본문 바로가기

Work Log/As Cybersecurity Consultant

[보안제품 소개] CMF/DLP - 2

앞선 CMF/DLP - 1 포스팅에서는 네트워크를 제어하고 모니터링 하는 부분에 대해서 아는 바를 적어봤습니다. 이 번에는 End Point(단말, PC)를 제어하는 솔루션에 대해서 적어보겠습니다.

기본기능

PC를 제어하는 제품이기 때문에 PC에 설치되는 에이전트와 별도의 관리서버로 구성이 되고, 보안 USB를 위한 에이전트가 별도로 존재하기도 합니다.

자료유출방지 제품이나 PC보안제품 등으로 불리기도 하는 단말 제어를 하는 CMF/DLP 솔루션은 사용자PC에 저장된 자료입니다. 이런 자료들을 외부로 반출할 수 없도록 여러 인터페이스들을 제어하는 기능들을 제공하구요. 그래서 주요 보안 목적은 '기밀성'이라고 할 수 있겠지요. 최근에는 개인정보에 특화하여 단말에 저장된 개인정보가 어떤 것들이 있는지를 검색하여 통합관리 할 수 있는 솔루션도 있습니다.

기술적인 관점에서 기능을 살펴보면 아래과 같습니다.

- 미디어 접근통제: 관리자가 설정한 정책에 기반하여 보조기억매체 및 데이터 전송장치에 대한 읽기/쓰기 등의 활동을 통제

- 프로세스실행통제: 관리자가 설정한 정책에 기반하여 특정 프로그램을 실행 또는 실행거부 하는 등의 통제 기능을 제공

- PC설정제어: 관리자가 설정한 정책에 기반하여 제어판 레지스트리에 대한 읽기를 허용/차단하거나 IP/Proxy 설정에 대한 레지스트리 값의 쓰기를 허용/차단, 강제 잠금기능을 사용하여 개별적인 화면보호기 설정과 별개로 세션 잠금 기능 실행, 운영체제의 암호나 공유폴더 등을 강제 설정

- 네트워크흐름통제: 유출입되는 패킷의 방향, 프로토콜, 포트, IP주소 등의 정보에 기반한 흐름통제, URL 정보에 기반한 흐름통제, 웹 등 외부로 데이터 전송이 가능한 프로토콜을 사용하여 외부로 전송되는 데이터의 크기 등의 속성 정보에 기반한 데이터 전송 통제

크게 보면 몇가지 안돼 보입니다만, 각 카테고리에 해당하는 경로들이 매우 많고, 점점 늘어나기 때문에 고려 할 사항들이 많습니다.

글이 도움이 되신다면 위의 손가락 한방 꾹! 눌러주세요~

구축 시 유의사항

아래의 유의 사항을 제공하는 기능 및 기술관점에서 분석해 본 부분들이기 때문에 현재 버전의 상용제품에서는 이미 대안이 제공되고 있을 수가 있겠습니다. 

- 유출 가능한 유선/무선 장치, 매체, 네트워크 프로토콜이 지속적으로 늘어나지만 제품에서 반영하는 속도가 기술발전을 따라오지 못하는 경우가 있습니다. 예를 들어 HSDPA나 Wibro 등의 서비스가 나온 초기에 해당 단말기에 대한 제어를 지원하지 않았었지요

- 노트북을 외부로 반출하여 네트워크에 연결한 후 제약 없이 사용이 가능하거나 예외적으로 허용되는 경우가 있을 수가 있어서 제어가 안되는 경우가 발생할 수가 있습니다.

- 사용자 PC인 Windows가 시작될 때에 함께 프로세스가 실행 되도록 설계되어 있으나 msconfig 등의 기본 설정 프로그램에서 해당 서비스를 올라오지 않도록 설정변경을 하면 실행이 안되는 경우가 발생할 수가 있습니다. 

- 강제로 프로세스를 종료하여 무력화할 수 없도록 구현이 되어 있으나, 해당 프로세스들을 관제하는 프로세스를 종료시키는 경우를 막지 못하거나, 작업관리자가 아는 외부 프로세스 관리 툴을 사용하여 프로세스를 종료하는 경우에는 프로세스가 종료가 되는 경우가 있습니다.

- 운영체제를 여러 개 설치하여 PC보안 제품이 설치가 안된 운영체제로 부팅하여 사용하는 경우에는 어떻게 대처할 수가 있는지 확인이 필요합니다. 또는 다른 솔루션에서 사후 감사라도 되는지 확인을 해야겠지요

- 물리적으로 HDD를 탈부착이 가능하도록 되어 있으면, HDD를 다른 PC에 연결하여 자료를 유출 할 수가 있겠습니다. 데이터가 매우 중요한 곳에서는 HDD를 암호화 하기도 하고, 일반적인 경우 봉인스티커 등을 활용하여 탈부착을 감시하는 경우도 있습니다. 이런 대안들을 검토할 때에는 AS 등 실제 PC 사용 시에 발생 가능한 경우들을 확인 해 봐야겠지요

- 매체 등의 승인을 시간 기준으로 하는데, 예전에 승인을 받았던 시간으로 PC 시간을 돌려서 사용하는 경우가 가능한 경우가 있었습니다. 그래서 현재는 PC 시간 변경을 하지 못하도록 기능 제공하는 제품이 많습니다.

- 과거에는 매체 제어 기술의 차이로 어플리케이션 수준에서 매체 제어를 하는 경우 제어가 되는 프로그램과 제어가 안 되는 프로그램이 존재하였습니다. 현재는 대부분 장치 드라이버 수준에서 제어를 하기 때문에 프로그램에 관계 없이 제어하는 것으로 알고 있습니다

- 물리적인 보안이 정책적으로 낮은 수준인 경우 PC를 허가 없이 무단 반출하는 경우가 있는데, 이 경우를 다른 솔루션들을 통해서 감사가 가능한 지 확인을 해야겠습니다.

- PC보안 제품은 임의로 삭제를 할 수 없도록 되어있으나, 실제 Uninstaller가 암묵적으로 유통되는 경우가 있습니다. 그래서 사용자가 필요 시에 삭제를 하고, 재설치 하는 경우가 있습니다

- 가상PC 제품인 VMWare나 Virtual PC 등을 설치하여 PC보안이 설치가 되지 않은 OS 상에서 저장매체로 파일을 유출할 수가 있었습니다. 현재는 대부분의 개발사에서 인지하고 이런 우회경로를 모두 차단하였습니다만, 제어 기술의 부족한 부분이 있는지 검토를 해봐야겠지요