본문 바로가기

Work Log/As Cybersecurity Consultant

[보안제품 소개] CMF/DLP - 1

내부정보 유출과 관련된 보안제품 중 가장 많이 거론되는 제품이 CMF(Contents Monitoring and Filtering)/DLP(Data Loss Prevention) 솔루션입니다. 기업이나 공공 등의 조직 내에서 발생한 중요한 정보들이 외부로 유출되지 않도록 네트워크를 통제하거나 사용자 PC를 통제하는 솔루션을 말합니다.

해외의 경우에는 Symantec의 제품처럼 하나의 벤더사 제품이 네트워크나 단말(PC 등)을 통합관리하는 형태로 구성이 되어 있는 경우도 있고, 네트워크나 단말 중 한 쪽만 제어하는 솔루션을집중하여 개발하는 벤더도 있습니다. 국내의 경우 아직은 네트워크 쪽만 개발을 하는 업체와 PC 관련 부분을 개발하는 업체가 별개로 있는 것으로 알고 있습니다.

아직 어떤 솔루션을 말하는 것인지 잘 모르시는 분이 많을 것 같아서 좀 더 상세한 예를 들어보도록 하겠습니다. 요즘엔 회사에서 발생하는 모든 정보들이 전자문서 형태로 존재합니다. 문서파일인 경우가 많을테고, 제조업체 등의 경우에는 도면인 경우도 있겠지요. 이런 파일들은 이메일이나 메신저와 같은 어플리케이션을 사용하여 네트워크를 통하여 쉽게 외부로 유출이 가능한 환경에 노출이 되게 됩니다. 그리고 사용자 PC에서 USB 등의 인터페이스를 통하여 정보를 외부로 반출할 수도 있겠지요. 국내에서는 흔히 메일 모니터링 솔루션이나 메신저 모니터링 솔루션, 웹모니터링솔루션, PC보안 제품으로 구분되고 있는 솔루션입니다.


우선 네트워크를 모니터링하는 제품에 대해서 알아보도록 하겠습니다.

글이 도움이 되신다면 위의 손가락 한방 꾹! 눌러주세요~

기본 기능

일반적으로 어플라이언스 형태로 구성이 됩니다. TAP 장치로 미러링을 하거나, 스위치에서 제공하는 미러 기능을 사용하거나 해서 해당 망의 네트워크 트래픽을 스니핑 하여 모니터링 하도록 구축이 됩니다. 어느 망에 위치하는지에 따라서 모니터링이 되는 구간이 있고, 그렇지 않은 구간이 발생할 수가 있습니다. 외부로 나가는 트래픽만 모니터링 한다는 것을 고려하여 네트워크 트래픽도 구축 시에 확인해야 할테구요.

조직 내부의 전자문서 형태로 유통이 되는 정보가 네트워크를 통하여 외부로 전송이 되는 경우 다양한 정책을 적용하여 차단하거나 로깅하거나 하는 기능을 제공합니다. 암호화와는 관련이 없지만 정보의 기밀성을 보호할 수 있도록 지원하는 것이 보안목적이라고 할 수가 있겠습니다.

기술적인 관점에서 보면 네트워크 패킷의 IP 헤더의 목적지 IP나 TCP 헤더 중 포트번호를 확인하여 정해진 IP나 포트를 기준으로 모니터링 하거나 필터링을 하는 것입니다. 그리고 모니터링 대상인 패킷의 경우 누가 언제 어디로 어떤 정보를 보냈는지를 별도로 로깅을 하여 사후에 감사를 할 수 있도록 하고, 첨부파일 등의 내용 중 중요한 단어가 포함이 된 경우 별도로 필터링 할 수 있도록 기능이 제공되기도 합니다.

네트워크 패킷을 확인하여 필터링을 하기 때문에 예전엔 암호화 된 트래픽을 처리하지 못한다는 단점이 있었는데요, 최근에는 Proxy 형태로 구성을 할 수 있어서 이러한 단점들이 해결이 되고 있습니다.

해당 제품의 사용자 관점에서 보면 이메일이나 메신저, 웹메일, FTP, Telnet 등 외부로 정보를 전달할 수 있는 프로토콜을 통한 정보 유출을 차단하거나 모니터링할 수 있게 해주고, 업무에 불필요한 사이트나 정보를 유출할 수 있는 웹하드 등의 사이트의 접속을 차단하고 모니터링 할 수 있게 해줍니다.


구축 시 유의사항

제가 직접 구축을 해본 적은 없습니다만, 내부정보유출 관련 컨설팅 등을 진행하면서 생각한 부분들을 적어보겠습니다.

- 구축 근거가 되는 보안 정책이나 모니터링 근거
- 네트워크를 확인하여 VPN구간 등 빠지는 구간이 없는지 확인
- 모니터링 결과로 트래픽에 대한 로그나 파일에 대한 로그가 아주 많이 발생하기 때문에 이에 대한 보존기간이나 스토리지쪽 확장방안 등을 확인이 필요하고 로그가 쌓이는 서버의 성능도 중요합니다. 
- 로그를 남길 때에는 책임추적성을 고려해야 합니다. 네트워크에서의 식별은 IP로만 가능한데 해당 IP를 누가 사용했는지를 지속적으로 확인 할 수 있도록 해야 합니다. DHCP환경의 경우 다른 솔루션과 연계하여서 계정정보를 어떤 방식으로 최신으로 유지하고, IP와 ID/사번 등을 매핑하여 로깅할 것인지 등을 고민해야 할 것입니다.
- 기술적인 한계로 인한 취약점이 어떤 것이 있는지, 해결 방안이 있는지 확인
- 업무를 위하여 예외를 두는 경우 예외자에 대한 관리나 예외자의 단말기가 오용될 여지는 없는지
- 차단 정책에 대한 목록(웹사이트 목록, 메신저 목록) 등을 최신으로 유지하기 위한 방안
- 모니터링하는 담당자의 경우 수집 된 많은 정보에 접근이 가능하기 때문에 사용하는 단말이 고립되는 것도 중요할 것입니다.


더 고려해야 하는 사항들에 대한 의견을 주시면 업데이트 하도록 하겠습니다 :)