1. DRM

- Digital Rights Management

- 내부 데이터를 보호하기 위해 만들어진 솔루션

- 디지털 콘텐츠의 저작권을 보호 및 관리하는 기술 (저작물의 유출 및 도용을 방지하고 저작권을 보호)

- 디지털 콘텐츠 : 문자, 음성, 음향, 이미지, 영상 등의 콘텐츠를 디지털의 형식으로 제작한것

- 내부에서 작성하고 만든 문서와 파일 등 모든 데이터들을 "잠금" 설정을 해서 회사 이외에서의 접근을 막거나 제한하도록 하며 외부로의 유출을 막음

- 사내 PC들이 DRM 서버에 연동되어 있어 DRM 에이전트(Agent)를 통해 데이터에 접근 및 수정 등 수행

 

1.1 장점

① 암호화

- 문서, 이미지 등을 생성한 후 저장할 때마다 실시간 암호화되어 잠금 설정 > 외부에서 데이터 확인 불가

- 암호화 해지를 위해 해지 요청을 보내 확인을 받아야 함 > 데이터 유출 시 최초 유출자 식별 가능

 

② 출력물 보안

- 문서를 출력할 경우 워터마킹(기업 로고, 작성자, IP 등)이 출력 > 워터마킹으로 최초 유출자 식별 가능

 

③ 융퉁성(확장성)

- 협력 기업과의의 업무협업이 필요한 경우 DRM 솔루션의 협업 기능을 이용 > 일일이 문서 암호화 해지 요청 불필요

- 재택, 원격 접속 등에도 솔루션 연동 가능

 

④ 로깅

- 문서나 파일 생성, 수정, 저장, 출력 등 접근이력이 로그로 남음

- 로그기록을 활용해 통계 생성 간편

 

1.2 단점

① 번거로움

- 문서나 데이터 반출을 위해 해지 요청을 보내고 승인을 받을 필요 > 번거로움 및 시간 소요 有

 

② 업데이트

- PC에 DRM 에이전트를 설치하여 DRM 서버와 통신 > DRM 솔루션 업데이트 必

 

2. DLP

- Data Loss Prevention

- 내부 데이터를 보호하기 위해 만들어진 솔루션

- 데이터 손실을 방지해 주는 기술

- 데이터의 흐름 즉, 데이터 이동경로를 감시하여 기업 내부의 중요 정보와 데이터 유출을 감시하고 기록

- 데이터 이동경로를 감시 중에 유출이 감지되었을 땐 이를 경고 혹은 차단하면서 데이터를 보호

 

2.1 장점

① 편리성

- 데이터의 흐름을 감시 > 사용자에게 투명하게 제공

- 외부로 데이터를 전송하여도 DLP에서 데이터 내에 주요 정보가 포함된 경우 차단

 

② 출력물 보안

- DRM과 마찬가지로 문서 출력 시 IP 등의 기록을 남김 > 최초 유출자 식별 가능

 

③ 로깅

- 데이터나 파일 등이 유통되는 과정을 기록

- 정책 위반에 대한 즉각적인 리포트를 받을 수 있음

 

2.2 단점

① 유출 정보에 대한 보호 불가

- DLP는 데이터의 흐름을 감시하고 차단 > 해당 경로가 뚫려버리면 데이터를 보호할 수 없음

- 유출된 정보와 데이터는 외부자가 즉시 확인 및 수정이 가능

 

② 우회 가능

- 데이터의 흐름만을 차단 > 다수 우회 경로로 접근 가능

 

③ 원격근무 시 보안기능 상실

- DLP는 기업 내부 시스템을 통제/관리하는 형태

 

3. 비교

DRM 구분 DLP
각 문서 단위로 권한 제어 동작 형식 데이터 분류 및 흐름 감시
문서 생성자가 적절한 권한을 부여 후 소멸 까지 적용 적용 개요 데이터 흐름을 감시하여 데이터 유출 감시 및 차단
기존 Office Application 업무 환경 방식에 변화를 주어 영향을 준다. 종속성 벤더 및 어플리케이션 중립적이므로 다양한 컨텐츠 감시 및 차단 가능
- 외부 유출 시에도 문서 보호
- 그룹웨어 등 커스터마이즈 가능
장점 - 사용자에 투명하게 동작
- 포괄적 보호로 다양한 유출 경로, 다양한 파일 형식 지원
- 내용 인식 및 추적이 가능
- 세분화 된 문서, 정보 암호화 
- 잠금해지요청기록으로 유출자 색출
- 워터마킹으로 저작권 및 정보보호
보안성 - 큰 영역 암호화 하나 유출된 정보는 보호가 불가능하다.
- 통로에 주요 정보가 있을 시 차단
- 내부 우회로 유출이 가능
- 편의성이 떨어지지만 안전성이 높다
- 문서 생성 및 저장 시 기록된다
- 협업 시 다양한 DRM 솔루션들로 근무 환경 개선한다.
효율성 - 편의성이 있다
- 보안 정책 위반에 대해 즉각적인 리포트
- 경로 확인가능
- PC DRM Agent 로그인 시 별도 작업 없이 실시간으로 잠금
편리성 - 경로 확인 가능
- 업무와 무관한 사이트 제어

 

'보안 장비 > 기본' 카테고리의 다른 글

이중화구성  (0) 2022.08.19
IPS #1  (0) 2022.07.28
IDS #1  (0) 2022.07.27
방화벽 #1  (0) 2022.07.08

1. 이중화란

- 시스템의 가용성을 높이기 위해 장비를 다중화하는것.

- 즉, 고가용성(HA, Hight Avaliability)을 목표로 함.

- 2대의 장비를 사용하여 1대의 장비에 문제나 장애가 발생할 경우 다른 1대를 이용해 서비스를 제공함.

- 가용성 : 서버, 네트워크, 프로그램 등의 정보 시스템을 정상적으로 사용가능한 정도

2. 이중화 방식

1) Active - Active

- 다중화된 장비를 모두 사용.

- 부하분산 목적으로 주로 사용.

- 장점 : 처리 가능한 용량의 증가

- 단점 : 초기 구성이 복잡, 높은 운영 비용, 장애 발생 시 처리 용량이 절반으로 줄어듦

[캡쳐 1] Active - Active

2) Active - Standby

- 일반적인 HA 형태

- 다중화된 장비 중 1대는 Active 형태로, 다른 1대는 Standby 형태로 사용.

- Active 장비에 문제나 장애가 발생할 경우 Standby 장비를 Active로 동작.

- 장점 : 장애 발생 시 유연한 대비가 가능

- 단점 : 자원의 비효율성

Hot Standby Standby 장비 가동 후 즉시 이용 가능한 구성
Warm Standby Standby 장비 가동 후 즉시 이용은 불가능 하지만, 어느정도 준비가 갖추어져있는 정도
Cold Standby Standby 장비를 정지 시켜놓음.

 

[캡쳐 2] Active - Standby

3. 이중화 목적

1) 장애 및 재해 시 빠른 서비스 재개(Failover)

- Fali-Over(장애 극복 기능) : 서버, 시스템, 네트워크 등에 이상이 생겼을 경우 예비 시스템으로 자동 전환되는 기능

- 서비스에 장애가 발생할 경우 사용자가 인지하지 못하도록 하며, 재빠른 대응을 위함

2) 원할한 서비스 제공(Load Balancing)

- Load Balancing(부하분산) : 하나의 시스템으로 트래픽이 몰릴 경우 트래픽을 나누어 처리률을 향상 시킴

- 하나의 시스템에 트래픽이 몰려 응답시간이 느려지는 등의 문제를 해결하기 위함

'보안 장비 > 기본' 카테고리의 다른 글

DRM과 DLP  (0) 2022.11.21
IPS #1  (0) 2022.07.28
IDS #1  (0) 2022.07.27
방화벽 #1  (0) 2022.07.08

1. IPS (Intrusion Prevention System) 이란?

- 침입 방지 시스템 (IDS + 차단 기능)

- 외부망에서 내부망으로 유입되는 악성패킷에 대하여 탐지 및 방어를 능동적으로 수행하며, 실시간으로 탐지/방어하는 솔루션

2. 동작방식

[캡쳐 1] https://wonin.tistory.com/356

① 트래픽 유입

② 무결성 검사 필터 (1차)

③ 유해 트래픽 검사 필터 (2차)

④ ②, ③에 의해 필터링 된 트래픽에 대해 "정책"과 비교

⑤ 정상 트래픽은 통과 시키며, 정책과 일치하는 트래픽이 있을 경우 차단 및 로깅

3. 종류

데이터 수집 방식 네트워크 - 네트워크 기반 IPS (NIPS)
- 네트워크 구간에 설치
호스트  - 호스트 기반 IPS (HIPS)
- 호스트(서버)에 직접 설치
탐지 방식 오용탐지 - 패턴 기반 탐지
이상탐지 - 정상 프로파일의 범위를 벗어날 경우 탐지

4. 구성 방식

- 대부분 In-Line 방식으로 방화벽 뒤에 설치하나 협의와 회의를 통해 내부 환경에 맞는 위치에 설치

5. 방화벽, IDS, IPS 비교

구분 FireWall IDS IPS
목적 접근 통제 및 인가 침입 여부 감지 침입 이전의 방지
패킷 차단  O X O
패킷 내용 분석 X O O
오용 탐지 X O O
오용 차단 X X O
이상 탐지 X O O
이상 차단 X X O
장점 엄격한 접근 통제
인가된 트래픽 허용
실시간 탐지
사후분석 대응기술
실시간 즉각 대응
세션 기반 탐지 가능
단점 내부자 공격 취약
네트워크 병목현상
션형 패턴에 대한 탐지 어려움 오탐 발생 가능
장비 고가

 

'보안 장비 > 기본' 카테고리의 다른 글

DRM과 DLP  (0) 2022.11.21
이중화구성  (0) 2022.08.19
IDS #1  (0) 2022.07.27
방화벽 #1  (0) 2022.07.08

1. IDS (Instrusion Detection System) 이란?

- 침입 탐지 시스템

- 외부망에서 내부망으로 유입되는 악성패킷에 대하여 탐지해 담당자에게 통보하는 기능을 수행

2. 동작방식 및 장단점

2.1) 동작방식

데이터 수집 탐지 대상(패킷 등)으로부터 생성되는 데이터를 수집
데이터 가공 및 축약 수집된 데이터를 분석이 가능하도록 의미 있는 정보로 변환
침임 분석 및 탐지 기존에 정의한 룰과 비교하여 침입 여부 판별
보고 및 대응 칩입으로 판정 시 관리자에게 보고 및 적절한 대응

 

2-2) 장단점

장점 - 해킹에 대한 침입탐지시스템보다 적극적인 방어 가능
- 내부 사용자의 오, 남용 탐지 및 방어 기능
- 해킹사고 발생 시 어느 정도의 근원지 추적 가능
단점 - 대구모 네트워크에 사용 곤란
- 관리 및 운영 어려움
- 새로운 침입기법에 대한 즉각적인 대응 곤란
- 보안사고에 대한 근본적인 해결책은 되지 못함

3. 종류

탐지방법에 따른 분류 행위기반 - "규칙 기반 침입탐지" 혹은 "오용탐지"라고도 표현
- 기존에 설정한 패턴을 바탕으로 패킷을 분석해 일치 혹은 유사 시 침입으로 판단
- 장점 : 낮은 오탐률, 전문가 시스템 이용, 트로이목마와 백도어 탐지 가능
- 단점 : 패턴 업데이트 필요_패턴이 없는 유형에 대해서는 탐지가 불가
지식기반 - "통계적 변형탐지", "비정상 행위 탐지"라고도 표현
- 정상 범위에 대한 프로파일을 설정 후 해당 범위를 벗어날 경우 탐지
- 장점 : 패턴업데이트 불필요, Zero-Day Attack 탐지 가능, 침입 이외 시스템 운용상 문제점 발견 가능(내부 정보 유출)
- 단점 : 높은 오탐률, 정상과 비정상을 구분할 임계치 설정이 어려움
대응방법에 따른 분류 수동적 - 침입을 탐지하였을 때 별도의 대응 없이 관리자에게 통보
능동적 - 침입을 탐지하였을 때 스스로 대응을 수행하여 공격을 막거나 방어
데이터 수집원에 따른 분류 네트워크 - 네트워크 기반 IDS (NIDS)
- 네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그 등)를 분석하여 침입 판단
- 감지기가 promisecuous mode에서 동작하는 네트워크 인터페이스에 설치
- 장점 : 초기 구축 비용 저렴, OS에 독립적-구현/관리 용이
- 단점 : 암호화 패킷 분석 불가, 패킷 손실율, 호스트 상에서 수행되는 행위 탐지 불가
호스트 - 호스트 기반 IDS (HIDS)
- 호스트 시스템으로부터 생성,수집된 감사 자료를 침입 탐지에 사용
- 여러 호스트로 부터 수집된 감사 자료를 이용할 경우 "다중 호스트 기반"이라 함
- 장점 : 정확한 탐지, 다양한 대응책, 암호화 및 스위칭 환경에 적합, 추가적인 하드웨어 불필요
- 단점 : OS에 종속적, 시스템 부하 유발 가능, 구현의 어려움
탐지방법에 따른 분류 사후 분석 - 수집된 데이터를 정해진 시간에만 분석
- 즉시 대응이 어려움
실시간 분석 - 실시간 정보수집, 칩입 탐지 수행 및 이에 대응하는 대비책 수행

4. 구성 방식

In-Line 방식 - 연결된 네트워크를 통과하는 모든 트래픽이 거쳐 가도록 하는 모드
- 모든 트래픽을 확인할 수 있다는 장점과 네트워크 성능 저하 및 장애 발생에 따른 가용성 보장 불가한 단점
 
Span 방식
(Mirroring)
- Mirroring 기능을 제공하는 스위치 허브를 통해 트래픽을 복사한 뒤 분석
- 네트워크 구성 변경 없이 모니터링이 가능하나, 트래픽이 몰릴 경우 누수가 발생할 수 있음
TAP 방식
(Test Access Port)
- TAP : 네트워크 상에서 전송되는 패킷의 흐름에 영향을 주지 않고 패킷을 복사해 손실 없이 모니터링 하는 장비
- Mirroring 기능을 수행하는 네트워크 전용 장비를 통해 트래픽을 복사한 뒤 전달
- TAP 장비에 장애가 발생하거나 전원이 차단되는 경우 ByPass 모드로 동작되어 네트워크 흐름이 끊기지 않음

 

'보안 장비 > 기본' 카테고리의 다른 글

DRM과 DLP  (0) 2022.11.21
이중화구성  (0) 2022.08.19
IPS #1  (0) 2022.07.28
방화벽 #1  (0) 2022.07.08

1. 방화벽(Firewall) 이란?

외부로부터 내부망을 보호하기 위한 네트워크 구성요소 중 하나로 

미리 정의된 보안 규칙을 통해 외부에서 들어오고 나가는 트래픽을 모니터링하고 제어하는 것

 

2. 방화벽의 기능

기능  
접근통제
(Access Control)
외부에서 내부망으로 접근하는 것을 패킷필터링을 통한 통제
* 패킷필터링 : IP, Port를 이용해 패킷을 허용/차단하는 방식
인증
(Authentication)
트래픽에 대한 사용자의 신분을 증명
* 메시지인증 : VPN과 같은 신뢰할 수 있는 통신선을 통해 전송되는 메시지 신뢰성 보장
* 사용자 인증 : OTP, 토큰기반, 패스워드기반
* 클라이언트 인증 : 접속을 요구하는 호스트 자체에 대해 인가된 호스트인지 확인
감사 및 로그
(Auditing & Logging)
방화벽에 대한 설정 변경, 방화벽을 지나는 패킷 등을 로그로 기록
프록시
(Proxy)
보안정책에 따라 실제 서비스를 제공하며,
클라이언트를 요청을 받아 서버에 전달하고 결과를 수신받아 클라이언트에 전달
NAT
(Network Address Translation)
출발지 IP 또는 목적지 IP를 전송단계에서 변경하여 전달
암호화 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화
*보통 VPN 기능을 이용

3. 세대별 방화벽

분류  
1세대 방화벽
패킷필터링
미리 정해진 규칙에 따라 IP와 Port 정보를 이용해 접속제어를 수행하며 3~4계층에서 동작
* IP와 Port 정보만을 이용해 패킷단위로 제어를 수행하여 속도가 빠르나 Spoofing 공격에 취약
2세대 방화벽
Stateful Inspection
세션 단위로 패킷에 대한 검사가 수행됨
TCP 연결에 관한 정보를 상태 테이블에 기록 후 이를 이용해 접근 허용여부를 결정
* 상태테이블을 기록을 위한 자원 필요, 첫 패킷 헤더 공격당할 경우 잘못된 상태 테이블 구성
3세대 방화벽
애플리케이션 방화벽
패킷의 내용을 검사하고 나아가 애플리케이션에 미치는 영향을 분석하는 방화벽
* WAF
*추가*
프록시 방화벽
응용 수준 방화벽 시스템 (Application gateway)
* 내부 시스템과 외부시스템 간에 방화벽의 Proxy만을 통해 연결이 허용
* OSI 7계층에서 동작, 서비스별로 Proxy 데몬이 존재
* Proxy는 로깅, 감사 기능 및 패킷 내의 콘텐츠를 제어 -> 부하 / 더 많은 검사를 수행 -> 안전
* 애플리케이션 방화벽은 패킷 내용 검사 및 애플리케이션 계층까지 분석

회로 수준 방화벽 시스템 (Circuit gateway)
* OSI 5~7계층에서 동작
대표 프록시가 존재
* 클라이언트 프로그램이 필요하다 -> 사용자에게 투명한 서비스를 제공, 내부 IP 주소 보호
* 프로그램 배포 및 관리가 번거로운 단점

 

'보안 장비 > 기본' 카테고리의 다른 글

DRM과 DLP  (0) 2022.11.21
이중화구성  (0) 2022.08.19
IPS #1  (0) 2022.07.28
IDS #1  (0) 2022.07.27

+ Recent posts