[데이터넷] 우리는 코로나19, 우크라이나-러시아 전쟁, 기후 위기 등 전 세계 정치·경제적으로 극심한 혼란의 시기를 맞고 있다. 이처럼 불안한 시국에는 범죄가 증가하는 경향이 있으며, 최근에는 산업기술 유출 사고가 빈번하게 보도되면서 위협 수준을 더 높이고 있다. 이러한 시기에 기업·기관은 내부의 영업비밀, 지적재산(IP)을 지켜야 한다는 시급한 과제에 직면했다.

기업·기관은 내부정보 유출을 예방하고, 유출되더라도 외 부에서 유출된 정보를 볼 수 없도록 DLP, DRM 등의 보안 솔루션을 적용하고 있지만 중요하고 민감한 정보는 계속 유출되고 있다. 그 이유는 기존 솔루션이 갖고 있는 한계 때문이다. DRM의 경우, 애플리케이션 후킹 방식을 허용하지 않는 엔드포인트 환경으로 인해 사용에 제약이 있다. 마이크로소프트는 윈도우10부터 후킹 방식을 사용하는 보안 솔루션의 기술지원을 하지 않겠다고 선언하기도 했다.

외부로 유출 시도를 실시간 탐지하고 차단·경고를 하기 위해 유출 채널에 대한 기술적 지원이 원활해야 하지만, DRM의 경우 새로운 브라우저가 출현하고 새로운 애플리케이션이 출시될 경우, 탐지·차단을 지원하기 위해 상당한 시간이 걸린 다는 것도 문제다.

데이터 유출 제어 못하는 EPP·EDR

악성코드가 유입돼 랜섬웨어에 감염되거나 데이터가 유출되는 경우가 빈번하게 발생하고 있는데, 랜섬웨어·악성코드 감염은 안티바이러스(AV) 영역이고, 데이터 유출은 DLP 영역으로, 감염을 통한 데이터 유출을 효과적으로 감지하지 못 한다.

내부정보 유출 사고가 발생할 경우, 컴퓨터 포렌식, 모바일 포렌식 솔루션으로 무결한 이미지를 획득 후, 분석하고 유 출 증거를 찾아 사건 해결에 활용할 수 있다. 그러나 SSD가 보편적으로 사용되면서 삭제된 파일의 복구, 증거 획득에 기술적 한계가 드러나고 있다. 또한 모바일 기기 제조사들은 포렌식에 우호적이지 않다.

공격자는 내부 정보를 유출하기 위해 스테가노그라피와 같은 기술을 사용해 유출하려는 데이터를 숨긴다. 이는 엔드포인트 보안 솔루션에서 찾아내기 어렵다. 애플의 경우, M1, M2 등을 자체 개발해 맥 시리즈에 적용하고 있다. 기존 엔드포인트 보안 제품은 애플 기기에서 원활하게 작동하기 어려운 상황이다.

블루투스 마우스, 키보드, 헤드셋 등 PC 주변기기를 그대로 사용하면서 데이터 유출 시도 탐지·제어가 가능해야 하지만 대 부분의 엔드포인트 보안 솔루션은 사용자 편의성을 고려하지 않고 블루투스 통신 자체를 차단해 사용자의 불만이 높아진다.

이 외에도 데이터 보호에 많은 기술적·현실적 제약이 존재 하며, 이러한 문제를 해결하는 엔드포인트 보안 솔루션의 수 요가 높아지고 있다.

모든 데이터 가시화해 보호

EDR이 엔드포인트 상의 다양한 위협에 대응할 수 있다고 알려지지만, 대부분의 EDR은 실 행파일 로그를 기반으로 한 악성코드 대응에 초점을 맞추고 있다. 시그니처 방식의 AV를 극 복하기 위해 AI를 접목한 차세대 AV도 등장하 고 있지만 여전히 악성코드 대응에 초점이 맞춰져 있으며, 고객이 가장 중요시하는 데이터 유출 방지 기술은 부족하다.

중요정보의 유출 통로로 사용되는 엔드포인트에서 정보가 빠져나가는 것을 막기 위해서는 모든 데이터에 대한 철저한 관리와 보안 정책이 필수다. 모든 데이터를 가시화하고 보호하며, 마이크로소프트 AIP의 분류 기능을 연동해 영업비밀, 지적재산 등 비정형 데이터를 파악하 고 적절한 보안 정책을 적용한다.

기존 DLP는 아웃바운드 흐름에서만 유출을 탐지해 인바운드에서의 이상행위를 탐지하지 못하지만, 차세대 DLP는 워드, 엑셀, HWP 등 모든 비정형 데이터 사용 로그를 서버로 수 집하고, 데이터 유출입 채널에 대한 인·아웃바운드 흐름상에 데이터 행위를 탐지하고 제어할 수 있어야 한다.원본 파일의 중요성 여부를 사전에 분류하여 향후 데이터가 변조되더라도 분류된 중요 데이터의 흐름을 추적하고, 원본파일의 중요성을 기준으로 유출 전에 탐지하고 차단할 수 있다.

새로운 애플리케이션이 등장했을 때 이를 지원하기까지 기다리지 않고 즉시 애플리케이션의 전반에서 탐지·제어 기술을 적용할 수 있도록 자동화된 지원 기술도 필요하다.

또한 악성코드로 인한 데이터 유출 및 랜섬웨어 방어 전략 을 보다 수준 높게 적용하고 중요 데이터를 보호하며, 스테가 노그라피와 같은 안티 포렌식 기술까지 탐지·제어할 수 있어 야 한다. 더불어 블루투스 마우스, 키보드 등의 장비를 사용 하면서 데이터 유출에 대한 탐지·제어를 수행하는 것도 필요 조건이다.

애플리케이션 지원이 완료되기까지 기다리지 않아도 되도 록 모든 기술을 단일 에이전트를 통해 탐지하고 제어할 수 있 어야 한다. 네크워크 보안 및 APT 장비의 IoC 정보를 연동해 엔드포인트에서 대신 탐지하고 제어하는 역할을 수행할 수 있어야 한다.

재택근무 보호 위해서도 사용

동훈아이텍이 국내에 공급하는 디지털가디언은 상기 요건을 모두 만족하는 EDR 기반의 DLP다. 모든 데이터를 가시화하고 보호할 수 있도록 하며, 모든 실행 가능한 파일이 단 한 번이라도 엔드포인트에서 실행될 경우, 해당 로그를 서버로 수집해 100 % 가시성을 제공한다.

디지털가디언은 단일 에이전트를 통한 통합 엔드포인트 보안 체계를 구축할 수 있게 하며, 특정 제조사에서 3년간 검토 후 전 계열사에 대한 엔드포인트 보안 통합 작업을 수행하고 있다. 또한 재택근무 환경 구축에도 활용되고 있다. 특정 보 안이 애플리케이션이 재택근무 단말에 설치·운영돼 네트워크에 접속할 수 있는 환경으로도 사용되고 있다. 더불어 조사 모듈(IM)을 활용해 실시간 포렌식 이미지 수집 및 분석 기술을 제공하며, 실시간에 가까운 포렌식 기술도 제공한다.

이 솔루션은 온프레미스로 구축 가능하며, 클라우드 환경으로 구축하면 분석·리포팅 클라우드(ARC)라는 수준 높은 UX를 제공해 운영 편의를 한층 높인다.