></ref>
 
 
 
===UTMS===
 
'''통합 위협 관리 시스템'''(Unified Threat Management System) : 한 가지 이상의 보안 기능 수행을 목적으로 개발된 하드웨어, 소프트웨어, 네트워킹 기술들의 집합체이다.<ref name="기술적 보안"></ref>
 
 
 
===암호화===
 
메시지의 내용이 불명확하도록 [[평문]](Plain text)를 재구성하여 [[암호화된 문장]](Cipher text)로 만드는 과정이며 암호화 키와 복호화 키가 동일한 대칭키 방식과 암호화 키와 복호화 키가 다른 비대칭 키 방식으로 분류한다. [[PKI]](Public Key Infrastructure), [[비대칭키]](공개키,비밀키) 기반의 인증 및 암호화 인증기관에서 [[공개키]]와 [[개인키]]로 포함하는 인증서를 발급받아 네트워크상에서 안전하게 비밀통신을 가능케 하는 기반구조이다.<ref name="기술적 보안"></ref>
 
 
 
====통신====
 
*'''보안 소켓 계층'''(Secure Socket Layer) : C/S 간의 보안 기능을 수행하는 TCP/IP 상위에서 수행되는 보안 프로토콜이다.
 
*'''네트워크 계층 프로토콜''' : 아이피(IP) 계층을 기반으로 보안 프로토콜을 제공하는 개방형 프레임워크이다.
 
*'''암호화 보안 프로토콜'''(Transport Layer Security) : End-to-End 보안 제공하는 통신이다.<ref name="기술적 보안"></ref>
 
 
 
===네트워크===
 
 
*'''터널링'''(Tunneling) : 송신자가 보내는 데이터를 캡슐화해서 수신자 이외에는 알아볼 수 없도록 데이터를 전송하는 기반 기술이다.
 
*'''터널링'''(Tunneling) : 송신자가 보내는 데이터를 캡슐화해서 수신자 이외에는 알아볼 수 없도록 데이터를 전송하는 기반 기술이다.
 
*'''방화벽'''(FireWall) : 외부로부터 불법 침입과 내부의 불법 정보 유출을 방지하고, 내/외부 네트워크의 상호 간 영향을 차단하기 위한 보안 시스템이다.
 
*'''방화벽'''(FireWall) : 외부로부터 불법 침입과 내부의 불법 정보 유출을 방지하고, 내/외부 네트워크의 상호 간 영향을 차단하기 위한 보안 시스템이다.
*'''침입 탐지 시스템'''(IDS : Intrusion detection system) : 비인가 된 사용자가 자원의 [[무결성]](integrity), [[기밀성]](confidentiality), [[가용성]](availability)을 저해하는 일련의 행동들과 보안 정책을 위반하는 행위, 즉 침입(intrusion)을 실시간으로 탐지하는 시스템이다.
+
*'''침입탐지시스템'''(IDS, Intrusion detection system) : 비인가 된 사용자가 자원의 [[무결성]](integrity), [[기밀성]](confidentiality), [[가용성]](availability)을 저해하는 일련의 행동들과 보안 정책을 위반하는 행위, 즉 침입(intrusion)을 실시간으로 탐지하는 시스템이다.
*'''침입 방지 시스템'''(IPS : Intrusion Prevention system) : [[침임 탐지시스템의 오판]](false Detection)의 문제 해결을 위해 등장한 정보시스템 네트워크에서의 [[침입탐지]]와 실시간 방어가 가능한 보안 솔루션이다.
+
*'''침입방지시스템'''(IPS, Intrusion Prevention system) : [[침임 탐지시스템의 오판]](false Detection)의 문제 해결을 위해 등장한 정보시스템 네트워크에서의 [[침입탐지]]와 실시간 방어가 가능한 보안 솔루션이다.
*'''가상 사설망'''(VPN : Virtual Private Network) : 터널링(Tunneling) 기법을 사용해 공중망에 접속해 있는 두 네트워크 사이의 연결을 마치[[전용회선]]을 이용해 연결한 것과 같은 효과를 내는 가상 네트워크이다.<ref name="기술적 보안"></ref>
+
*'''가상 사설망'''(VPN : Virtual Private Network) : 터널링 기법을 사용해 공중망에 접속해 있는 두 네트워크 사이의 연결을 마치[[전용회선]]을 이용해 연결한 것과 같은 효과를 내는 가상 네트워크이다.<ref name="기술적 보안"></ref>
  
===컨텐츠===
+
=== 콘텐츠 ===
 
*'''워터 마킹'''(Water Marking) : 흐린 바탕 무늬 또는 로고를 디지털 콘텐츠 원본에 삽입하여 사용자가 이미지를 보거나 소프트웨어를 사용하는데 지장을 주지 않으면서도 복제를 방지하는 저작권 보호 기술이다.
 
*'''워터 마킹'''(Water Marking) : 흐린 바탕 무늬 또는 로고를 디지털 콘텐츠 원본에 삽입하여 사용자가 이미지를 보거나 소프트웨어를 사용하는데 지장을 주지 않으면서도 복제를 방지하는 저작권 보호 기술이다.
 
*'''핑거프링팅'''(Finger Printing) : 텍스트, 이미지, 오디오, 비디오 및 멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자의 정보를 삽입하여 콘텐츠 불법 배포자 추적을 위한 기술이다.
 
*'''핑거프링팅'''(Finger Printing) : 텍스트, 이미지, 오디오, 비디오 및 멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자의 정보를 삽입하여 콘텐츠 불법 배포자 추적을 위한 기술이다.
*'''객체의 디지털 식별자'''(DOI : Digital Obeject Identifier) : 디지털 저작물에 특정한 번호를 부여하는 일종의 바코드 시스템으로 디지털 저작물의 저작권 보호 및 정확한 위치 추적이 가능한 시스템이다.
+
*'''객체의 디지털 식별자'''(DOI, Digital Obeject Identifier) : 디지털 저작물에 특정한 번호를 부여하는 일종의 바코드 시스템으로 디지털 저작물의 저작권 보호 및 정확한 위치 추적이 가능한 시스템이다.
 
*'''전자상거래용 메터데이터'''(Interoperability of data in e-commerce system) : 디지털 환경하에서 콘텐츠 저작권 보호를 위한 목적으로 통일된 형태의 전자상거래의 정보 교환을 위한 지적 재산권 관련 메타데이터 모델이다.
 
*'''전자상거래용 메터데이터'''(Interoperability of data in e-commerce system) : 디지털 환경하에서 콘텐츠 저작권 보호를 위한 목적으로 통일된 형태의 전자상거래의 정보 교환을 위한 지적 재산권 관련 메타데이터 모델이다.
 
*'''디지털 권리 관리'''(Digital Rights Managenent) : 디지털 콘텐츠의 지적 재산권을 보호하고 관리하는 기능을 제공하며 안전한 유통과 배포를 보장하는 솔루션이다.<ref name="기술적 보안"></ref>
 
*'''디지털 권리 관리'''(Digital Rights Managenent) : 디지털 콘텐츠의 지적 재산권을 보호하고 관리하는 기능을 제공하며 안전한 유통과 배포를 보장하는 솔루션이다.<ref name="기술적 보안"></ref>
  
===개인정보===
+
=== 개인정보===
 
*'''아이핀'''(I-PIN : Internet Personal Identification Number) : 인터넷상에서 주민등록번호 사용에 따른 부작용을 해결하기 위한 서비스로 정보 통신부와 한국정보보호진흥원이 개발한 사이버 신원 확인 번호이다.
 
*'''아이핀'''(I-PIN : Internet Personal Identification Number) : 인터넷상에서 주민등록번호 사용에 따른 부작용을 해결하기 위한 서비스로 정보 통신부와 한국정보보호진흥원이 개발한 사이버 신원 확인 번호이다.
 
*'''개인정보보호정책'''(Platform for Privacy Preference project) : 특정한 웹사이트의 개인정보 보호 정책을 접속 사용자에게 알려줌으로써 자신에 관한 정보를 제공할지 여부를 서비스하는 개인 정보 보호 기술이다.
 
*'''개인정보보호정책'''(Platform for Privacy Preference project) : 특정한 웹사이트의 개인정보 보호 정책을 접속 사용자에게 알려줌으로써 자신에 관한 정보를 제공할지 여부를 서비스하는 개인 정보 보호 기술이다.
54번째 줄: 35번째 줄:
 
*'''익명화 기술''' : 이용자가 익명으로 웹을 서핑하도록 하는 서비스를 제공하는 기술이다.<ref name="기술적 보안"></ref>
 
*'''익명화 기술''' : 이용자가 익명으로 웹을 서핑하도록 하는 서비스를 제공하는 기술이다.<ref name="기술적 보안"></ref>
  
===대응방안===
+
=== 대응방안 ===
'''컴퓨터 포렌식''' : 컴퓨터를 매개로 이루어지는 범죄행위에 대하여 컴퓨터 시스템과 네트워크로부터 자료를 [[수집]], [[분석]], [[보존]]하여 법적 증거물로써 제출할 수 있도록 하는 일련의 절차 및 방법이다.<ref name="기술적 보안"></ref>
+
대응방안 중 하나인 컴퓨터 포렌식은 컴퓨터를 매개로 이루어지는 범죄 행위에 대하여 컴퓨터 시스템과 네트워크로부터 자료를 [[수집]], [[분석]], [[보존]]하여 법적 증거물로써 제출할 수 있도록 하는 일련의 절차 및 방법이다.<ref name="기술적 보안"></ref>
  
===무선랜===
+
=== 무선랜 ===
*'''유선 동등 프라이버시'''(WEP : Wired Equivalent Privacy) : 무선 LAN 표준을 정의하는 [[IEEE]] 802.11 규약 일부분으로 무선 LAN 운용 간의 보안을 위해 사용되는 기술이며 데이터 암호화를 위해 RC4 암호를 사용하고, 메시지 인코딩과 디코딩을 위해 40bit 키를 사용하기 때문에, WEP를 적절히 사용하지 않으면 위험에 노출이 쉬운 게 단점이다.
+
*'''유선 동등 프라이버시'''(WEP, Wired Equivalent Privacy) : 무선 LAN 표준을 정의하는 [[IEEE]] 802.11 규약 일부분으로 무선 LAN 운용 간의 보안을 위해 사용되는 기술이며 데이터 암호화를 위해 RC4 암호를 사용하고, 메시지 인코딩과 디코딩을 위해 40bit 키를 사용하기 때문에, WEP를 적절히 사용하지 않으면 위험에 노출이 쉬운 게 단점이다.
*'''와이파이 보호 접속'''(WPA : Wi-Fi Protected Access) : Wi-Fi Alliance 및 IEEE(Instituteof Electrical and Electronics Engineers)에 의해 제정된 보안 표준, 와이파이 얼라이언스(Wi-Fi Alliance)의 감독하에 수행하는 인증 프로그램이며 WPA의 향상된 암호화 방식은 공공 핫스팟과 같이 서로 다른 형태의 다양한 802.11 메시지 무결성 체크(MICs)를 처리해야 하는 무선 네트워크에 이상적이라는 평가로, 대부분의 무선 액세스 포인트 장비 및 칩셋 제조사들은 WPA를 지원하는 기능이다.
+
*'''와이파이 보호 접속'''(WPA, Wi-Fi Protected Access) : Wi-Fi Alliance 및 IEEE(Instituteof Electrical and Electronics Engineers)에 의해 제정된 보안 표준, 와이파이 얼라이언스(Wi-Fi Alliance)의 감독하에 수행하는 인증 프로그램이며 WPA의 향상된 암호화 방식은 공공 핫스팟과 같이 서로 다른 형태의 다양한 802.11 메시지 무결성 체크(MICs)를 처리해야 하는 무선 네트워크에 이상적이라는 평가로, 대부분의 무선 액세스 포인트 장비 및 칩셋 제조사들은 WPA를 지원하는 기능이다.
*'''시간적 키 무결성 프로토콜'''(TKIP : Temporal Key Integrity Protocol) 및 메세지 무결성 코드(MIC : Message Integrity Check) 암호화 방식을 사용, TKIP는 WEP에서 암호화를 위해 사용했던 RC4 알고리즘을 동일하게 채택하고 향상된 키 관리 방식과 효과적인 메시지 무결성 체크 방식이 추가되는 기능이다.
+
*'''시간적 키 무결성 프로토콜'''(TKIP, Temporal Key Integrity Protocol) 및 메세지 무결성 코드(MIC : Message Integrity Check) 암호화 방식을 사용, TKIP는 WEP에서 암호화를 위해 사용했던 RC4 알고리즘을 동일하게 채택하고 향상된 키 관리 방식과 효과적인 메시지 무결성 체크 방식이 추가되는 기능이다.
 
*모든 새로운 솔루션은 기존의 문제점들에 대해서는 해결할 수 있지만 완벽한 해결책이 되지는 못하며, WPA 또한 특정 공격에 의해 네트워크 전체가 마비될 수 있다는 등의 새로운 문제점들이 계속 발견된 점이다.
 
*모든 새로운 솔루션은 기존의 문제점들에 대해서는 해결할 수 있지만 완벽한 해결책이 되지는 못하며, WPA 또한 특정 공격에 의해 네트워크 전체가 마비될 수 있다는 등의 새로운 문제점들이 계속 발견된 점이다.
*'''와이파이 보호 접속'''(WPA2 : Wi-Fi Protected Access 2) : WPA의 후속 버전, 미 정부 보안 요건 FIPS140-2 충족(기존 TKIP 암호화 방식 à 128비트의 고급 암호화 표준(AES : Advanced Encryption Standard) 암호화 방식으로 대체)하고 AES 암호화 방식을 채택으로 보안 기능을 강화하고 데이터의 암/복호화 처리하기 위한 전용 칩 필요한 것이다.
+
*'''와이파이 보호 접속'''(WPA2, Wi-Fi Protected Access 2) : WPA의 후속 버전, 미 정부 보안 요건 FIPS140-2 충족(기존 TKIP 암호화 방식 à 128비트의 고급 암호화 표준(AES : Advanced Encryption Standard) 암호화 방식으로 대체)하고 AES 암호화 방식을 채택으로 보안 기능을 강화하고 데이터의 암/복호화 처리하기 위한 전용 칩 필요한 것이다.
*'''서비스 세트 식별자'''(SSID : Service Set Identifier) : 무선랜을 유일하게 인식, 32자의 알파벳 키로, 다른 무선장비가 일시적 혹은 의도적 접속차단 하며 - 라우터나 AP에 SSID가 자동 전파 설정을 해제 시 해당 기기의 SSID는 다른 기기에서 볼 수 없고 수동으로 이를 입력해야 한다. 하지만 SSID는 강력한 보완책은 아니므로 WEP나 WPA와 같은 다른 보안기술과 함께 사용되어야 하는 것이다.<ref name="기술적 보안"></ref>
+
*'''서비스 세트 식별자'''(SSID, Service Set Identifier) : 무선랜을 유일하게 인식, 32자의 알파벳 키로, 다른 무선장비가 일시적 혹은 의도적 접속차단 하며 - 라우터나 AP에 SSID가 자동 전파 설정을 해제 시 해당 기기의 SSID는 다른 기기에서 볼 수 없고 수동으로 이를 입력해야 한다. 하지만 SSID는 강력한 보완책은 아니므로 WEP나 WPA와 같은 다른 보안기술과 함께 사용되어야 하는 것이다.<ref name="기술적 보안"></ref>
 +
 
 +
; 기타
 +
*'''보안 표준'''
 +
**'''AAA''' : 세 가지 보안 요소인 [[인증]](Authentication), [[권한검증]](Authorization), [[과금]](Accounting)을 제공하는 서비스, 서버, 프레임워크의 기술 총칭하는 용어이다.
 +
**'''접근제어'''(Conditional Access) : 권한이 있는 사용자들에게만 특정 데이터 또는 자원들이 제공되는 것을 보장하기 위한 기술이다. 접근제어의 유형은 [[강제적 접근제어]](MAC)와 [[임의적 접근제어]](DAC), [[역할 기반 접근 제어]](RBAC)의 3가지로 구분된다.
 +
**'''XML 보안''' : 웹 서비스 요청자와 제공자 간의 안전한 데이터 송수신을 위한 인증 보안 기술이다.<ref name="기술적 보안"></ref>
 +
 
 +
*'''통합인증'''(Single Sign on) : 한 번의 시스템 인증을 통하여 여러 정보 시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션이다.<ref name="기술적 보안"></ref>
 +
 
 +
*'''기업 접근 관리'''(Enterprise Access management) : 통합인증과 권한 부여, 조직 내 자원관리, 보안정책 수립을 단일한 메커니즘으로 제공하는 솔루션이며, [[EAM]]는 [[통합인증]](Authentication) + [[권한관리]](Authorization) + [[자원관리]] 및 [[보안정책]]을 수립한 것이다.<ref name="기술적 보안"></ref>
 +
 
 +
*'''ID 액세스 관리'''(IAM : Identity Access Management) : [[권한 설정]](Provisioning) 기능을 포함한 포괄적인 의미의 [[계정 관리]](IM : Identity Management)로서 조직이 필요로 하는 보안 정책을 수립하고 정책에 따라 자동으로 사용자의 계정과 권한을 관리하는 솔루션이다.<ref name="기술적 보안"></ref>
 +
 
 +
*'''통합보안관리'''(Enterprise Security Management) : 방화벽, 침입 탐지시스템, 가설 사설망 등의 여러 보안 시스템으로부터, 발생한 각종 이벤트를 관리, 분석, 통보, 대응 및 보안 정책을 관리하는 시스템이다.<ref name="기술적 보안"></ref>
 +
 
 +
*'''통합 위협 관리 시스템'''(Unified Threat Management System) : 한 가지 이상의 보안 기능 수행을 목적으로 개발된 하드웨어, 소프트웨어, 네트워킹 기술들의 집합체이다.<ref name="기술적 보안"></ref>
  
==고려사항==
+
== 고려사항 ==
*다른 보안도 고려해야 하지만 그중 기술적 보안만 하자면
+
금전적 이익을 목적으로 [[해커]]들이 조직적인 움직임을 통해 특정 기업으로부터 기밀 정보를 남몰래 해킹하려고 하는 사례가 점점 늘고 있다. 또 주목할 점은 네트워크를 직접적 대상으로 하는 공격보다 보안이 취약한 엔드포인트, 즉 사용자 PC를 겨냥한 타깃 공격이 증가하고 있다는 것이다. 엔드포인트를 겨냥한 공격은 손쉽게 [[개인정보]]의 취득을 가능케 할 뿐 아니라 조직의 네트워크 통제에 대한 우회공격의 수단으로 사용될 수 있다. 조직에서 정보를 보호하기 위해서는 관리적인 정보보호 요구사항을 고려해 적용하는 것이 바람직하다. 정보자산에 대한 중요도 및 발생 가능한 위험을 고려해 보안 시스템에 대한 강화 및 내부적으로 권한에 맞는 적절한 [[접근통제]]를 수행하고, 관리적으로만 수행하기 어려운 부분을 기술적으로 보완하도록 해야 한다.<ref> 데이터넷, 〈[https://www.datanet.co.kr/news/articleView.html?idxno=37460 정보 유출 방지를 위한 관리적·기술적 대응]〉, 《데이터넷》, 2007-11-19 </ref>
#정보처리시스템에 대한 보호 체제 확립이 되어야 하는 것이다.
 
#정보보호 시설에 대한 물리적 통제 확립이 되어야 하는 것이다.<ref name="기술적 보안"></ref>
 
  
==종류==
+
== 유형 ==
기술적 보안에는 여러 종류가 있지만, 탐지 기술, 예방 기술, 조치 기술 등의 보안 기술들이 대표이다.
+
===개인정보 보안===
 +
; 텍스트 유출 방지
 +
[[웹]]에서 개인정보 유출을 진단하고 차단하는 기술은 [[필터링]]과 [[모니터링]]이 있다. 필터링은 개인정보 유출 차단을 위해 사용되며 모니터링은 개인정보 유출 탐지를 위해 사용된다. 개인정보 유출 차단은 파일을 웹 서버에 업로드하거나 글을 게시할 경우, 파일이나 텍스트의 특정 문자열을 키워드 및 패턴 매칭을 통해 업로드되는 정보가 유출되는 것을 방지하는 방식으로 이뤄진다. 개인정보 유출 탐지는 웹 서버 내에 존재하는 고유식별번호, 휴대폰 번호, 계좌번호와 같은 개인정보들과 첨부파일에 저장돼 있는 개인정보에 대한 지속적인 감시를 수행해 유출 가능성이 있는 정보를 찾아내 사전에 방지하는 것이다. 하지만 이러한 기술을 뚫고 개인정보가 유출됐을 때를 대비해 사용하는 기술도 존재하는데, DRM(Digital Rights Management)과 DLP(Data Loss Prevention)가 대표적이다. DRM은 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하기 위한 용도로 사용되며 인증 절차를 거치지 않고는 사용하지 못하도록 막는 기술이다. 암호화 기술을 이용한 문서 유출 방지와 문서별, 사용자별 권한 부여 및 출력 제한, 복사 제한, 편집 제한, 부분복사 제한, 유효 기간 설정 등의 제어를 통해 콘텐츠의 불법 도용 및 무단 복제를 방지한다. DLP는 엔드포인트와 네트워크 두 가지 방식을 결합해 저장 위치나 사용 위치에 상관없이 데이터를 보호하는 기술이다. 이 기술은 파일 서버, 문서, 이메일, 웹사이트, [[데이터베이스]]의 노출될 데이터를 정확하게 찾아 암호화, 스토리지 계층화, 아카이빙을 통해 정보의 유출을 방지한다.
  
===탐지기술===
+
; 데이터베이스 유출 방지
탐지 기술도 여러 가지가 있지만, 다음은 몇 가지 탐지기술에 대한 기사이다.
+
[[데이터베이스]]에서 개인정보가 유출되는 것을 방지하기 위한 기술로는 크게 암호화와 접근제어, 그리고 데이터베이스의 삭제감사를 통해 비정상적인 SQL문을 탐지하는 방식으로 나뉜다. 데이터베이스 접근제어 방식은 말 그대로, 데이터베이스에 대한 접근을 통제하는 방식이다. 데이터 자체에 대한 보안이 떨어진다는 단점이 있지만 실시간 감시 차단 및 접근 이력을 기록해 자료의 재분석을 통한 대책 마련이 가능하도록 하며 속도가 빠르고 운영이 간단해 시스템에 부하를 주지 않는 것이 특징이다. 데이터베이스 암호화 방식은 자료를 암호화해 자료가 유출되더라도 알아볼 수 없게 만들지만, 데이터베이스 시스템에 직접 설치 및 운영되기 때문에 상대적으로 처리 속도가 떨어진다는 단점이 있다. 데이터베이스 정보감사는 정확한 감사를 위해 데이터베이스 활동을 기록하고, 정책 변경과 암호화된 컬럼에 대한 작업 내역 및 [[에스큐엘]](SQL) 작업에 대한 내역을 기록하고 보관해 생성된 자료를 바탕으로 감사를 실행하는 방향으로 진행된다.<ref> 이글루시큐리티 인프라컨설팅팀 차장, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=49334 개인정보 유출, 사전에 탐지하고 예방하는 것이 최선]〉, 《컴퓨터월드》, 2017-11-01 </ref>
  
====개인정보 탐지 기술====
+
=== 악성코드 탐지 ===
*개인정보를 노리는 공격은 파일이나 게시판을 표적으로 하는 경우와 데이터베이스를 표적으로 하는 두 가지 경우로 분류할 수 있다. 그리고 이 두 방식에 대응하기 위한 보안 기술은 다음과 같은 것이다.
+
[[딥러닝]] 기반 악성코드 탐지 솔루션 [[블루헥사곤]](bluehexagon)은 [[합성곱 신경망]](CNN) 기술을 기반으로 [[바이너리]] 파일이나 오피스 문서, [[자바스크립트]] 등에 악성코드가 포함되어 있는지를 오탐 없이 매우 빠른 속도로 구분해 주는 보안 솔루션이다. 신경망에 이미지를 학습시키듯 수천만 개의 악성코드를 학습시키고, 악성코드가 동작하는 패킷 역시 학습시켰다. 악성코드는 샘플은 17가지의 라벨로 구분해 학습시켰다. 학습된 결과를 기반으로 새로운 악성코드 변종 등에 대한 탐지 능력을 전문기관을 통해 검증했다. PC시큐리티랩(PCSL)에서 성능을 객관적으로 비교 검증하기 위해 널리 사용되고 있는 여러 악성코드 탐지 제품들과 함께 벤치마킹 테스트를 수행했다. 테스트 시료는 3개월간 수집된 금융악성코드, 크립토마이너, 스파이웨어 및 랜섬웨어 등 4만 개(실행파일, [[마이크로소프트 오피스]], RTF, PDF 등)와 2백만 개의 비위협 파일을 가지고 테스트했다. 그 결과, 다른 모든 악성코드 탐지 솔루션을 압도하는 놀라운 결과가 나타났다. 99.89% 정확도로 4만 개의 악성코드를 100% 정확하게 탐지해 냈고, 파일당 탐지 시간은 평균 125ms였다. 시그너처나 [[해쉬값]], [[샌드박스]] 없이 딥러닝 학습을 통해서 수많은 변종들까지도 완벽하게 탐지해 냈다. 탐지 결과를 통해 볼 때, 탐지 성능이 낮고 오탐이 높은 시그너처나 해쉬값, 샌드박스 형태의 솔루션은 최신 공격과 변종 공격 등에 대해서 100% 탐지는 현실적으로 불가능하기 때문에 곧 딥러닝 기술로 대체될 것으로 예상된다. 블루헥사곤은 시그니처를 필요로 하지 않음으로 인해 오탐이 없고 시그니처를 만들기 위한 악성코드를 분석하는 수고를 없애주며, 또한 시그니처를 업데이트하는 과정도 생략시켜 줄 것이다. 또한 샌드박스를 통해서 분석하지 않아 탐지 시간이 혁신적으로 짧아 즉시성을 확보해 준다. 결국 운영 측면에서 놀라운 업무 혁신이 가능한 솔루션이라 할 있다. 그렇기 때문에 기존 악성코드 탐지 솔루션을 대체하는 혁신적인 효과를 볼 수 있다. 블루헥사곤은 에이전트가 없는 솔루션으로, 기존 침입탐지시스템과 유사하게 네트워크에서 미러링 형태로 패킷을 분석한다. 악성코드가 확인될 경우 기존 보안 솔루션(방화벽, 침입방지시스템, 네트워크 접근제어 등)과 연동해 처리하거나 ICAP(Internet Content Adaptation Protocol)를 사용하면 악성코드 패킷 차단이 가능하다. 더불어 블루헥사곤은 내부 네트워크에서 악성코드가 실행되어 외부로부터 명령을 송수신하거나 데이터를 유출하는 경우에 탐지 능력이 탁월하다. 여기에 엔드포인트 보안솔루션인 엔드포인트 위협탐지 대응(EDR)과 연동해 사용한다면 네트워크부터 엔드포인트까지 전 영역에서 악성코드 유입 경로를 완벽하게 차단할 수 있을 것으로 판단한다.<ref> 길민권 기자, 〈[https://www.dailysecu.com/news/articleView.html?idxno=108741 딥러닝을 이용한 강력한 악성코드 탐지 기술…’블루헥사곤’]〉, 《데일리시큐》, 2020-05-13 </ref>
#파일이나 게시판과 같은 텍스트 유출 방지를 위한 기술 형태 : 웹에서 [[개인정보]] 유출을 진단하고 차단하는 기술은 필터링과 모니터링이 있으며 필터링은 개인정보 유출차단을 위해 사용되며 모니터링은 개인정보 유출 탐지를 위해 사용되고 개인정보 유출 차단은 파일을 웹 서버에 올리거나 글을 게시할 경우, 파일이나 텍스트의 특정 문자열을 키워드 및 패턴 매칭을 통해 업로드되는 정보가 유출되는 것을 방지하는 방식으로 이뤄진다. 개인정보 유출탐지는 웹 서버 내에 존재하는 [[고유식별번호]], 휴대폰 번호, 계좌번호와 같은 개인정보들과 첨부파일에 저장된 개인정보에 대한 지속적인 감시를 수행해 유출 가능성이 있는 정보를 찾아내 사전에 방지하는 것이다. 하지만 이러한 기술을 뚫고 개인정보가 유출됐을 때를 대비해 사용하는 기술도 존재하는데, [[DRM]][[DLP]]가 대표적이다.
 
#DRM(Digital Rights Management) : 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하기 위한 용도로 사용되며 인증 절차를 거치지 않고는 사용하지 못하도록 막는 기술이다. 암호화 기술을 이용한 문서 유출 방지와 문서별, 사용자별 권한 부여 출력 제한, 복사 제한, 편집 제한, 부분 복사 제한, 유효 기간 설정 등의 제어를 통해 콘텐츠의 불법 도용 및 무단 복제를 방지해주는 것이다.
 
#DLP(Data Loss Prevention) : 엔드 포인트와 네트워크 두 가지 방식을 결합해 저장 위치나 사용 위치에 상관없이 데이터를 보호하는 기술이다. 이 기술은 파일 서버, 문서, 이메일, 웹사이트, 데이터베이스의 노출될 데이터를 정확하게 찾아 암호화, 스토리지 계층화, 아카이빙을 통해 정보의 유출을 방지하는 것이다.
 
*다음은 데이터베이스 유출 방지를 위한 기술 형태이다.
 
#데이터베이스 유출 방지를 위한 기술 형태 : 데이터베이스에서 개인정보가 유출되는 것을 방지하기 위한 기술로는 크게 암호화와 [[접근제어]], 그리고 데이터베이스의 [[삭제감사]]통해 비정상적인 [[SQL문]]을 탐지하는 방식으로 나뉜다. 데이터베이스 접근제어 방식은 말 그대로, DB에 대한 접근을 통제하는 방식이다. 데이터 자체에 대한 보안이 떨어진다는 단점이 있지만, 실시간 감시 차단 및 접근 이력을 기록해 자료의 재분석을 통한 대책 마련이 가능하도록 하며 속도가 빠르고 운영이 간단해 시스템에 부하를 주지 않는 것이 특징이며 데이터베이스 암호화 방식은 자료를 암호화해 자료가 유출되더라도 알아볼 없게 만들지만, 데이터베이스 시스템에 직접 설치 및 운영되기 때문에 상대적으로 처리 속도가 떨어진다는 단점이 있다. 데이터베이스 정보감사는 정확한 감사를 위해 데이터베이스 활동을 기록하고, 정책 변경과 암호화된 칼럼에 대한 작업 명세 SQL 작업에 대한 명세를 기록하고 보관해 생성된 자료를 바탕으로 감사를 실행하는 방향으로 진행되는 것이다.<ref> 이글루시큐리티 인프라컨설팅팀 차장, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=49334 개인정보 유출, 사전에 탐지하고 예방하는 것이 최선]〉, 《컴퓨터월드》, 2017-11-01 </ref>
 
  
====악성코드 탐지 기술====
+
== 사례 ==
다음은 악성코드에 대한 탐지기술에 대한 기사이다. [[컨볼루션 신경망 네트워크]](CNN) 기술을 기반으로 [[바이너리]] 파일이나 오피스 문서, [[자바스크립트]] 등에 악성코드가 포함되어 있는지를 오탐 없이 매우 빠른 속도로 구분해주는 솔루션이 있다. 바로 딥러닝 기반 악성코드 탐지 솔루션 '블루헥사곤(bluehexagon)'이며 신경망에 이미지를 학습시키듯 지난 15년 동안 발견된 수천만 개의 악성코드를 학습시킨 것으로서 악성코드가 동작하는 패킷도 역시 학습을 시켰다. 악성코드는 샘플은 17가지의 라벨로 구분해 학습시킨 다음 학습된 결과를 기반으로 새로운 악성코드 및 변종 등에 대한 탐지 능력을 전문기관을 통해 검증했다. PCSL LAB에서 성능을 객관적으로 비교 검증하기 위해 널리 사용되고 있는 여러 악성코드 탐지 제품들과 함께 BMT를 수행했다. 테스트 시료는 최근 3개월간 수집된 [[금융 악성코드]], [[크립토 마이너]], [[스파이웨어]] 및 [[랜섬웨어]] 등 4만 개(실행 파일, [[MS-Office]], [[RTF]], [[PDF]] 등)와 2백만 개의 비 위협 파일을 가지고 테스트한 그 결과, 다른 모든 악성코드 탐지 솔루션을 압도하는 놀라운 결과가 나왔으며 99.89% 정확도로 4만 개의 악성코드를 100% 정확하게 탐지해 냈고, 파일당 탐지 시간은 평균 125ms였다. 시그너처나 해시값, 샌드박스 없이 딥러닝 학습을 통해서 수많은 변종까지도 완벽하게 탐지해 주었다. 탐지 결과를 통해 볼 때, 탐지 성능이 낮고 오탐이 높은 [[시그너처]]나 [[해시값]], [[샌드박스]] 형태의 솔루션은 최신 공격과 변종 공격 등에 대해서 100% 탐지는 현실적으로 불가능하기 때문에 곧 딥러닝 기술로 대체될 것으로 예상되지만 블루헥사곤은 시그니처가 필요하지 않아 오탐이 없고 시그니처를 만들기 위한 악성코드를 분석하는 수고를 없애주며, 또한 시그니처를 업데이트하는 과정도 생략 시켜 줄 것이다. 또한 샌드박스를 통해서 분석하지 않아 탐지 시간이 혁신적으로 짧아 즉시성을 확보해 준다. 결국 운영 측면에서 놀라운 업무 혁신이 가능한 솔루션이라 할 수 있기 때문에 기존 악성코드 탐지 솔루션을 대체하는 혁신적인 효과를 볼 수 있는 것이다. 블루헥사곤은 에이전트가 없는 솔루션이며 기존 IDS와 유사하게 네트워크에서 미러링 형태로 패킷을 분석하다가 악성코드가 확인될 경우 기존 보안 솔루션(방화벽, IPS, NAC 등)과 연동해 처리하거나 ICAP(Internet Content Adapt 사용하면 악성코드 패킷 차단이 가능하고 또한 더불어 블루헥사곤은 내부 네트워크에서 악성코드가 실행되어 외부로부터 명령을 송수신하거나 데이터를 유출하는 경우에 탐지 능력이 탁월하다. 여기에 엔드포인트 보안솔루션인 [[EDR]]과 연동해 사용한다면 네트워크부터 엔드포인트까지 전 영역에서 악성코드 유입 경로를 완벽하게 차단할 있을 것으로 판단한다는 기사이다.<ref> 길민권 기자, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=49334 딥러닝을 이용한 강력한 악성코드 탐지 기술…’블루헥사곤’]〉, 《데일리시큐》, 2020-05-13 </ref>
+
=== 네트워크 보안 ===
 +
네트워크 보안은 기업 네트워크에 승인되지 않은 침입이 일어나는 것을 방지하고 보호하는 일련의 프랙티스이다. 개념 상으로 네트워크 보안은 개별적인 디바이스에 중점을 두는 엔드포인트 보안을 보완한다. 네트워크 보안은 이들 엔드포인트 디바이스가 서로 간의 결합 조직 상에서 어떻게 인터랙션하는지에 중점을 둔다. [[스테판 노스컷]](Stephen Northcutt)가 네트워크 보안의 기초를 위한 입문서에 제시한 네트워크 보안의 3단계는 보호, 탐지, 대응의 단계로 이루어진다. 보호 단계에서는 시스템과 네트워크를 최대한 올바르게 설정해야 한다. 탐지 단계에서는 설정이 변경되거나 일부 네트워크 트래픽에 문제가 생기면 이를 파악할 수 있어야 한다. 대응 단계에서는 문제를 신속하게 파악한 후에는 대응 조치를 취하고 가능한 빨리 안전한 상태로 돌아가야 한다. 한 마디로 종심 방어(defense in depth) 전략이다. 보안 전문가들의 보편적인 의견에 따르면 한 가지 방어책에 의존하는 것은 위험하다는 것이다. 한 가지 방어 툴은 천적에 의해 깨질 있다.  
  
===예방 기술===
+
; 방법론
기술적 보안에서 가장 중요한 것은 문제해결도 중요하지만, 예방책이 더 중요하다. 다음은 그와 관련된 기사이다. 한국인터넷진흥원(KISA)은 최근 미국 송유관 마비 사태로 악명을 떨친 랜섬웨어 등 사이버 위협 방어를 위해 인공지능(AI)과 빅데이터 등 기술을 활용한 예방 시스템을 구축하겠다는 청사진을 내놓았으며 이원태 KISA 원장은 "랜섬웨어는 예측적 통제가 쉽지 않다"며 "AI나 빅데이터를 활용해 유사한 공격에 잘 대비할 수 있도록 인프라나 데이터 분석 체계를 갖추려고 하고 있다"고 말했으며 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 뒤 이를 인질 삼아 금전을 요구하는 악성 프로그램으로 최근 미국 최대 송유관 업체가 랜섬웨어 공격을 받아 송유관 가동이 전면 중단되는 등 위협이 커지고 있어서 KISA는 [[소셜미디어]](SNS)·[[다크웹]] 등 보안 위협 정보의 수집 대상 및 규모를 대폭 늘려 분야별 위협 정보를 망라한 빅데이터를 구축할 계획이며 이렇게 구축한 보안 위협 빅데이터를 AI로 분석하는 지능형 보안 프레임워크를 개발한다는 목표다. 신대규 사이버침해 대응본부장은 "랜섬웨어는 예방이 무엇보다 중요한 데 KISA가 대응하기 버거운 부분이 있다"며 "국내에 조그만 이상징후라도 수집해 적극적으로 대응할 수 있도록 실효성을 높이는 방안을 추진하고 있다"라고 했으며 민간 주요 기업과 사이버 위협 정보를 실시간으로 공유하는 '사이버 보안 얼라이언스'를 2023년까지 제작할 예정이고 여기에는 [[데이터센터]](IDC)·[[클라우드]]·[[웹호스팅]] 사업자 등 60개 기업이 참여한다. 전 국민 PC·사물인터넷(IoT) 기기를 실시간 원격 보안 진단하는 '내 PC 돌보미 서비스'를 확대하고, 언제 어디서든 악성코드 감염 여부를 실시간으로 알려주는 '사이버 알림 서비스'를 내년 중에 도입할 계획이라고 했으며 이 원장은 "코로나 19는 우리에게도 위기이자 기회"라며 "언제 어디서든 누구에게나 사이버 위협이 가능한 상황에 직면하고 AI 등 지능화 기술 확산으로 사이버 공격이 더 은밀하고 고도화됐다"고 말했다. 그는 "한편으로는 이 상황이 모든 일상생활에서 정보보안의 [[내재화]]를 요구하는, 정보보호의 중요성을 강조하는 측면도 있다"라고 이 기사에서는 보안의 예방도 중요하고 강조한 것이다.<ref> , 〈[https://www.yna.co.kr/view/AKR20210521125700017 KISA "AI·빅데이터 기술 활용한 랜섬웨어 예방 체계 구축"]〉, 《연합뉴스》, 2021-05-23 </ref>
+
네트워크 인프라 업체인 [[시스코]](Cisco)는 네트워크 보안의 서로 다른 형태를 다음과 같은 구조로 세분화했다. 이들 중 일부는 시스코의 제품군에 따른 것이지만, 네트워크를 보호하는 여러 가지 방법을 생각하는 유용한 방안이다.
  
==전망==
+
*'''액세스 제어'''(Access Control) : 권한 없는 사용자와 디바이스가 네트워크에 액세스하는 것을 차단할 수 있어야 한다. 네트워크 액세스가 허용된 사용자라도 승인을 받은 한정된 자원만 사용할 수 있도록 해야 한다.
앞으로 기술적 보안은 더욱 중요한 요소가 될 거로 예상하는 기사이다. 2021년 보안 위협에 대한 주요 예측을 담은 ‘2021년 보안 위협 기술 전망 보고서’를 공개됐으며 [[이글루시큐리티]] 보안분석팀의 예측에 기반해 작성된 이번 보고서에는 2021년 발생할 주요 사이버 보안 위협과 이에 대응하기 위한 보안 기술과 방법론이 함께 제시됐다. 먼저 코로나 19를 계기로 디지털 전환과 기술 융합이 가속화되면서 지금까지 경험하지 못했던 새로운 유형의 보안 위협이 빠르게 확산할 것으로 내다봤으며 원격 업무 환경 조성에 따라 비대면 플랫폼을 노린 공격이 증가하고 광범위한 연결성을 갖게 된 [[OT]](운영 기술) 환경의 보안 위협도 늘어날 전망이다. 더불어 [[딥페이크]] 등 인공지능(AI) 기술을 악용한 보안 위협에 의한 피해 사례가 늘어나고, 랜섬 [[디도스]](DDoS) 등 금전적 수익 창출을 위한 사이버 공격도 변함없이 지속할 것으로 예상되고 이러한 보안 위협에 맞서 사고 발생 시 즉각 대응하고 신속히 업무 기능의 복원력을 높이기 위한 보안 기술과 방법론의 중요성이 한층 강조될 전망이라고 한다. 따라서 IT(정보 기술)과 OT(운영 기술) 환경을 아우르는 안정성 확보와 ‘설명 가능한 AI’ 등의 고도화된 위협 탐지 역량이 요구될 것이라고 내다봤다. 또한 전 세계적인 데이터 활성화 움직임에 부합하는 데이터 활용 보안 대책과 보안관제 효율성을 높일 수 있는 [[SOAR]](보안 오케스트레이션·자동화 및 대응) 기술 도입의 중요성도 부각될 것으로 예측된다 했으며 김미희 팀장은“전 세계적인 디지털 대전환 움직임에 발맞춰, 그 기반이 되는 사이버 보안의 중요성은 더욱더 높아질 것이다. 다양한 장소에 분산된 인프라를 활용해 언제 어디서나 안전하게 업무를 수행할 수 있어야 하므로 [[융합보안관제]], 설명 가능한 AI 등의 다양한 보안 기술 방법론 적용을 통해 보안이 내재화된 환경을 구축하며, 개인의 삶, 공공 안전, 기업 생산성에 큰 영향을 미칠 있는 보안 위협에 더 빠르고 능동적으로 대응해야 할 것”이라고 강조한 기사이다.<ref> 김현동 기자, 〈[http://www.weeklypost.kr/news/articleView.html?idxno=1684 2021년 보안 위협·기술 전망 … 새로운 유형의 보안 위협 증가]〉, 《연합뉴스》, 2020-12-08 </ref>
+
*'''안티멀웨어'''(Anti-Malware) : 바이러스나 웜, 트로이목마 등은 당연히 네트워크 전체로 확산하려고 시도하며, 감염된 시스템에서 며칠, 몇 주를 활동하지 않고 숨어 있을 수 있다. 보안은 초기 감염을 방지하기 위해 최선을 다해야 하고, 악성코드가 네트워크로 확산되기 전에 뿌리 뽑아야 한다.
 +
*'''애플리케이션 보안''' : 안전하지 않은 애플리케이션은 종종 공격자가 네트워크에 침입하는 데 이용하는 요소가 된다. 이런 애플리케이션을 막기 위한 하드웨어와 소프트웨어, 보안 프로세스를 채택해야 한다.
 +
*'''행위 분석''' : 정상적인 네트워크 행위가 어떤 모습인지 알아야 비정상적인 행위나 악용이 발생했을 때 알아차릴 수 있다.
 +
*'''데이터 손실 방지''' : 직원들이 일부러 또는 실수로 민감한 데이터를 네트워크 외부로 보내지 않도록 하는 기술과 프로세스를 구현해야 한다.
 +
*'''이메일 보안''' : 피싱은 공격자가 네트워크 액세스 권한을 획득하는 가장 보편적인 방법 중 하나이다. 이메일 보안 툴은 내부로 들어오는 공격과 민감한 데이터를 담은 채 외부로 나가는 메시지를 차단할 수 있다.
 +
*'''방화벽''' : 아마도 할아버지 시대의 네트워크 보안은 기업 네트워크와 인터넷 사이의 경계선에서 트래픽을 허용하거나 거부하도록 정의한 규칙에 따라 이루어졌다. 신뢰할 수 있는 영역과 거친 외부 영역 사이에 장벽을 구축한 것이다. 방화벽이 종심 방어의 필요성을 배제하지는 않지만, 여전히 필수적인 툴이다.
 +
*'''침입 탐지 및 방지''' : 이들 시스템은 네트워크 트래픽을 조사해 공격을 파악하고 차단한다. 주로 네트워크 활동 시그니처를 잘 알려진 공격 기법 데이터베이스와 연계하는 방법을 사용한다.
 +
*'''모바일 디바이스 및 무선 보안''' : 무선 디바이스 역시 다른 네트워크에 연결된 기기와 마찬가지로 보안 결함의 가능성이 있다. 하지만 다른 곳에서 다른 무선 네트워크에서도 접속할 수 있기 때문에 추가적인 조사가 필요하다.
 +
*'''네트워크 세그먼테이션'''(Network segmentation) : 소프트웨어 정의 세그먼테이션은 네트워크 트래픽을 서로 다른 분류로 보내 보안 정책을 좀 쉽게 적용할 수 있다.
 +
*'''SIEM'''(Security Information and Event Management) : 다양한 네트워크의 정보를 자동으로 취합해 위협을 파악하고 대응하는 데 필요한 데이터를 제공한다.
 +
*'''VPN''' : 보통 [[IPSec]]이나 [[SSL]]을 기반으로 하는 툴로, 디바이스와 안전한 네트워크 간의 커뮤니케이션을 인증하고 개방된 인터넷을 가로질러 안전하고 암호화된 일종의 터널을 생성한다.
 +
*'''웹 보안''' : 웹 기반 위협이 브라우저를 네트워크 감염 요소로 악용하는 것을 막기 위해 내부 직원의 웹 사용을 통제할 있어야 한다.<ref> Josh Fruhlinger, 〈[https://www.itworld.co.kr/news/110074 네트워크 보안의 이해 : 정의, 방법론, 일자리]〉, 《아이티월드》, 2018-07-17 </ref>
  
 
{{각주}}
 
{{각주}}
98번째 줄: 102번째 줄:
 
* 〈[http://jidum.com/jidums/view.do?jidumId=589 관리적보안, 물리적보안, 기술적보안]〉, 《지덤》
 
* 〈[http://jidum.com/jidums/view.do?jidumId=589 관리적보안, 물리적보안, 기술적보안]〉, 《지덤》
 
* 이글루시큐리티 인프라컨설팅팀 차장, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=49334 개인정보 유출, 사전에 탐지하고 예방하는 것이 최선]〉, 《컴퓨터월드》, 2017-11-01
 
* 이글루시큐리티 인프라컨설팅팀 차장, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=49334 개인정보 유출, 사전에 탐지하고 예방하는 것이 최선]〉, 《컴퓨터월드》, 2017-11-01
* 길민권 기자, 〈[https://www.comworld.co.kr/news/articleView.html?idxno=49334 딥러닝을 이용한 강력한 악성코드 탐지 기술…’블루헥사곤’]〉, 《데일리시큐》, 2020-05-13
+
* 길민권 기자, 〈[https://www.dailysecu.com/news/articleView.html?idxno=108741 딥러닝을 이용한 강력한 악성코드 탐지 기술…’블루헥사곤’]〉, 《데일리시큐》, 2020-05-13
* 〈[https://www.yna.co.kr/view/AKR20210521125700017 KISA "AI·빅데이터 기술 활용한 랜섬웨어 예방 체계 구축"]〉, 《연합뉴스》, 2021-05-23
+
* 데이터넷, 〈[https://www.datanet.co.kr/news/articleView.html?idxno=37460 정보 유출 방지를 위한 관리적·기술적 대응]〉, 《데이터넷》, 2007-11-19
* 김현동 기자, 〈[http://www.weeklypost.kr/news/articleView.html?idxno=1684 2021년 보안 위협·기술 전망 … 새로운 유형의 보안 위협 증가]〉, 《연합뉴스》, 2020-12-08
+
* Josh Fruhlinger, 〈[https://www.itworld.co.kr/news/110074 네트워크 보안의 이해 : 정의, 방법론, 일자리]〉, 《아이티월드》, 2018-07-17
  
 
==같이 보기==
 
==같이 보기==

2021년 9월 2일 (목) 17:55 판

기술적 보안(being technical security)이란 정보자산에 대한 보안을 뜻하며 물리적 보안을 수행할 수 있도록 하는 모든 기반 기술에 대한 탐지 기술, 예방 기술, 조치 기술 등의 보안 기술을 일컫는 말이다.[1]

개요

기술적 보안은 정보자산에 대한 보안으로, 기술적 보안 대책은 실제 정보 시스템에 적용된 기술에 특화하여 기술적으로 마련할 수 있는 정보 보호 대책을 의미한다. 그리고 물리적 보안을 수행할 수 있도록 하는 모든 기반 기술을 의미하기도 한다. 이에 속하는 것으로 지문인식시스템, 카드출입시스템, 데이터 암호화 기술 등이 있다. 또한 정보화 역기능인 해킹, 스팸메일, 피싱(Phishing), 파밍(Pharming) 등에 대한 탐지 기술, 예방 기술, 조치 기술 등의 보안 기술을 의미한다. 기술적 보안 대책은 실제 정보 시스템에 적용된 기술에 특화하여 기술적으로 정보 대책을 마련할 수 있는 정보보호 대책을 의미하는 것이다. 기술적 보안은 다른 여러 보안 중에 하나이며, 관리적 보안물리적 보안과 함께 정보보안프레임워크를 구성한다. 기술적 보안을 구축할 때 고려해야 할 사항은 정보처리시스템에 대한 보호 체제 확립과 정보보호 시설에 대한 물리적 통제 확립 등이 있다.[1]

요소

암호화

암호화는 메시지의 내용이 불명확하도록 평문(Plain text)를 재구성하여 암호화된 문장(Cipher text)로 만드는 과정이다. 암호화 키와 복호화 키가 동일한 대칭키 방식과 암호화 키와 복호화 키가 다른 비대칭 키 방식으로 분류한다. PKI(Public Key Infrastructure), 비대칭키(공개키,비밀키) 기반의 인증 및 암호화 인증기관에서 공개키개인키로 포함하는 인증서를 발급받아 네트워크상에서 안전하게 비밀 통신을 가능케 하는 기반 구조이다.[1]

통신
  • 보안 소켓 계층(Secure Socket Layer) : C/S 간의 보안 기능을 수행하는 TCP/IP 상위에서 수행되는 보안 프로토콜이다.
  • 네트워크 계층 프로토콜 : 아이피(IP) 계층을 기반으로 보안 프로토콜을 제공하는 개방형 프레임워크이다.
  • 암호화 보안 프로토콜(Transport Layer Security) : 엔드-투-엔드(End-to-End) 보안 제공하는 통신이다.[1]

네트워크

  • 터널링(Tunneling) : 송신자가 보내는 데이터를 캡슐화해서 수신자 이외에는 알아볼 수 없도록 데이터를 전송하는 기반 기술이다.
  • 방화벽(FireWall) : 외부로부터 불법 침입과 내부의 불법 정보 유출을 방지하고, 내/외부 네트워크의 상호 간 영향을 차단하기 위한 보안 시스템이다.
  • 침입탐지시스템(IDS, Intrusion detection system) : 비인가 된 사용자가 자원의 무결성(integrity), 기밀성(confidentiality), 가용성(availability)을 저해하는 일련의 행동들과 보안 정책을 위반하는 행위, 즉 침입(intrusion)을 실시간으로 탐지하는 시스템이다.
  • 침입방지시스템(IPS, Intrusion Prevention system) : 침임 탐지시스템의 오판(false Detection)의 문제 해결을 위해 등장한 정보시스템 네트워크에서의 침입탐지와 실시간 방어가 가능한 보안 솔루션이다.
  • 가상 사설망(VPN : Virtual Private Network) : 터널링 기법을 사용해 공중망에 접속해 있는 두 네트워크 사이의 연결을 마치전용회선을 이용해 연결한 것과 같은 효과를 내는 가상 네트워크이다.[1]

콘텐츠

  • 워터 마킹(Water Marking) : 흐린 바탕 무늬 또는 로고를 디지털 콘텐츠 원본에 삽입하여 사용자가 이미지를 보거나 소프트웨어를 사용하는데 지장을 주지 않으면서도 복제를 방지하는 저작권 보호 기술이다.
  • 핑거프링팅(Finger Printing) : 텍스트, 이미지, 오디오, 비디오 및 멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자의 정보를 삽입하여 콘텐츠 불법 배포자 추적을 위한 기술이다.
  • 객체의 디지털 식별자(DOI, Digital Obeject Identifier) : 디지털 저작물에 특정한 번호를 부여하는 일종의 바코드 시스템으로 디지털 저작물의 저작권 보호 및 정확한 위치 추적이 가능한 시스템이다.
  • 전자상거래용 메터데이터(Interoperability of data in e-commerce system) : 디지털 환경하에서 콘텐츠 저작권 보호를 위한 목적으로 통일된 형태의 전자상거래의 정보 교환을 위한 지적 재산권 관련 메타데이터 모델이다.
  • 디지털 권리 관리(Digital Rights Managenent) : 디지털 콘텐츠의 지적 재산권을 보호하고 관리하는 기능을 제공하며 안전한 유통과 배포를 보장하는 솔루션이다.[1]

개인정보

  • 아이핀(I-PIN : Internet Personal Identification Number) : 인터넷상에서 주민등록번호 사용에 따른 부작용을 해결하기 위한 서비스로 정보 통신부와 한국정보보호진흥원이 개발한 사이버 신원 확인 번호이다.
  • 개인정보보호정책(Platform for Privacy Preference project) : 특정한 웹사이트의 개인정보 보호 정책을 접속 사용자에게 알려줌으로써 자신에 관한 정보를 제공할지 여부를 서비스하는 개인 정보 보호 기술이다.
  • 프라이버시 정책 생성 : 프라이버시 정책 문구를 자동으로 생성하는 기능이다.
  • 쿠키 관리 : 개인에게 자신의 컴퓨터에 저장된 쿠키에 대해 통제권을 주는 방법이다.
  • 암호화 소프트웨어(SW) : 암호화를 통해 자신의 전자메일 메시지, 저장된 파일, 온라인에서의 커뮤니케이션을 보호할 수 있게 하는 기능을 제공하는 기술이다.
  • 익명화 기술 : 이용자가 익명으로 웹을 서핑하도록 하는 서비스를 제공하는 기술이다.[1]

대응방안

대응방안 중 하나인 컴퓨터 포렌식은 컴퓨터를 매개로 이루어지는 범죄 행위에 대하여 컴퓨터 시스템과 네트워크로부터 자료를 수집, 분석, 보존하여 법적 증거물로써 제출할 수 있도록 하는 일련의 절차 및 방법이다.[1]

무선랜

  • 유선 동등 프라이버시(WEP, Wired Equivalent Privacy) : 무선 LAN 표준을 정의하는 IEEE 802.11 규약 일부분으로 무선 LAN 운용 간의 보안을 위해 사용되는 기술이며 데이터 암호화를 위해 RC4 암호를 사용하고, 메시지 인코딩과 디코딩을 위해 40bit 키를 사용하기 때문에, WEP를 적절히 사용하지 않으면 위험에 노출이 쉬운 게 단점이다.
  • 와이파이 보호 접속(WPA, Wi-Fi Protected Access) : Wi-Fi Alliance 및 IEEE(Instituteof Electrical and Electronics Engineers)에 의해 제정된 보안 표준, 와이파이 얼라이언스(Wi-Fi Alliance)의 감독하에 수행하는 인증 프로그램이며 WPA의 향상된 암호화 방식은 공공 핫스팟과 같이 서로 다른 형태의 다양한 802.11 메시지 무결성 체크(MICs)를 처리해야 하는 무선 네트워크에 이상적이라는 평가로, 대부분의 무선 액세스 포인트 장비 및 칩셋 제조사들은 WPA를 지원하는 기능이다.
  • 시간적 키 무결성 프로토콜(TKIP, Temporal Key Integrity Protocol) 및 메세지 무결성 코드(MIC : Message Integrity Check) 암호화 방식을 사용, TKIP는 WEP에서 암호화를 위해 사용했던 RC4 알고리즘을 동일하게 채택하고 향상된 키 관리 방식과 효과적인 메시지 무결성 체크 방식이 추가되는 기능이다.
  • 모든 새로운 솔루션은 기존의 문제점들에 대해서는 해결할 수 있지만 완벽한 해결책이 되지는 못하며, WPA 또한 특정 공격에 의해 네트워크 전체가 마비될 수 있다는 등의 새로운 문제점들이 계속 발견된 점이다.
  • 와이파이 보호 접속(WPA2, Wi-Fi Protected Access 2) : WPA의 후속 버전, 미 정부 보안 요건 FIPS140-2 충족(기존 TKIP 암호화 방식 à 128비트의 고급 암호화 표준(AES : Advanced Encryption Standard) 암호화 방식으로 대체)하고 AES 암호화 방식을 채택으로 보안 기능을 강화하고 데이터의 암/복호화 처리하기 위한 전용 칩 필요한 것이다.
  • 서비스 세트 식별자(SSID, Service Set Identifier) : 무선랜을 유일하게 인식, 32자의 알파벳 키로, 다른 무선장비가 일시적 혹은 의도적 접속차단 하며 - 라우터나 AP에 SSID가 자동 전파 설정을 해제 시 해당 기기의 SSID는 다른 기기에서 볼 수 없고 수동으로 이를 입력해야 한다. 하지만 SSID는 강력한 보완책은 아니므로 WEP나 WPA와 같은 다른 보안기술과 함께 사용되어야 하는 것이다.[1]
기타
  • 보안 표준
    • AAA : 세 가지 보안 요소인 인증(Authentication), 권한검증(Authorization), 과금(Accounting)을 제공하는 서비스, 서버, 프레임워크의 기술 총칭하는 용어이다.
    • 접근제어(Conditional Access) : 권한이 있는 사용자들에게만 특정 데이터 또는 자원들이 제공되는 것을 보장하기 위한 기술이다. 접근제어의 유형은 강제적 접근제어(MAC)와 임의적 접근제어(DAC), 역할 기반 접근 제어(RBAC)의 3가지로 구분된다.
    • XML 보안 : 웹 서비스 요청자와 제공자 간의 안전한 데이터 송수신을 위한 인증 보안 기술이다.[1]
  • 통합인증(Single Sign on) : 한 번의 시스템 인증을 통하여 여러 정보 시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션이다.[1]
  • 기업 접근 관리(Enterprise Access management) : 통합인증과 권한 부여, 조직 내 자원관리, 보안정책 수립을 단일한 메커니즘으로 제공하는 솔루션이며, EAM통합인증(Authentication) + 권한관리(Authorization) + 자원관리보안정책을 수립한 것이다.[1]
  • ID 액세스 관리(IAM : Identity Access Management) : 권한 설정(Provisioning) 기능을 포함한 포괄적인 의미의 계정 관리(IM : Identity Management)로서 조직이 필요로 하는 보안 정책을 수립하고 정책에 따라 자동으로 사용자의 계정과 권한을 관리하는 솔루션이다.[1]
  • 통합보안관리(Enterprise Security Management) : 방화벽, 침입 탐지시스템, 가설 사설망 등의 여러 보안 시스템으로부터, 발생한 각종 이벤트를 관리, 분석, 통보, 대응 및 보안 정책을 관리하는 시스템이다.[1]
  • 통합 위협 관리 시스템(Unified Threat Management System) : 한 가지 이상의 보안 기능 수행을 목적으로 개발된 하드웨어, 소프트웨어, 네트워킹 기술들의 집합체이다.[1]

고려사항

금전적 이익을 목적으로 해커들이 조직적인 움직임을 통해 특정 기업으로부터 기밀 정보를 남몰래 해킹하려고 하는 사례가 점점 늘고 있다. 또 주목할 점은 네트워크를 직접적 대상으로 하는 공격보다 보안이 취약한 엔드포인트, 즉 사용자 PC를 겨냥한 타깃 공격이 증가하고 있다는 것이다. 엔드포인트를 겨냥한 공격은 손쉽게 개인정보의 취득을 가능케 할 뿐 아니라 조직의 네트워크 통제에 대한 우회공격의 수단으로 사용될 수 있다. 조직에서 정보를 보호하기 위해서는 관리적인 정보보호 요구사항을 고려해 적용하는 것이 바람직하다. 정보자산에 대한 중요도 및 발생 가능한 위험을 고려해 보안 시스템에 대한 강화 및 내부적으로 권한에 맞는 적절한 접근통제를 수행하고, 관리적으로만 수행하기 어려운 부분을 기술적으로 보완하도록 해야 한다.[2]

유형

개인정보 보안

텍스트 유출 방지

에서 개인정보 유출을 진단하고 차단하는 기술은 필터링모니터링이 있다. 필터링은 개인정보 유출 차단을 위해 사용되며 모니터링은 개인정보 유출 탐지를 위해 사용된다. 개인정보 유출 차단은 파일을 웹 서버에 업로드하거나 글을 게시할 경우, 파일이나 텍스트의 특정 문자열을 키워드 및 패턴 매칭을 통해 업로드되는 정보가 유출되는 것을 방지하는 방식으로 이뤄진다. 개인정보 유출 탐지는 웹 서버 내에 존재하는 고유식별번호, 휴대폰 번호, 계좌번호와 같은 개인정보들과 첨부파일에 저장돼 있는 개인정보에 대한 지속적인 감시를 수행해 유출 가능성이 있는 정보를 찾아내 사전에 방지하는 것이다. 하지만 이러한 기술을 뚫고 개인정보가 유출됐을 때를 대비해 사용하는 기술도 존재하는데, DRM(Digital Rights Management)과 DLP(Data Loss Prevention)가 대표적이다. DRM은 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하기 위한 용도로 사용되며 인증 절차를 거치지 않고는 사용하지 못하도록 막는 기술이다. 암호화 기술을 이용한 문서 유출 방지와 문서별, 사용자별 권한 부여 및 출력 제한, 복사 제한, 편집 제한, 부분복사 제한, 유효 기간 설정 등의 제어를 통해 콘텐츠의 불법 도용 및 무단 복제를 방지한다. DLP는 엔드포인트와 네트워크 두 가지 방식을 결합해 저장 위치나 사용 위치에 상관없이 데이터를 보호하는 기술이다. 이 기술은 파일 서버, 문서, 이메일, 웹사이트, 데이터베이스의 노출될 데이터를 정확하게 찾아 암호화, 스토리지 계층화, 아카이빙을 통해 정보의 유출을 방지한다.

데이터베이스 유출 방지

데이터베이스에서 개인정보가 유출되는 것을 방지하기 위한 기술로는 크게 암호화와 접근제어, 그리고 데이터베이스의 삭제감사를 통해 비정상적인 SQL문을 탐지하는 방식으로 나뉜다. 데이터베이스 접근제어 방식은 말 그대로, 데이터베이스에 대한 접근을 통제하는 방식이다. 데이터 자체에 대한 보안이 떨어진다는 단점이 있지만 실시간 감시 차단 및 접근 이력을 기록해 자료의 재분석을 통한 대책 마련이 가능하도록 하며 속도가 빠르고 운영이 간단해 시스템에 부하를 주지 않는 것이 특징이다. 데이터베이스 암호화 방식은 자료를 암호화해 자료가 유출되더라도 알아볼 수 없게 만들지만, 데이터베이스 시스템에 직접 설치 및 운영되기 때문에 상대적으로 처리 속도가 떨어진다는 단점이 있다. 데이터베이스 정보감사는 정확한 감사를 위해 데이터베이스 활동을 기록하고, 정책 변경과 암호화된 컬럼에 대한 작업 내역 및 에스큐엘(SQL) 작업에 대한 내역을 기록하고 보관해 생성된 자료를 바탕으로 감사를 실행하는 방향으로 진행된다.[3]

악성코드 탐지

딥러닝 기반 악성코드 탐지 솔루션 블루헥사곤(bluehexagon)은 합성곱 신경망(CNN) 기술을 기반으로 바이너리 파일이나 오피스 문서, 자바스크립트 등에 악성코드가 포함되어 있는지를 오탐 없이 매우 빠른 속도로 구분해 주는 보안 솔루션이다. 신경망에 이미지를 학습시키듯 수천만 개의 악성코드를 학습시키고, 악성코드가 동작하는 패킷 역시 학습시켰다. 악성코드는 샘플은 17가지의 라벨로 구분해 학습시켰다. 학습된 결과를 기반으로 새로운 악성코드 및 변종 등에 대한 탐지 능력을 전문기관을 통해 검증했다. PC시큐리티랩(PCSL)에서 성능을 객관적으로 비교 검증하기 위해 널리 사용되고 있는 여러 악성코드 탐지 제품들과 함께 벤치마킹 테스트를 수행했다. 테스트 시료는 3개월간 수집된 금융악성코드, 크립토마이너, 스파이웨어 및 랜섬웨어 등 4만 개(실행파일, 마이크로소프트 오피스, RTF, PDF 등)와 2백만 개의 비위협 파일을 가지고 테스트했다. 그 결과, 다른 모든 악성코드 탐지 솔루션을 압도하는 놀라운 결과가 나타났다. 99.89% 정확도로 4만 개의 악성코드를 100% 정확하게 탐지해 냈고, 파일당 탐지 시간은 평균 125ms였다. 시그너처나 해쉬값, 샌드박스 없이 딥러닝 학습을 통해서 수많은 변종들까지도 완벽하게 탐지해 냈다. 탐지 결과를 통해 볼 때, 탐지 성능이 낮고 오탐이 높은 시그너처나 해쉬값, 샌드박스 형태의 솔루션은 최신 공격과 변종 공격 등에 대해서 100% 탐지는 현실적으로 불가능하기 때문에 곧 딥러닝 기술로 대체될 것으로 예상된다. 블루헥사곤은 시그니처를 필요로 하지 않음으로 인해 오탐이 없고 시그니처를 만들기 위한 악성코드를 분석하는 수고를 없애주며, 또한 시그니처를 업데이트하는 과정도 생략시켜 줄 것이다. 또한 샌드박스를 통해서 분석하지 않아 탐지 시간이 혁신적으로 짧아 즉시성을 확보해 준다. 결국 운영 측면에서 놀라운 업무 혁신이 가능한 솔루션이라 할 수 있다. 그렇기 때문에 기존 악성코드 탐지 솔루션을 대체하는 혁신적인 효과를 볼 수 있다. 블루헥사곤은 에이전트가 없는 솔루션으로, 기존 침입탐지시스템과 유사하게 네트워크에서 미러링 형태로 패킷을 분석한다. 악성코드가 확인될 경우 기존 보안 솔루션(방화벽, 침입방지시스템, 네트워크 접근제어 등)과 연동해 처리하거나 ICAP(Internet Content Adaptation Protocol)를 사용하면 악성코드 패킷 차단이 가능하다. 더불어 블루헥사곤은 내부 네트워크에서 악성코드가 실행되어 외부로부터 명령을 송수신하거나 데이터를 유출하는 경우에 탐지 능력이 탁월하다. 여기에 엔드포인트 보안솔루션인 엔드포인트 위협탐지 및 대응(EDR)과 연동해 사용한다면 네트워크부터 엔드포인트까지 전 영역에서 악성코드 유입 경로를 완벽하게 차단할 수 있을 것으로 판단한다.[4]

사례

네트워크 보안

네트워크 보안은 기업 네트워크에 승인되지 않은 침입이 일어나는 것을 방지하고 보호하는 일련의 프랙티스이다. 개념 상으로 네트워크 보안은 개별적인 디바이스에 중점을 두는 엔드포인트 보안을 보완한다. 네트워크 보안은 이들 엔드포인트 디바이스가 서로 간의 결합 조직 상에서 어떻게 인터랙션하는지에 중점을 둔다. 스테판 노스컷(Stephen Northcutt)가 네트워크 보안의 기초를 위한 입문서에 제시한 네트워크 보안의 3단계는 보호, 탐지, 대응의 단계로 이루어진다. 보호 단계에서는 시스템과 네트워크를 최대한 올바르게 설정해야 한다. 탐지 단계에서는 설정이 변경되거나 일부 네트워크 트래픽에 문제가 생기면 이를 파악할 수 있어야 한다. 대응 단계에서는 문제를 신속하게 파악한 후에는 대응 조치를 취하고 가능한 빨리 안전한 상태로 돌아가야 한다. 한 마디로 종심 방어(defense in depth) 전략이다. 보안 전문가들의 보편적인 의견에 따르면 한 가지 방어책에 의존하는 것은 위험하다는 것이다. 한 가지 방어 툴은 천적에 의해 깨질 수 있다.

방법론

네트워크 인프라 업체인 시스코(Cisco)는 네트워크 보안의 서로 다른 형태를 다음과 같은 구조로 세분화했다. 이들 중 일부는 시스코의 제품군에 따른 것이지만, 네트워크를 보호하는 여러 가지 방법을 생각하는 유용한 방안이다.

  • 액세스 제어(Access Control) : 권한 없는 사용자와 디바이스가 네트워크에 액세스하는 것을 차단할 수 있어야 한다. 네트워크 액세스가 허용된 사용자라도 승인을 받은 한정된 자원만 사용할 수 있도록 해야 한다.
  • 안티멀웨어(Anti-Malware) : 바이러스나 웜, 트로이목마 등은 당연히 네트워크 전체로 확산하려고 시도하며, 감염된 시스템에서 며칠, 몇 주를 활동하지 않고 숨어 있을 수 있다. 보안은 초기 감염을 방지하기 위해 최선을 다해야 하고, 악성코드가 네트워크로 확산되기 전에 뿌리 뽑아야 한다.
  • 애플리케이션 보안 : 안전하지 않은 애플리케이션은 종종 공격자가 네트워크에 침입하는 데 이용하는 요소가 된다. 이런 애플리케이션을 막기 위한 하드웨어와 소프트웨어, 보안 프로세스를 채택해야 한다.
  • 행위 분석 : 정상적인 네트워크 행위가 어떤 모습인지 알아야 비정상적인 행위나 악용이 발생했을 때 알아차릴 수 있다.
  • 데이터 손실 방지 : 직원들이 일부러 또는 실수로 민감한 데이터를 네트워크 외부로 보내지 않도록 하는 기술과 프로세스를 구현해야 한다.
  • 이메일 보안 : 피싱은 공격자가 네트워크 액세스 권한을 획득하는 가장 보편적인 방법 중 하나이다. 이메일 보안 툴은 내부로 들어오는 공격과 민감한 데이터를 담은 채 외부로 나가는 메시지를 차단할 수 있다.
  • 방화벽 : 아마도 할아버지 시대의 네트워크 보안은 기업 네트워크와 인터넷 사이의 경계선에서 트래픽을 허용하거나 거부하도록 정의한 규칙에 따라 이루어졌다. 신뢰할 수 있는 영역과 거친 외부 영역 사이에 장벽을 구축한 것이다. 방화벽이 종심 방어의 필요성을 배제하지는 않지만, 여전히 필수적인 툴이다.
  • 침입 탐지 및 방지 : 이들 시스템은 네트워크 트래픽을 조사해 공격을 파악하고 차단한다. 주로 네트워크 활동 시그니처를 잘 알려진 공격 기법 데이터베이스와 연계하는 방법을 사용한다.
  • 모바일 디바이스 및 무선 보안 : 무선 디바이스 역시 다른 네트워크에 연결된 기기와 마찬가지로 보안 결함의 가능성이 있다. 하지만 다른 곳에서 다른 무선 네트워크에서도 접속할 수 있기 때문에 추가적인 조사가 필요하다.
  • 네트워크 세그먼테이션(Network segmentation) : 소프트웨어 정의 세그먼테이션은 네트워크 트래픽을 서로 다른 분류로 보내 보안 정책을 좀 더 쉽게 적용할 수 있다.
  • SIEM(Security Information and Event Management) : 다양한 네트워크의 정보를 자동으로 취합해 위협을 파악하고 대응하는 데 필요한 데이터를 제공한다.
  • VPN : 보통 IPSec이나 SSL을 기반으로 하는 툴로, 디바이스와 안전한 네트워크 간의 커뮤니케이션을 인증하고 개방된 인터넷을 가로질러 안전하고 암호화된 일종의 터널을 생성한다.
  • 웹 보안 : 웹 기반 위협이 브라우저를 네트워크 감염 요소로 악용하는 것을 막기 위해 내부 직원의 웹 사용을 통제할 수 있어야 한다.[5]

각주

  1. 1.00 1.01 1.02 1.03 1.04 1.05 1.06 1.07 1.08 1.09 1.10 1.11 1.12 1.13 1.14 관리적보안, 물리적보안, 기술적보안〉, 《지덤》
  2. 데이터넷, 〈정보 유출 방지를 위한 관리적·기술적 대응〉, 《데이터넷》, 2007-11-19
  3. 이글루시큐리티 인프라컨설팅팀 차장, 〈개인정보 유출, 사전에 탐지하고 예방하는 것이 최선〉, 《컴퓨터월드》, 2017-11-01
  4. 길민권 기자, 〈딥러닝을 이용한 강력한 악성코드 탐지 기술…’블루헥사곤’〉, 《데일리시큐》, 2020-05-13
  5. Josh Fruhlinger, 〈네트워크 보안의 이해 : 정의, 방법론, 일자리〉, 《아이티월드》, 2018-07-17

참고자료

같이 보기


  검수요청.png검수요청.png 이 기술적 보안 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.