시큐리티백

기본 개념은 IP 시스템과 거의 같고, IP 관리 시스템에 네트워크에 대한 통제를 강화한 것 입니다.

① 네트워크 접근 요청 : 접속하고자 하는 PC 사용자는 최초 네트워크에 대한 접근을 시도한다.

② 사용자 및 PC 인증 : NAC에 등록되어 있는 MAC 주소를 통해 사용자 PC를 인증하거나 SSO와 연계하여 네트워크에 접근하고자 하는 사용자의 아이디와 패스워드를 추가로 요청하여 인증을 수행한다. 인증 과정에서 백신이나 보안 패치의 적절성 여부를 검토한다.

③ 네트워크 접근 허용 : 인증이 완료된 경우 네트워크에 대한 접근을 허용한다.

④ 네트워크 접근 거부 : 보안 정책이 제대로 준수되지 않았거나 바이러스에 감염되어 있는 경우 네트워크 접근이 거부되고, 네트워크에서 격리된다. 격리된 PC는 필요한 정책 적용이나 치료 과정을 거쳐 다시 점검한다.

 1차 공격은 오전 10시 30분 경 디시인사이드에 14기가(Gbps)에 달하는 디도스 공격이 발생하면서 가비아 서초IDC 전체 네트워크 장애로까지 이어졌습니다.

 이 후 KISA에 디도스 공격을 통보하고 11시 50분경 3차 디도스 공격 이후 서버 접속이 정상화된 상황입니다.

 가비아 역시도 피해를 보았습니다. 

DDoS 공격의 경우 기존에는 충분히 커버 가능한 수준으로 대역을 운용하고 있었지만 이번 공격의 경우 월요일 오전 업무 트래픽이 몰리는 시간대와 겹친데다 선차단 시스템을 벗어난 IP때문에 서비스 지연까지 번진 것"이라고 설명하고 있습니다.

DDoS 공격은 대규모 UDP(또는 TCP)에 의한 공격으로, 가비아 자체에서 수행하지 않고 SK브로드벤드(이하 SKB)에서 선차단, 후보고 형식으로 진행됩니다. 이는 ISP 업체들의 백본스위치 및 하위고객사들의 안정성을 위해 SKB뿐만 아니라 LGU+에서도 이와 같은 방식으로 선차단 정책을 유지하고 있다"고 밝히고 "이번에 가비아는 당사 모니터링 시스템에서 공격의 타깃이 된 IP를 확인해 SKB에 차단 요청을 했습니다. 

  블룸버그에 따르면 중국은 미국 주요 기관 데이터센터에 들어가는 서버용 기판(마더보드)에 연필심보다 미세한 스파이칩을 이식했다는 주장하고 있습니다.

 블룸버그 비즈니스위크는 기업 30여 곳과 정부 기관이 사용하는 데이터 센터 서버에 중국산 스파이 반도체가 심어져왔다고 보도했습니다.

 소프트웨어가 아닌 하드웨어를 활용한 해킹을 해왔다는 것 입니다. 일반적으로 하드웨어 해킹은 소프트웨어 해킹보다 대응하기가 어렵습니다. 

소프트웨어는 상시 관리할 수 있지만, 하드웨어는 일일이 스파이칩을 찾아내 떼어내야 하기 때문입니다.

 맨 처음 스파이칩을 만든 곳으로는 중국 군대가 지목됐습니다. 블룸버그에 따르면 중국 군대는 언뜻 보면 마치 일반 칩처럼 보이는 스파이칩을 설계·제조해  중국 서버 제조업체 ‘슈퍼마이크로(Supermicro)’에 넘겼고 칩을 건네받은 슈퍼마이크로는 서버 기판 후미진 곳에 미세한 스파이칩을 숨겨 미국 내 데이터센터에 수년 동안 납품해왔다는 주장입니다.

해당 스파이칩에는 메모리와 네트워크 기능이 있다고 전해집니다.

블룸버그는 스파이칩이 서버 운영체제 등을 조작해 미국 회사들로부터 지식재산권과 거래기밀을 수집해왔다고 주장하고 있습니다.

애플과 아마존은 이런 블룸버그의 보도를 즉각 부인했습니다.

애플은 “블룸버그의 보도 내용에는 오도된 정보가 있는 것으로 보인다. 2016년 슈퍼마이크로사의 서버 드라이버가 바이러스에 감염됐다는 것과 관련해 혼동된 보도인 것으로 추측한다”고 주장하고 있습니다. 

아마존도 해당 서버의 스파이 마이크로 칩에 대해 수개월간 자체 조사를 벌였으나 아무것도 발견되지 않았다고 반박했습니다.

중국 역시 사이버 보안 수호하려는 입장이라고 밝혔지만, 워싱턴 포스터에 따르면 익명의 정부 관계자에 의한 정보로 상당히 정확한 보도라고 밝혔습니다.

외부 공표를 허락받지 않았을 뿐이라며 보도하였습니다.

정부 주관으로 여러 차례 현장 점검을 했다지만, 사회주의 국가인 중국 업체라는 면에서 반감이 드는 상황을 100% 해소 할 수 없다고 한국 관계자는 말했습니다.

 한국은 대기업부터 중소벤처기업까지 중국산 마더보드로 만든 서버를 쓰고 있고 얼마나 유통되는지 집계도 힘든 실정이라고 합니다.

 말 그대로 엔드포인트 위협 탐지 및 대응을 목적으로 하는 솔루션입니다.

여기서 엔드포인트란 단말기를 의미합니다. 즉 클라이언트 pc, 스마트폰, 태블릿 등을 의미합니다.

EDR의 영역은 컨슈머 보안 영역(일반 사용자 영역)과 엔터프라이즈 보안 영역(기업 시스템을 사용하는 사용자들의 영역)으로 나뉘며, 현재는 기업 시스템을 사용하는 사용자들을 위한 보안이 일반적입니다. 이 영역에서 EDR 솔루션은 정보의 인증이나 암호화가 아닌 공격에대한 탐지와 그것에 대한 대응하는 영역입니다.

그렇다고 EDR이 백신이나, HIPS는 아닙니다.

백신도 단말기 안에 설치된 어플, 악성코드, 바이러스 등르 탐지하고 제거, 격리 하는 역할을 합니다. 둘이 같은 거 아냐? EDR에 일부 아니야 라고 생각 될 수 있지만 다릅니다.

백신같은 경우 아직까지 시그니쳐, 패턴 매칭 방식으로 파일을 백신의 패턴과 비교해 바이러스를 판단하여 제거, 격리 하는 역할을 합니다.

이러한 패턴이나 시그니처는 이미 피해를 입은 단말기를 분석해서 뽑아내는데, 사후 처리 방식으로 새로운 패턴의 악성코드나 바이러스에는 대응하지 못한다는 문제점을 가지고 있습니다. 지식 기반 탐지가 아닌 행위 기반, 즉 바이러스나 악성코드라고 의심이 되는 상황을 예측하는 백신들도 있지만 오탐율이 굉장히 높아 안쓰는 상황입니다. 공격이 아닌데 공격으로 판단하는 상황이 많다는 의미입니다.

HIPS( 호스트 침입 방지 시스템 )은 단말기로 들어오는 네트워크를 검사해서 대응하는 솔루션입니다. 백신은 파일을 기준으로 검사한다는 점에서 차이가 있습니다. 하지만 HIPS 역시 룰 기반으로 시그니처, 패턴을 비교해서 맞거나 비슷하면 차단하는 시스템입니다. IPS와 달리 HIPS는 시스템 인프라에 설치 되되는 것이 아닌 PC에 설치 됩니다. HIPS 역시 백신과 같이 새로운 공격에는 대응 하기 어렵다는 문제점을 갖습니다.

이 두 솔루션 뿐만 아니라 인프라 보안 쪽 솔루션들(IPS, IDS, FW) 역시 룰 기반으로 선제 대응에 어려움을 가집니다.

이러한 솔루션들은 새로운 공격에는 업데이트 전까지 속수 무책으로 공격을 당해야하는 상황입니다. 이로인해 EDR 솔루션이 각광 받고 있습니다.

EDR의 가장 큰 특징은 탐지하는 방식이 한가지 방식이 아니라는 것입니다.

 앞서 말한 솔루션 들도 탐지하는 방식 2~3개 이상이 되지만 EDR은 사용자의 활동과 행동을 관찰하고 뿐만아니라 백그라운드에 동작하는 어플들의 활동을 관찰하여 위협을 판단하는 능동적 탐지를 수행합니다. 이러한 탐지 수행을 위해 빅데이터 기법, 머신러닝 기법, 인공지능 기법 등이 활용됩니다.

기본의 사후 대비적 성격의 보안이 아닌 모든 상황을 가정하고 테스트 함으로써 공격을 사전 차단하려는 기술입니다.

BAS를 설명하기에 앞서 사이버 킬체인을 알아 보겠습니다.

 현재 관제에서는 탐지 패턴에만 의존하여 기술적 한계가 많습니다.

 이러한 문제로 웹크롤링을 통해서 공격 위협을 사전에 인지하고 반영하거나 머신러닝 기술 등을 접목한 이상징후 패킷 탐지 기술을 접목하려는 시도가 있어 왔으며 이러한 노력으로 탄생한 것이 BAS라고 할 수 있습니다.

BAS는 다양한 공격 시나리오를 기반으로 사내 인프라와  자산에 대하여 예상 가능한 모든 위협을 사전에 체크하고 제거하는데 그 목표를 두고 있습니다.

사이버킬체인에서 구현하고자 햇던 것들을 BAS를 통해 실체적으로 구현 사전에 모두 테스트해 방화벽 등을 통해서 불필요한 모든 접근 방식을 제거, 모든 프로토콜 테스트를 합니다.

설령 침투되어도 추가 확장 공격이나 위협이 확대되지 않도록 사전에 방어하고자 하며 시뮬레이션을 통한 내부망에 대한 보안 검증을 실시합니다.

 OA망이란 Office Automation의 약자로 사내망을 의미합니다.

시물레이터를 바탕으로 아래 형태의 공격을 테스트 할 수 있습니다.

◎ 내부망침투 - 외부에서 내부로의 접근을 테스트 할 수 있다.

◎ 외부로의 정보 유출 - 내부에서 외부로의 연결을 테스트 할 수 있다.

◎ 전이 공격 - 시스템으로 공격을 확장하는 것,  테스트하는 이유는 어떤 침해가 발생했을 경우, 전파의 범위를 확인하기 위함이다.

◎ apt 공격 - 메일을 이용, 백신, 보안 프로그램이 잘 차단하는지 테스트 등을 테스트할 수 있다.

무엇보다 중요한 것은 시나리오 입니다! 따라서 최신의  시나리오를 신속하게 반영해 주는 것이 핵심이라고 할 수 있습니다.

 모의 해킹 - 어플리케이션(서비스) 자체에만 국한해 문제점을 찾아 제거하려합니다.

 BAS - 모든 행위에 대응하는, 네트워크 전체의 문제점을 다루는 사이버 킬체인을 목표로 합니다.

 기존 IT서비스에 전혀 영향을 미치지 않습니다.

다양한 서비스 형태를 지원합니다. ( 온프라미스, 클라우드 등, 다양한 os)

추가 비용 없이 기존 시스템의 보안성을 강화할 수 있습니다.

이러한 BAS는 기본 defensice security와 달리 offensive security입니다. 

가트너는 "향후 10년간 BAS가 가장 중요한 보안 제품군이 될 것" 전망하고 있다고 합니다.

    유럽에서 새롭게 개정된 개인 정보보호 규정

    유럽연합에 의해 시행되는 규정으로 데이터를 수집하고 사용하는 방법을 시민이 통제하도록 하는 법률입니다. 

    유럽 연합이 데이터 사용에 대한 통제를 데이터 주체에 양도하도록 고안되었습니다.

     GDPR은 유럽연합에서 유럽 시민들의 개인 정보 보호를 강화하기 위해 만든 통합 규정입니다.

    이 법은 EU 시민에 대한 데이터를 운영하는 서비스 제공 업체와 다국적 기업에 모두 적용됩니다. 

    ●  개인 정보 개념의 확대

     GDPR은 기업이 다루는 개인 식별 정보의 범위를 이름이나 주소, 주민등록번호뿐만 아니라 개인의 IP 주소나 쿠키 데이터 같은 것에까지 확장해 이를 동일한 수준으로 보호할 것을 의무화하고 있습니다.

    ● EU 및 그 외 국가에서 데이터 사용 가능성 축소

     아래 그림과 같이 데이터는 크게 3 분야로 나뉩니다.

    1st Party 데이터 : 서비스나 제품에서 직접 수집된 데이터입니다. 독점적이고,  출처가 확실하며 데이터의 품질이 높습니다.

    2st Party 데이터 : 다른 주체의 1st Party 데이터입니다.

3rd Party 데이터 : 여러 외부 소스에서 수집된 정보를 집계 한 것입니다.  활용 가능성이 높은 데이터입니다.

     이 포스팅 역시 3rd Party 데이터에 해당합니다. 주체의 정보만을 이용한 것이 아닌 거쳐 거쳐 변화된 데이터를 활용하기 때문입니다. 

     이 때문에 정보의 가치는 떨어지게 됩니다.

     GDPR은 이 중 활용 가능성이 큰 3rd Party 데이터의 활용을 어렵게 합니다.

      ●  컨트롤러나 프로세서 의무 위반의 경우

      최대 1000만 유로까지 혹은 전년도 전 세계 연매출 2% 중 높은 금액이 부과될 수 있습니다.

    ●  데이터 주체의 권리와 자유에 대한 위반인 경우

    최대 2000만 유로까지 혹은 전년도 전 세계 연매출 4% 중 높은 금액이 부과될 수 있습니다.

    구체적으로 어느 정도 선까지 적용이 될지는 지켜보아야 합니다.

     GDPR 시행 후 생성된 새로운 데이터뿐만이 아니라 기존의 모든 데이터에 적용됩니다. 

    기업은 재동의하거나 데이터 사용 권한을 갱신하는 좋은 방법을 찾아야 합니다.

     회사들은 EU 회원국 내 발생하는 거래에 대해 EU 시민의 개인/사생활 정보를 보호하는 것이 의무화되었습니다. 

     EU 외부로 개인 정보 유출도 규제하고 있습니다. 

    이는 유럽 업체와의 경쟁에서 불리해질 여지가 발생합니다.

    솔루션을 개발하는 회사들은 기능 제공을 위한 필수 개인 정보로 수집범위를 최소화하고, 솔루션 설계 단계에서부터 개인 정보보호 측면을 고려해서 개발해야 합니다.

     올해 2018년 9월 페이스북이 보안 문제로 인해 5000만 명의 계정이 해킹되었다고 발표하였습니다.

     자사 엔지니어링 팀에 따르면 사용자의 페이스북 계정을 탈취하는 데 활용할 수 있는 토큰을 훔칠 수 있는 보안 취약점이 발견되었다고 발표했습니다.

     발견은 2018년 9월 25일 발견됐지만, 오랜 기간 주목받지 않을 가능성이 있다고 합니다. 

    여러 코드의 취약점들이 복합적으로 연결되어있다고 보았고, 그중에서 프로필을 다른 사람의 입장에서 보는 “내 프로필 미리 보기” 기능의 취약점을  악용했습니다. 

   이 기능을 사용 중이었던 사람들은 해커들에 의해 액세스 토큰이 탈취되어 계정 해킹까지 이어졌습니다.

     페이스북 제품 담당자는 해킹된 계정으로 연결된 모든 앱에도 해커들이 액세스할 수 있다고 말했습니다.

• 연동 앱에 로그아웃을 통한 액세스 토큰 재설정

• 페이스북 계정 비활성화

• 페이스북 계정 탈퇴

     이러한 회원 감소는 결국 광고로 먹고사는 페이스북 주가에 하락으로 이루어지고 있습니다.

     개인정보를 다루는 큰 회사일 수록 보안관리에 힘써야 계속 그 회사의 가치를 유지한다고 생각합니다.