특별기획 05 - 사용자 단말(EndPoint)의 내부정보 유출방지를 위한 기술적 대책
사용자단말(이하 “EndPoint”라 함)은 업무환경의 가장 말단기기로서 정보의 생성지이자 제2의 정보저장소이다.
그만큼 기업업무 환경에 있어서 중요한 정보보호 대상이 아닐 수 없다.
이 글을 통해 정보유출의 사례분석을 통해 넓게는 정보유출 전반에 걸친 유출유형과 대응방안을 소개하고 좁게는 EndPoint에서의 내부정보 유출방지 기술을 알아봄으로써 이해관계자들의 관련보안 대응체계 및 시스템 준비를 위해 도움되는 지식과 정보, 동향 등을 소개한다.
최근 정보유출 현황, 특성 그리고 보완방안
2013년 및 최근까지 사회적 이슈화된 개인정보 및 주요 정보보안 사고를 표 1 과 같이 정리해 보았다.
비교적 보안시스템 및 체계를 잘 지켜왔다는 금융기관이 적지않은 유출건수가 발견되었다.
비슷한 유출방법이 반복되기도 하였지만 각각의 시사하는 바가 있어 다음과 같이 이슈별로 나열하고 각각의 취약점에 대한 보완방법을 제시한다(취약점 보안방법은 절대적이지 않으며 반드시 기본적인 정보 유출방지 시스템 및 체계를 갖춘 상태에서 좀더 효과적인 보완책을 제시한 것이다).
1) 의외로 쉬운 외부해킹에 의한 유출
홈페이지의 비인가자가 쉽게 접근할 수 있는 영역이 의의로 많다. 주소창에 특정 파라미터 값만 바꾸면 다른 사용자의 정보를 쉽게 볼 수 있다거나 구글링 검색을 통해 원하지 않는 정보가 누구라도 쉽게 열람이 가능할 수도 있다.
유출의 피해는 크지 않을 수 있으나 누구나 유출할 수 있고 오랜 시간동안 행한다면 피해규모가 걷잡을 수 없이 커질 수도 있다.
이런 경우 특수한 보안시스템 도입을 하지 않고도 쉽게 대응방안 및 예방을 할 수 있다.
각 기관에서 제공하는 웹개발 보안가이드 또는 홈페이지 개발 보안가이드를 개발시 또는 개발 후에 점검 및 주기적인 검사를 통해 어렵지 않게 유출경로 및 방법을 차단할 수 있다(예 : 안행부의 홈페이지 SW(웹) 개발보안 가이드 등).
2) APT(Advanced Persistent Threat)에 의한 유출
APT라는 용어는 사실상 마케팅으로서 더 많이 이용되는 공격방법의 이름으로 더 많이 사용되고 있다고 생각된다.
특정공격 및 유출의 목적 또는 대상을 정해놓고 긴 시간동안 준비, 수집, 공격, 유출, 증거인멸 등의 작업을 이행하는 것이므로 예전부터 이런 방법의 공격은 계속적으로 수행되어 왔을 것이다.
많은 공격기술들을 다양하고 긴 시간동안 그리고 여러 시스템들을 이용하는 것이라 개인보다는 특정 전문적인 단체들이 수행한다. 이를 사전예방하기도 발견하기도 쉽지 않다.
왜냐하면 발견되지 않는 것을 전제로 수행되기 때문이고 다음의 공격을 위하여 흔적은 인멸하기 때문이다.
공격 수행단계는 보통 표 2 와 같이 단계별로 수행된다.
따라서, 단계별로 대응방안을 마련해야 하는데, 편의상 사전(1~2단계)과 사후(3단계 이후)로 구분하여 효과적인 몇가지 방법을 소개한다.
① 사전: 외부에 오픈되어 습득되는 정보를 수집하는 사전준비, 사회공학적 방법으로 악성코드 배포를 목적으로 갖은 경로로 희생자가 걸려들기만을 바란다.
이 때 가장 많이 사용되는 경로가 메일과 악성코드 유포사이트이고 이는 스팸메일 방지시스템과 유해사이트 방지제품으로 상당부분의 악성코드 감염을 막을 수 있다.
스팸메일 방지시스템의 경우 스팸정보 블랙리스트 관리방법과 더불어 메일송신자의 수동확인 절차를 거치는 화이트리스 관리방법 기능을 제공하여 상당부분 악성코드 감염을 방지할 수 있고, 네트워크 기반 유해사이트 방지제품의 업무사이트를 제외하고 전부차단하는 화이트리스트 기반 웹접속 환경을 구축 및 운영한다면 대폭적으로 APT 사전방지 환경을 마련할 수 있을 것이다.
② 사후: APT공격은 다수의 공격기술, 해킹기술등을 이용하고 오랜 기간동안 조금씩 수행되는 경향이 있어 기존 탐지/관제 시스템으로는 탐지해내기가 쉽지 않다. 이런 경우 다양한 시스템들 및 네트워크 경로구간의 장기간 접속 및 이용에 대한 패턴DB를 관리하고 분석하는 시스템이 필요한데, SIEM(Security Information Event Management) 기반의 로그/이벤트 분석 시스템을 이용하여 다양한 시스템 및 네트워크의 로그/이벤트를 분석하여 진행되고 있는 APT를 탐지해내고 사후분석 작업에도 활용하면 유용할 것이다.
3) 내부직원에 의한 유출
내부직원에 의한 유출은 일반해킹에 의한 유출건수보다는 적은통계를 보이지만 피해규모는 훨씬 더 큰 것이 일반적이다.
그 이유는 대용량의 자료를 쉽게 접근할 수 있고 대부분은 대용량 저장장치에 의해서 유출하기 때문이다.
대응방안은 EndPoint(사용자 단말기) 관점에서 위협 및 대응기술을 뒤에 별도로 상세히 다룰 것이다.
4) 협력업체에 의한 유출
내부직원에 의한 유출방법과 유사하지만 사내 보안시스템의 이용을 강제화하고 각종 보안규정을 적용하는 데 있어 업무편의성에 밀려서 제대로 준수되지 않는 것에 가장 큰 발생원인이 있을 것이다.
이번 카드 3사의 1억건이 넘는 개인정보 유출건도 적지않은 보안시스템이 운영되고 있음에도 강제적으로 준수하게 하는 수칙적용을 간과했거나 기존의 보안정책을 예외시켜 발생한 것이다.
따라서 기본적인 보안정책과 보안시스템이 구비되었을 경우 효과적인 추가 대응방안을 다음과 같이 제시한다.
① 네트워크 접근제어: NAC(Network Access Control)라고 불리고 인증, 사용자단말기의 보안상태(필수 소프트웨어, 패치, 보안정책 준수상태)를 확인하여 네트워크의 접속을 허용 또는 차단한다.
이는 조직의 기존 보안시스템 및 보안정책을 반강제로 적용시켜주는 또하나의 보안시스템이다.
② 시스템 접근제어: SAC(System Access Control)이라고 불린다.
기존 관리자 및 사용자(협력업체 직원 포함)가 중요시스템을 관리 또는 개발을 위해 Direct로 접속했다면(Telnet, FTP, 터미널접속 등) SAC를 통해서만 접속할 수 있게 환경을 변경하고, SAC는 사용자와 시스템별로 접근제어 및 접속 후 모든 활동내역을 상세히 로깅 및 일부금지 활동을 실시간 차단하는 기능도 제공하여 기존 접근제어 및 Audit 시스템에 부가적인 기능과 보안성을 추가 향상시킬 수 있다.
정보유출 방지기술
앞서 정보유출 현황분석을 통해 정보유출 유형 및 특정 보안제품 또는 기술로 부가적이고 효과적인 몇몇의 대응기술을 살펴보았다.
지금부터 소개할 대응기술은 주로 본 특별기획의 취지에 맞는 EndPoint 기반의 내부직원에 의한 유출관련 ‘정보유출 방지기술’을 소개하고자 한다(주로 PC 및 노트북에 한정하여 논한다).
편의상 다음과 같이 분류하여 각 부분별로 중요기술을 소개한다.
1) 경로보안
정보유출 방지관점에서 ‘경로보안’이라고 함은 정보가 유출되는 네트워크 경로, 통신/저장장치의 경로에 대하여 허용, 차단, 로깅을 수행하여 정보유출의 예방과 방지 그리고 사후추적 기능을 제공함을 뜻한다.
경로는 크게 장치(통신장치와 저장장치)를 제어하거나 네트워크 이용에 따른 여러 서비스를 제어하는 두가지로 구분된다.
① Offline: 다양한 통신장치와 저장장치 그리고 저장장치의 적법하고 보안성을 높인 보안전용 저장장치인 “보안USB” 등이 있다.
통신장치의 경우 다양한 장치를 인식하는 것이 가장 중요한 기술이며 이를 위해 장치군(群)을 인식하거나 장치의 고유 Hardware ID, Serial Number를 인식하여 제어시 활용된다.
저장장치의 경우는 저장용량이 날로 늘어가는 추세로 인하여 가장 많이 이용되는 유출경로이고 그 중에 USB메모리가 가장 빈번한 유출방법으로 사용되고 있다.
USB형 저장장치는 스마트폰, 카메라, 메모리스틱, 이동형 HDD 등 그 종류가 매우 다양하기 때문에 단말기에 마운트되는 방식기준으로 제어하는 것이 일반적이며 필요에 따라 단말기에서 실행되는 프로그램의 제어방식도 부가적으로 사용되기도 한다.
마지막으로 보안USB는 공공기관 망분리 의무에 따른 안전한 자료이동 및 반출이슈로 인하여 생겨난 보안기술 및 제품으로 USB 메모리 영역을 구분하고 보안영역에 안전하게 암호화된 데이터를 저장시키고 USB 사용내역(자료복사)을 중앙으로 전송하도록 되어있다.
추가로 보안USB는 사용전 인증, 분실에 따른 원격삭제 또는 오남용방지, 무단반출방지 등의 보안기능을 제공한다.
Offline 경로보안에는 추가적으로 출력물 및 단말기 무단반출에 대한 이슈도 있다.
출력물에 경우 출력 자체를 허용 또는 차단이슈가 있지만 출력은 허용하되 보안사고 이후에 추적을 위하여 출력자의 의지에 상관없이 출력자의 소속, 출력자의 정보를 강제로 인쇄되게 하여(워터마킹), 사후추적 및 출력물에 오남용을 줄이는 효과도 기대할 수 있다.
단말기 무단반출은 단말기의 저장된 중요정보가 외부에서 무단으로 복사/유출되는 경우를 사전에 차단하고자 승인결제 시스템과 보안 Agent의 연동으로 팀장 또는 보안관리자에게 단말기의 반출을 사전에 승인결제하지 않으면 외부에서 단말기에서 어떠한 정보도 유출되지 못하도록 하는 것이다.
일부장치의 외부사용을 허용한다 하더라도 사용내역을 확인할 수 있다.
② Online: Online은 다양한 Web Service를 통해 유출될 수 있는 경로에 대하여 접속 자체를 차단하는 방식과 허용시 접속내용, 파일중심의 사본저장 과 같은 로깅부분으로 기술을 구분지을 수 있다.
접속자체를 차단하는 방식은 IP/Port 기준, URL기준 등의 방식이 있으며, 로깅방식은 접속내역, 본문(Content) 내역과 파일의 사본 등을 로깅하는 방식 등이 있다.
Online 유출경로 제어는 Offline 제어기술에 비해 훨씬 다양하고 신규서비스 및 프로토콜에 대하여 빠른 대응이 필요하다.
특히 SNS와 Web기반 클라우드 저장시스템으로의 접속 및 파일전송과 같은 최근 서비스를 신속하게 대응하는 기술이 요구된다.
2) 데이터 자체보안
데이터 자체보안은 크게 데이터의 내용에 따라 어떤 보안기술을 적용하는 것과(DLP) 암호화기술을 이용하여 데이터를 기본적으로 암호화시키고 인가자에만 열람 및 수정을 허락하는 기술로 구분된다(DRM).
① DLP(Data Leakage/Loss Prevention): 광의적으로 보면 데이터 유출방지라는 의미로 해석된다.
이는 기존 유출경로 기준으로 보안하는 기술과 추가로 데이터 내용을 기준으로 보안기술을 적용하는 기술이 더해진다.
예를 들어, 어쩔 수 없이 USB메모리 사용을 허락하고자 할 때 USB메모리로 복사되는 파일내용에 개인정보나 회사기밀 정보가 포함되어 있을 경우 실시간 차단을 수행하는 것이다.
이때 내용을 검색하기 위해 파일에서 텍스트를 추출하는 기술, 검색엔진 기술(Keyword, 정규식 표현) 등이 필요하다.
결론적으로 기존 정보유출 방지기술과 DLP의 가장 큰 차이점은 데이터(본문, 파일)의 내용을 기준으로 보안기술을 적용하느냐 마느냐에 있다. 보안기술은 강제암호화, 격리, 유출차단 등이 있다.
데이터 내용을 기준으로 보안기술을 적용할 때는 보통 다음과 같은 데이터의 상태를 기준으로 적용하는데, ‘수동적’으로 파일의 이용, 저장상태 등을 모니터링하는 수준과 실제 중요내용이 담긴 파일에 대하여 실시간적으로 유출을 차단하는 ‘능동적’인 제어기술이 존재한다.
② DRM(Digital Right Management): 암호화 기술을 이용하여 파일생성시부터 강제적으로 암호화되고 암호화된 문서는 인가자에 한해 또는 사용자 보안등급에 따라 열람 및 수정이 가능하도록 강제화시키는 관리방법을 일컫는다.
부가적으로 인증 및 파일열람 내역을 남기며 인쇄, 클립보드 저장방지, 화면캡처 방지기술 등을 적용하여 DRM 보안기술을 강화시킨다.
DRM은 데이터의 안전한 반출을 위하여 전용 파일뷰어를 제공한다.
이는 협력업체에 파일을 반출시는 경우 어쩔수 없이 파일을 복호화해야 할 때 추가적인 보안기술을 적용하여 보안기능을 강화시키는 역할을 하며 복호화된 파일은 전용 파일뷰어를 통해서 인증을 한 후에만 열람될 수 있고 파일의 비인가 출력행위 등을 사전에 차단된다.
즉, DRM 기술은 파일자체에 암호화를 적용하여 비인가자의 열람을 제한하고 외부로의 반출도 안전하게 수행할 수 있도록한다.
하지만 신규파일 타입과 무분별한 복호화가 이루어져 DLP와 같이 연동하여 운영된다.
3) 망분리
망분리는 사용자 단말의 네트워크 환경을 업무망과 인터넷망으로 분리하여 데이터의 이동을 제한하고 외부로부터의 악성코드를 내부로 전파되는 것을 매우 어렵게 만드는 효과를 보기 위해 네트워크 망을 분리시키는 것이다.
이 때 가장 많이 사용되는 방법은 먼저 망을 물리적으로 분리하고 사용자에게 2개의 단말기를 지급하여 각각 인터넷망과 업무망만을 접속/사용하게 만드는 것이다.
이외에 1대의 PC에서 가상의 PC를 만들어 사용하게 하는 방식과 중앙에 여러 대의 가상PC가 꾸며져 있는 서버를 구성하여 사용하게 하는 방식이 있다.
망분리 환경을 구축할 경우 안전한 데이터 이동을 위하여 보안 USB를 사용하게 하거나 2개의 망에 연결되어 있는 망연계솔루션을 이용해야 하는 등의 별도의 보안시스템 및 네트워크 물리적 분리작업이 필요하므로 비용이 적지 않게 소요된다.
기술트렌드 및 전망
1) 승인결제시스템
승인결제시스템은 한국만의 특수한 조직문화라고 생각한다. 이를 IT보안에서 응용하여 사용되는데, 조직 리더의 검토와 책임에 보안의 상당부분을 의지한다.
이웃한 일본에서도 보기드문 문화이자 시스템이다.
보통 기존(Legacy) 전자결제 시스템과 보안시스템과 DB연동 또는 XML로 연동하는데, 어떤 보안정책의 예외사항을 전자결제로 허락받으면 사번 또는 메일아이디와 같은 고유의 식별값을 기준으로 보안시스템의 정책이 실시간 변경되는 원리로 동작된다.
승인결제시스템의 장단점은 다음과 같다.
▶ 장점: 매우 복잡한 기준을 조직의 리더가 수동으로 직접 검토하여 필터링 효과가 크다.
예를 들면, 요청자의 업무나 지위를 고려하여 해당 예외신청이 적합한지, 반출하려는 파일이 적법한지를 기계적인 필터링보다 매우 정교하게 필터링 및 검토할 수 있다.
▶ 단점: 정교한 필터링이 가능하지만 어떨 때는 사소한 실수를 범하기도 한다.
다만, 모든 책임은 승인자에게 있기 때문에 항상 조심하기 마련이다. 책임 또한 승인자에 모두 귀결시키는 방법론이기 때문에 반드시 바람직하다고 할 수는 없다(그래서 조직들은 2단 또는 3단 결제시스템으로 운영하기도 한다).
끝으로, 승인결제시스템은 다음과 같은 용도로 사용된다.
▶ 단말기 사외반출시 승인결제: 무단반출시 보안시스템은 네트워크 및 각종 통신장치 및 저장장치를 차단한다.
▶ 특정파일을 USB로 복사시 승인결제: 개인정보 파일을 업무필요에 의해 USB로 복사가 필요하다면 미리 파일을 조직의 팀장과 보안관리자에게 복사신청을 하면 평소 DLP에 의해 차단되던 USB 복사경로가 예외처리된다.
2) Content Awareness
정보유출 방지기술에서 매우 중요한 기술의 변화 중 하나로서, 기존 단순한 유출경로 차단에서 내용의 중요도를 검사하고 차단하는 방식으로 변화한 것이다.
이 기술은 검색엔진기술, 인덱싱기술, 나아가서 유사도 검색, 파일해싱기술 등 매우 정교함을 요하는 기술들이 필요하게 될 것이다.
3) 제품간 기술융합(Convergence)
▶ 장치제어(이하 매체제어) Convergence: 보통 통합 PC보안이란 제품군이 있고 주기능이 매체제어이다.
하지만, DRM 제품도 나름대로의 보안홀을 위해 매체제어 기술을 포함하게 됐고, 매체제어 본연의 제품도 암호화라는 DRM의 원천기술을 취하게 되었다.
▶ DLP와 DRM: DLP는 보통 파일의 내용을 검토해서 실시간 보안유출 경로 상에서 유출되는 중요파일 유출을 차단한다.
즉, 내용기반으로 어떤 유출경로를 통해 파일이 유출되는 것을 차단하는데, 기존 DRM이 파일의 내용과 상관없이 암호화를 수행하던 것에서 중요파일만 암호화하는 방식으로 변화하기 시작했다.
또한 DLP도 기존 DRM이 암호화한 문서도 내용검사를 해야하기 때문에 DRM의 복호화모듈을 이용한다.
이처럼 각각의 영역/제품에서 서로의 중요핵심기술을 가져와 사용하는 기술융합이 일어난 것이다.
4) EndPoint 통합이슈
지금 기업에서는 사내메신저, 바이러스백신, 자산관리, NAC, PC보안, PMS, DLP, DRM, 보안USB Agent 등 보통 3~4개 이상의 Agent가 설치·운영되고 있으며 그들 모두 각각 다른 벤더의 제품일 것이다.
따라서 구축 및 유지보수(특히 장애나 업그레이드) 비용, 단말기 IT점유 문제(CPU, Memory, Network 사용율) 등에 있어 EndPoint Agent들의 통합이 절실히 요구된다.
적어도 매체제어, PC보안, DLP, NAC, 보안USB Agent 등의 정보유출 핵심기능을 제공하는 Agent들의 및 통합UI 이슈가 추진되고 있어 고객들과 관련업체들은 이를 예의주시고 있다.
마치며
서두에 정보유출 사고를 분석하여 이슈 및 넓은 의미의 대응방안을 살펴보면서 특히 EndPoint(사용자 단말)에서의 정보유출 방지기술을 열거해 보았다.
EndPoint에서의 정보유출은 내부직원에 의한 유출의 경우가 훨씬 더 심각하므로 각별한 주의 및 관리체계가 동반되어 관련 보안시스템이 적정하게 운영될 수 있도록 노력해야 한다.
클라우드, 빅데이터, 사물인터넷 등 대용량의 정보를 처리하는 기술과 이슈들이 쏟아지는 만큼 EndPoint 정보유출 방지기술 또한 관련기술들과의 융합 및 물리보안과의 융합들을 통해 더욱더 지능적이고 실시간적인 대응체계시스템이 개발되어 각각의 기술들과 맞물려 운영될 것이라 조심스럽게 예측해보며, 앞으로 기업, 국가, 기관, 나아가 국가 전체 차원에서 정보유출이 최소화되기를 희망한다.