경찰청 2018년 사이버위협 분석보고서 (기업 사례 및 전망)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.28 06:30 / 카테고리 : 차세대 위협감지 - 다크트레이스



경찰청에서 2018년도 사이버위협 분석보고서가 발간되었습니다. 이 중에서 기업 보안과 관련이 있는 내용과 이를 예방하기 위한 방법에 대해서 알아보겠습니다. (기업 보안 관련 내용)



▣ 사이버 범죄 동향

2018년 전체 사이버범죄는 149,604건이 발생했으며, 2017년도(131,734건)에 비해 약 13.6% 증가 하였다. 해당 발생건수는 최근 5년 내 최고치(2016년 153,075건)에 근접한 수준으로, 주춤 했던 증가 추세가 다시 이어지고 있습니다. 





▣ 주요 사이버 범죄 사건

1. 가상화폐 채굴 악성코드 유포사건 - 크립토재킹(Crytojacking)

’17년 10월부터 12월까지 검거된 4명의 피의자들은 구인구직 사이트에서 수집한 이메일 계정 32,435개에 해킹메일을 발송하였습니다. 메일에는 ‘귀사 채용에 지원하고 싶다’는 내용과 악성코드가 포함된 이력서 문서파일이 첨부되어 있었으며, 악성코드가 포함된 문서를 실행하면 가상화폐 ‘모네로’ 를 채굴하는 프로그램이 PC에 설치됩니다. 피의자들은 6,038대 PC를 악성코드에 감염시켰으며, 사용자 몰래 중앙처리장치(CPU)의 50%를 강제 구동시켜 가상통화를 채굴하였습니다. (’18년 11월, 경찰청 사이버안전국)






피의자들은 이력서로 위장한 문서파일을 구직사이트에 게시된 기업 인사담당자에게 발송시켜 6,038 대 PC에 크립토재킹 악성코드를 감염시키는데 성공하였고, 악성코드가 감염된 PC들은 가상통화인 ‘모네로’ 채굴에 사용되었습니다.


‘모네로’는 일반적인 가상통화와 달리 거래내역을 추적하기 어렵도록 설계된 가상통화로, 범죄에 주로 사용되고 있습니다. 피의자들은 실제 모네로 2.23코인(당시 약 100만원) 을 채굴하기도 하였으나 악성코드 제작에 사용된 서버가 경찰의 추적에 발각됨에 따라 검거되었습니다.


이러한 크립토재킹 악성코드에 감염되면 컴퓨터의 성능이 저하되는 것 이외에도 컴퓨터 자원을 과도하게 구동시켜 전기요금이 폭증하게 됩니다. 만일 국가 기반시설의 PC에 유포될 경우 큰 손실로 이어질 수 있는 위험한 범죄입니다.




사이버보안업체인 안랩(Ahnlab)은 2018년 상반기 중 가장 큰 보안위협을 크립토재킹으로 선정했고, 해외 사이버보안업체인 파이어아이(FireEye)는 크립토재킹에 노출된 위협이 4번째로 높은 국가로 한국을 지정하기도 하였습니다.



▣ 크립토 재킹 악성코드 유포방식

크립토재킹은 해킹 대상자가 보안이 취약한 사이트에 접속할 경우 가상통화 채굴 명령어가 자동실행되는 ‘워터링홀’ 공격에 의해 주로 감염됩니다.


워터링 홀 공격이란 사자가 먹이를 잡기 위해 물웅덩이(WATERING HOLE) 근처에 매복하고 있다가 먹잇감이 물에 빠지면 공격하는 모습에서 유래된 용어로, 공격 대상과 관련이 있거나 자주 방문하는 사이트에 악성코드를 심어 이들이 접속하는 경우 감염시키는 수법을 말합니다.


웹사이트에 채굴 스크립트를 몰래 심어 넣고, 사용자가 접속을 하면 접속한 PC나 스마트폰에서 가상통화가 채굴되는 명령어가 자동 실행되는 방식입니다. 사용자 입장에서는 웹사이트 접속만으로 감염되고 악성코드 파일이 눈에 보이지 않기 때문에 피해사실을 인지하기 어렵습니다.


또한 대량으로 발송되는 스팸메일을 열어 보았을 경우에도 크립토재킹에 감염될 수 있습니다. 이렇게 발송된 스팸메일에는 채굴 명령어가 자동 실행되는 웹사이트로 접속을 유도하는 링크가 있거나 웹페이지 화면이 자동 실행되는 HTML 파일이 첨부되어 있습니다.




2. IP 카메라 해킹 사건

웹프로그래머인 피의자는 국내 반려동물 사이트 및 IP카메라 판매업체를 해킹하여 IP카메라 정보 12000여건을 탈취하였습니다. ’14년 6월부터 ’18년 10월 유출한 IP카메라 정보를 이용하여 264개 IP 카메라에 침입하였으며 그 과정에서 226건의 사생활이 담긴 영상을 저장하여 보관하였습니다. (’18년 11 월, 경찰청 사이버안전국)


IP카메라는 일반 가정에 개인이 설치할 수 있는 사물인터넷(IoT) 기기로 컴퓨터와 결합될 수 있으며 기기에 자체 IP 주소가 있어 네트워크를 연결할 수 있는 곳에 설치가 가능합니다. 


IP카메라는 주로 반려동물, 자녀 관찰, 보안 등을 위해 설치되고 있으며 그 숫자가 증가하는 추세입니다. 범죄자들은 보안 취약성을 악용해 피해자들의 IP 카메라에 몰래 접속한 후 사생활을 엿보거나 불법 촬영하는 범죄가 발생하고 있습니다. IP카메라를 통한 불법촬영은 가정집 · 사무실 · 미용실 · 옷가게 · 식당 등 IP카메라가 설치된 장소면 어디든 발생할 수 있습니다



해커는 IP카메라의 모든 권한을 획득하기 때문에 카메라 이동, 각도조절, 줌 기능 등을 이용해 카메라를 직접 조작할 수도 있습니다. 


피의자는 △비밀번호 설정 없이 사용하거나 제품 구입 당시 설정된 기본 계정과 비밀번호를 사용 하고 있거나, △0000, 1234와 같이 쉬운 비밀번호를 설정한 곳을 IP카메라를 타겟으로 하였습니다. 또 피의자들은 인터넷 게시판과 카페 등을 통해 유출된 IP카메라의 인터넷 주소를 알아내 아이디와 비밀번호를 넣어 접속하기도 하였습니다.




▣ 2019년 주요 사이버 위협 전망

1. 공급망 공격(Supply Chain Attack)의 지능화

보안프로그램 설치, 소프트웨어 업데이트 등을 활용한 공급망 공격이 보다 지능화 될 것으로 예상됩니다.


최근 국내 IT 업체들에 대한 공급망 공격이 증가하고 있습니다. 공급망 공격이란 소프트웨어 업체가 제작하는 프로그램(보안프로그램, 금융서비스 프로그램 등)에 대한 해킹을 통해 접근 권한을 먼저 확보하고 프로그램 제작단계에서 악성코드를 침투 시킨 후 정상적인 업데이트 등으로 위장하여 악성코드를 감염시키는 기법입니다.



많은 고객사를 거느리고 있는 IT 솔루션의 경우 개발 소프트웨어 제작 및 업데이트 단계에서 악성코드를 심어두면 많은 기업들에 손쉽게 침투할 수 있습니다. 대형 업체들의 경우 보안이 매우 잘되어 있어 해커가 직접 침투하는 것이 어렵지만 프로그램의 업데이트 취약점을 찾아 침투시킬 경우 기업의 보안과 상관없이 악성코드 감염이 가능합니다. 


이러한 공급망 공격은 ’19년엔 더욱 지능화되어 증가될 것으로 예상됩니다. 공격 형태도 특정 기업에서 사용하는 소프트웨어를 타겟으로 하여 소프트웨어 제작 단계에서 감염시키는 형태특정 기업의 IP에서만 동작하도록 제작되어 타겟을 감염시키는 지능형 공급망 공격 형태로 발전될 것으로 예상됩니다.



2. 사물인터넷(IoT)에 대한 사이버 공격 급증

다양한 분야에서 IoT가 사용되고 있고 그 숫자도 늘어나고 있어 2019년에는 IoT에 대한 사이버 공격이 급증할 것으로 예상됩니다.


사물인터넷(Internet Of Things)은 현실에 존재하는 사물에 정보통신기술이 융합되어 실시간으로 데이터를 주고받는 기술이나 환경을 말합니다. 


가정에서는 가전제품을 비롯한 집 안의 장치들을 연결한 스마트 홈 환경이 대중화 되고 있고, 해외에서는 자율주행 자동차가 시범운행 되고 있으며, 산업 분야에서는 쓰레기 종량제 시스템에 사물 인터넷을 적용하여 쓰레기 배출량을 측정해 처리 비용을 부과하는 등 다양한 분야에서 널리 발전하고 있습니다. 


2020년에는 국내 IoT 규모가 약 17조원으로 전망됩니다. 2019년에는 사물인터넷을 겨냥한 보안위협이 더 늘어날 것으로 전망됩니다. 




최근 몇 년간 IoT 관련 보안위협은 주로 대규모 IoT 봇넷 기반의 DDoS 공격으로 감염된 수십 만대의 IoT기기를 이용해 웹사이트를 공격하는 것이었습니다. 2017년에도 인터넷 호스팅 업체가 미라이(Mirai) 악성코드에 감염된 수많은 IoT 기기로부터 공격을 받아 서비스를 받고 있던 트위터, 페이팔, 넷플릭스 등 1200여개 사이트가 수시간 동안 운영이 중단된 사례가 있었습니다.



3. 스피어피싱 등 피싱메일의 진화

스피어피싱 등 피싱메일이 각종 사회 이슈와 맞물려 다양한 형태를 띠면서 더욱 정교하게 진화할 것으로 예상됩니다.


2018년에는 다양한 피싱메일이 발송되었습니다. 특히 갠드크랩 랜섬웨어 감염을 위한 다수의 피싱메일이 발송되었고 범칙금 납부고지, 남북 또는 북미 정상회담 등 사회현안으로 위장한 피싱메일이 유포된 사례도 발견되었습니다.



갠드크랩 랜섬웨어(GandCrab Ransomware)는 동종 업계 종사자의 실명과 프로필 등을 사칭하여 관련 종사자들에게 악성코드를 배포하거나 지원서 및 정상 유틸리티로 위장하여 악성코드를 유포하는 랜섬웨어로, 안랩에 따르면 2018년 한해 동안 발견된 랜섬웨어의 53% 가량을 갠드크랩 랜섬웨어가 차지하였습니다.





또한, 정부기관내 주요 관계자들을 사칭한 피싱메일 공격이 활발해 지고 있습니다. 2019년에는 이러한 스피어피싱을 기반으로 한 표적공격이 계속 이루어질 것으로 예상됩니다. 대한민국의 주요기관 및 기업들이 일상적인 업무수단의 하나로 사용하는 이메일을 이용하면 정상업무를 가장한 접근이 쉽고 신속·정확한 표적공격이 이루어질 수 있기 때문입니다.


금전취득을 위해 암호화폐 거래소에 대한 피싱메일 공격이 보다 활성화 될 것으로 예상되며, 혹스메일 (Hoax mail, 거짓정보를 메일로 보내 사용자들을 속여 금전을 편취하거나 악성코드를 설치하게 하는 메일) 또한 정교한 형태로 발송될 것으로 예상됩니다. 






위에서 본 사이버 공격 사례를 보면, 사이버 공격의 방법은 매번 진화하고 있으며 네트워크부터 다양한 디바이스까지 영역을 가리지 않습니다. 이러한 정교하고 다양해진 공격방법에 대응하기 위해서는 자동적으로 새로운 공격방법과 루트를 파악하고 대응할 수 있으며, 사람의 개입 없이도 동작할 수 있는 지능적인 보안 솔루션을 도입하여야 합니다.


사일런스프로텍트 엔드포인트 보안 솔루션은 머신러닝, 인공지능 기반으로 동작하며, 시그니처 또는 룰 기반의 단점으로 부각되고 있는 지속적인 업데이트 없이도 위협의 99% 이상을 차단할 수 있는 강력한 성능을 자랑합니다.



또한, 사일런스 엔드포인트 프로텍트는 PC 및 서버의 자원 사용을 최소화 하기 때문에 시스템 운영에 부담이 없습니다. 


사일런스프로텍트 엔드포인트 보안 솔루션의 동작 방식

머신러닝을 통하여 멀웨어의 DNA를 분석하고 AI가 안전한 코드 인지 판별합니다. 그렇기 때문에 시그니처의 업데이트, 행위 분석, 샌드박스 기법 등이 없이도 선제적인 대응이 가능합니다. 그리고, 모든 것은 자동으로 운영되기 때문에 사람의 개입이 없어, 정확하고 인력낭비를 줄일 수 있습니다.



MALWARE EXECUTION CONTROL

  • No signatures : 예측 분석이 가능한 머신러닝

  • 자율방어 : 100ms 이내의 사전실행 예방

  • No daily scans : File system 변화 기반으로 일회성 scan을 통한 검색 지양

  • Rejects : 잠재적으로 사용하지 않는 프로그램 대상(PUPs)

  • Lateral Movement에 사용되어지는 Controls tools


SCRIPT CONTROL

  • 허가되지 않은 PowerShell 및 Active Scripts 중지

  • 위험성이 있는 VBA macro methods 중지

  • 공격성 문서의 제어(Weaponized docs) 

  • 파일없는 공격 제어(Fileless attacks)


MEMORY PROTECTION

  • 메모리 오용(Silences memory misuse )

  • 부당이용(Exploitation)

  • 프로세스 주입(Process injection)

  • 권한 상승(Privilege escalation)


APPLICATION CONTROL

  • 고정 기능 디바이스에 디바이스 바이너리 잠금

  • Bad binary 방지

  • 바이너리 수정 방지

  • 윈도우 변경 허용



기존의 안티 바이러스로는 변종 멀웨어 발생 시, 신규 업데이트까지는 안심할 수 없습니다. 단 하루의 차이로도 큰 재앙을 발생 시킬 수 있습니다. Cylance Protect로 귀사의 소중한 정보 자산을 보호하세요!





인공지능 엔드포인트 보안 솔루션인 사일런스프로텍트 EPP(CylancePROTECT)를 도입하여, 진화하는 사이버 공격에 대응하시기 바랍니다. 제품에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시면 견적을 보내드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[사일런스] 안티바이러스, 백신 제품 취약점을 통한 사이버공격 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.19 08:00 / 카테고리 : 사일런스 프로텍트



IoT (사물인터넷) 디바이스 및 산업기반 제어 시스템인 스카다(SCADA) 시스템에서 보안이슈가 계속 발생하고 있습니다.  특히, 사물인터넷 디바이스 특성상 보안에 취약하고 스카다 시스템 같은 경우에는 보안사고가 발생하며 피해 규모가 크기 때문에 보안에 사이버 공격에 각별한 주의가 필요합니다. 



오히려, 특정 안티바이러스 제품 같은 경우에는 구버전일 경우에는 보안을 강화하는 것이 아닌, 안티바이러스 프로그램의 자체 취약점을 통해 사이버 공격이 이루어지고 있습니다. 이로 인해 발생하는 사이버 공격의 유형은 아래와 같습니다. 


  • 사용자 정보 노출 : 시스템에 등록된 사용자 정보 노툴

  • 권한 상승 : 관리자 권한 획득

  • 취약한 접근 통제 : 관리자 권한 획득

  • 취약한 비밀번호 설정 : 신규 비밀번호 설정 시에 기존의 비밀번호를 요구하지 않고 변경

  • 중요 정보 평문 저장 : 중요 정보를 암호화하지 않은 채 보관

  • 권한 상승 : 관리자 권한 획득 후 임의 명령어 실행

  • 원격코드실행 : 시스템 명령어 삽입 및 실행




기존 시그니처, 룰기반 등의 안티바이러스 또는 엔드포인트 솔루션은 이제 더 이상 안전한 방어막이 아니며, 오히려 취약점을 제공하여 사이버 공격을 제공하는 공격 루가 됩니다.  보안 관리자는 현실적으로 모든 디바이스의 S/W 및 보안 솔루션을 최신버전으로 업데이트 하기 힙니다. 


그렇기 때문에, 사람의 개입이 최소화 되어야 되며, 업데이트가 지속적으로 이루어지지 않아도 안전하게 사물인터넷 디바이스, 스카다 시스템의 사이버 공격 방어가 되어야 합니다.



왜 사일런스 엔드포인트 프로텍트(Cylance Endpoint Protect) 인가요?

  • CylancePROTECT® 는 운영 시 인간의 개입이 최소화 되며, 머신러닝 기반의 위협 차단이 이루어 집니다.

  • CylancePROTECT® 는 시그니쳐 등의 지속적인 업데이트 없이 보안 위협의 99% 이상을 차단합니다.

  • PC 및 서버의 자원 사용을 최소화 하여 운영됩니다.




사일런스 회사는

사일런스프로텍트는 엔드포인트 보안 및 보안 컨설팅 서비스를 제공하고 있으며, 각종 OEM 및 기술 파트너쉽을 체결하고 있는 기업입니다. 또한, 연간 1089%의 고속성장, 1천여개사 이상의 고객사를 보유하고 있습니다. 이미 2백만개 이상의 엔드포인트에 설치되어 운영 중인 솔루션이며, 지난 10년간 EPP 스타트업 기업 중 가장 빠른 성장을 보이고 있는 보안 전문 기업입니다. 




사일런스는 가트너 매직 쿼드런트 평가에서도 기업의 비전, 사업실행 능력에서도 빠른 성장세를 보이고 있는 보안 전문 회사입니다. 


그리고, 엔드포인트 보안 영역을 계속 진화하고 있습니다. 이미 엔드포인트 시장은 진화하고 있으며, 사일런스는 엔드포인트 보안 시장에서 가장 최첨단 기술을 제공하고 있습니다. 사일런스의 기술은 엔드포인트 보안의 미래입니다.





사일런스 프로텍트는 위협으로 부터 피해가 발생하기 전에 실시간으로 엔드포인트 위협을 막아내는 사전 공격 대응 방어가 가능한 엔드포인트 솔루션입니다. 


피해 없는 탐지

인공지능(AI) 접근방식 만이, 알려지거나 또는 알려지지 않은 사이버 보안 위협이 실행되거나 또는 Endpoint에 피해를 주기 전에 찾아내고 막을 수 있습니다


인터넷 연결이 필요 없음

클라우드로의 연결을 필요로 하는 다른 Antivirus solution 과 달리 CylancePROTECT®는 인터넷 연결 없이 Endpoint상의 보안위협을 방지합니다.


쉬운 관리

Endpoint 보안을 관리하기 위해 간편하고 직관적인 웹 콘솔을 사용하고, 간단히 SIEM와 연동할 수 있습니다. CylancePROTECT®는 Signature updates나 정기적인 스캔이 필요하지 않습니다.


적은 자원 사용량

훌륭한 엔드 포인트 보호 솔루션이 되기 위한 조건은 시스템 리소스 사용을 최소화 하는 것 입니다. PROTECT는 1% 이하의 CPU와 매우 작은 메모리 용량을 사용합니다. CylancePROTECT®는 소중한 시스템 자원을 다른 주요 애플리케이션을 위해 되돌려주고 하드웨어 자원의 수명을 연장시킵니다.



사일런스 프로텍트의 수학적 알고리즘과 머신러닝 동작 기법을 통해 기존 시그니처기반, 룰기반 등에서 전혀 탐지 하지 못하였던 사이버위협들을 탐지하서 사전에 차단할 수 있습니다. 


파일 수집 → 분석 → 파일 정의/판단(악성파일 여부) → 머신러닝 학습 → AI 수학모델링 → 엔드포인트에 적용을 통해 엔드포인트의 강력한 보안을 보장합니다. 



[사일런스 프로텍트 제품의 작동 원리 플로우 차트]



Cylance PROTECT 는 머신러닝 기반을 통하여 멀웨어의 DNA를 분석하고, AI가 안전한 코드 인지를 판단합니다. 


그러므로, 시그니쳐 등의 지속적인 업데이트, 행위 분석, 샌드박싱 기법 등을 사용하지 않으면서도, 선제적인 위협 대응이 가능합니다. 또한 머신 파워를 극대화하여 사람의 개입을 최소화한 운영이 가능합니다.




사일런스 엔드포인트 프로텍트 제품의 주요 기능 (요약)



MALWARE EXECUTION CONTROL

  • No signatures : 예측 분석이 가능한 머신러닝 

  • 자율방어 : 100ms 이내의 사전실행 예방

  • No daily scans : File system 변화 기반으로 일회성 scan을 통한 검색 지양

  • Rejects : 잠재적으로 사용하지 않는 프로그램 대상(PUPs)

  • Lateral Movement에 사용되어지는 Controls tools


MEMORY PROTECTION

  • 메모리 오용(Silences memory misuse)

  • 부당이용(Exploitation)

  • 프로세스 주입(Process injection)

  • 권한 상승(Privilege escalation)


SCRIPT CONTROL

  • 허가되지 않은 PowerShell 및 Active Scripts 중지

  • 위험성이 있는 VBA macro methods 중지

  • 공격성 문서의 제어(Weaponized docs)

  • 파일 없는 공격 제어(Fileless attacks)



APPLICATION CONTROL

  • 고정 기능 디바이스에 디바이스 바이너리 잠금

  • Bad binary 방지

  • 바이너리 수정 방지

  • 윈도우 변경 허용







Windows

  • Windows XP SP3

  • Windows Vista

  • Windows 7

  • Windows 8 / 8.1

  • Windows 10

  • Windows Server 2003 SP2

  • Windows Server 2008 / 2008 R2

  • Windows Server 2012 / 2012 R2

  • Windows 2016 Standard, Datacenter, Essential


Mac OS

  • OS X 10.9 (Mavericks)

  • OS X 10.10 (Yosemite)

  • OS X 10.11 (El Capitan)

  • OS X 10.12 (Sierra)


Linux

  • RedHat Enterprise 6 ~ 7

  • CentOS 6.6 ~ 7.3




인공지능 엔드포인트 보안 솔루션인 사일런스프로텍트 EPP(CylancePROTECT)를 도입하여, 스카다 및 IOT 디바이스 보안을 구축하시기 바랍니다. 제품에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시면 견적을 보내드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

사일런스프로텍트, 인공지능 머신러닝 기반 EDR 솔루션 (엔드포인트 보안)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.15 08:30 / 카테고리 : 사일런스 프로텍트



최근에 많은 정보보안 제품들이 인공지능, 머신러닝 이라는 키워드로 출시되고 있습니다. 실질적으로 솔루션을 고를때는 정말 효과가 뛰어난 제품이고 적용할때 문제점이 없는지, 호환성 여부까지 잘보아야 합니다. 


인공지능 보안솔루션이 화두가 된 이유는 간단합니다. 1년에 발견되는 악성코드는 무려 7억건 입니다. 인공지능이 없이는 대응이 불가능할 정도입니다. 이정도의 숫자는 이미 사람이 찾아내서 막아낼 수 있는 수량을 벗어났습니다. 결국 인공지능, 머신러닝 보안 솔루션으로의 변화는 필수가 되었습니다. 


이제 전통적인 사이버보안 대응방식은 이미 한계에 도달하였습니다. 그 수 많은 데이터와 분류는 더 이상 사람의 힘으로는 불가능합니다. 


[출처 : KISA 한국인터넷진흥원]


KISA에서 발표한 자료에 따르면 하루 평균 악성코드는 2만 3000여건, 랜섬웨어 피해는 16건, 디도스 공격은 1.25건, 홈페이지 변조는 5건 정도가 하루에 발생하는 보안 위협입니다. 


미국 정보보안업체 파이아아이에 따르면 기업들이 정보보안 사고가 발생한 것을 알고 이를 분석하고 식별하는데 평균 99일이 걸린다고 합니다. 일례로, KISA에서 개발 중인 인공지능 관련 기술로 3만 8984개의 악성코드를 분류한 결과, AI는 약 95%의 정확도를 보였다고 합니다. AI를 활용하면 분석 탐지 시간을 많이 단축하여 대응 시간을 줄일 수 있다는 장점이 있습니다. 



이쪽 분야에서 두각을 나타내고 있는 솔루션이 사일런스, 다크트레이스와 같은 머신러닝 기반 엔드포인트 보안 솔루션입니다. 그 중 사일런스는 2014년 사일런스프로텍트(CylancePROTECT) 제품을 출시한 이후로 전세계 4천여개의 고객사를 확보하고 있습니다. 


또한, 사일런스가 적용되어 있는 엔드포인트 숫자는 1천 3000만개에 다다를 정도로 많이 사용하는 인공지능기반 보안 솔루션입니다. 사일런스의 모토는 예방을 최우선으로 하고 있습니다. 




사일런스는 악성 해커들의 움직임에 대해서도 항상 연구하고 있으며, 내부에 화이트 해커팀을 따로 운영할 만큼 인텔리전스 확보와 머신러닝 회피 대응을 할 수 있는 전담 연구팀을 보유하고 있습니다. 


또한, 사일런스는 또 EPP(Endpoint Protection Platform)로 알려져 있는 사일런스프로텍트 (Cylance PROTECT)와 새롭게 출시한 ERD의 성격을 가지고 있는 사일런스옵틱스(CylanceOPTICS)를 통합하여 파일리스(Fileless) 공격에 대한 사전 정의된 룰셋(Rule Set)을 기반으로 관리자 개입없이 차단하는 방법을 추진하고 있습니다. 그리고 2개의 솔루션을 하나의 에이전트로 통합할 계획도 가지고 있습니다. 


사일런스 관계자는 기존 EDR은 많은 이벤트 로그를 볼 수 있는 담당자가 필요했지만, 이번 통합을 통해 사일런스프로텍트(CylancePROTECT)를 사용하는 보안담당자의 번거로움이 크게 줄어들 것이라고 밝혔습니다. 더불어, 예방율도 크게 증가할 것이라고 언급하였습니다. 


사일런스옵틱스에 머신러닝 기술을 탑재해 처음으로 참관객들에게 데모시연을 보여주었을 때, 머신러닝 EDR인 사일런스옵틱스는 악성 여부를 알아서 판단해 주었습니다. 간단하게 말하자면, EDR 사용시에 보안팀 인력의 충원이 필요없어, 보다 효율적으로 운영할 수 있습니다. 


[Cylance Protect의 Dashboard]




인공지능 기반 엔드포인트 솔루션 사일런스프로텍트(CylancePROTECT) 특장점


알려지지 않은 악성코드 탐지

머신러닝 기반으로 동작하며 시그니쳐 없이 신종과 변종 악성코드를 탐지할 수 있습니다. 일례로, 2016년의 1월 버전의 사일런스프로텍트로 2017년 5월에 발생한 워너크라이(WannaCry) 랜섬웨어와 페티아(Petya) 랜섬웨어를 모두 탐지하였습니다.


빠른 처리 속도

파일당 평균 분석시간은 0.1초 이하로 실시간으로 악성코드 여부 결정 및 차단이 가능한 우수한 솔루션입니다. 


최소한의 리소스 소모

파일 분석시에 필요한 메모리량은 평균 30MB, CPU량은 1% 미만 수준으로 PC, 서버 등 엔드포인트 성능에 전혀 부담을 주지 않습니다. 또한, 사용자가 전혀 인지하지 못하도록 사일런트 모드로 동작할 수 있습니다. 


안정성

현재까지 어떠한 다른 엔드포인트 솔루션 에이전트와 충돌, 에러 현상이 보고된 적이 없기에 현재 사용하는 환경에서도 안정적인 적용이 가능합니다. 


일일 업데이트 불필요

기존 시그니처 기반 안티바이러스는 매일 업데이트를 해주어야 하는 불편함이 있습니다. 하지만, 엔드포인트프로텍트는 연간 평균 2회만 인공지능 업데이트를 하여도 성능을 발휘합니다. 이로 인해 패치서버에 대한 운영비용이 감소하고 USB 등을 통해서 유입되는 악성코드를 방어할 수 있기 때문에 스카다 환경에서도 안정적인 엔드포인트 보안이 가능합니다. 




EPP(Endpoint Protection Platform) 사일런스프로텍트(CylancePROTECT) 주요 기능


악성코드 공격으로부터 엔드포인트를 전방위 보호할 수 있는 다양한 기능을 탑재하고 있습니다.


악성코드 실행 전 차단(Malware Execution Control)

  • 프로세스 신규 생성 또는 라이브러리 로딩시 해당 파일을 검사하여 악성일 경우에는 실행전에 차단

  • 기존 신종/변종 악성코드, 랜섬웨어 등의 실시간 사전 차단


메모리 공격 실시간 제어 (Memory Protection)

  • 익스플로잇 방지 (스택피벗, 코드덮어쓰기, 램스크래핑, 힙스프레이 등)

  • 코드 인젝션 방지 (메모리 원격할당, 매핑 등)

  • 권한 상승 방지 (LASS 읽기, 제로 할당 등)


스크립트/익스플로잇 실시간 제어 (Script Control)

  • 악성 PowerShell 스크립트, 액티브 스크립트 차단

  • MS Office 문서 내 악성 VBA 매크로 차단

  • File-less 기반의 공격탐지 및 차단


앱 제어 (Application Control)

  • 실행 가능한 앱 리스트 관리

  • 앱 변경 제어


디바이스 제어 (Device Control)

  • USB 저장장치 이용 로깅 및 통제

  • 외부 저장장치를 통한 정보 유출 방지




사일런스의 프로텍트의 인공지능은 헤더정보, 서명, 각종 스트링, 임포트, 섹션권한, 패커, 컴파일러 등에 이르기까지 700만개 이상의 파일 특징을 0.1초 이내에 종합하여 [파일의 DNA]와 같은 방식으로 분석하여 파일의 의도를 명확하게 파악하기 때문에 악성코드 판별이 가능합니다. 

그렇기 때문에, 기존의 시그니처 기반, 휴리스틱 기반, 샌드박스 기반, 평판조회 기반의 AV 솔루션 대비 훨씬 높은 탐지율을 보장합니다.

시그니처 기반

평균 악성코드 탐지율


83.5%

머신러닝 기반

평균 악성코드 탐지율


98% 이상


[미국 보안 제품 테스트기관 Miercom 2016 보고서 참조]



아래의 영상 데모를 통해서 사일런스의 탐지능력을 확인하실 수 있습니다.



[Cylance Protect를 통해 Sality 멀웨어를 탐지하는 데모 영상]





많은 파일의 이벤트를 감시하고 분석할 수 있는 인공지능 엔드포인트 보안 솔루션인 사일런스프로텍트 EPP(CylancePROTECT)를 도입하여, 악성코드를 예방하시기 바랍니다. 제품에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시면 견적을 보내드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.11.19 10:28 / 카테고리 : nCipher HSM (Thales-HSM )


블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM





블록체인을 무력화하는 '51% 공격'으로 올해만 2000만달러(227억원)가량 피해가 발생했습니다. 그 동안 블록체인은 보안이 완벽하다고 알려져 있던 기술이었기 때문에 이번 소식은 큰 충격을 주고 있습니다.





해커의 블록체인 무력화 '51% 공격'으로 인해 1950만달러가 탈취되었을 정도로 현재 암호화폐 보안은 매우 불안한 상황입니다. 공격을 받은 일부 거래소는 해당 코인 거래를 정지하였고 고객들의 불안함은 점점 커져갑니다.


아이마켓코리아에서 제공하는 탈레스HSM은 암호연산을 제공하는 강력한 하드웨어 암호화 모듈로써 암호화 키를 안전하게 보관할 수 있습니다. 뿐만 아니라 저장, 관리가 가능하고 다중으로 보안사항을 적용할 수 있습니다.





탈레스HSM은 미국방성기술표준(NIST)의 FIPS의 암호화 모듈에 대한 보안 요구사항 140-2에서 Level 2 & 3을 인증 받아 보안의 우수성을 입증했습니다.





탈레스HSM은 암호화 키를 물리적으로 별도의 보관소에 저장 및 생성부터 폐기까지 관리하기 때문에 더욱 안전합니다.





또한 외부뿐만 아니라 내부에서도 강력한 보안이 적용됩니다. 내부에서 생성된 키는 관리자 조차 유출할 수 없습니다. 애플리케이션이 암호화 키에 직접 접근하지 않으며, 복호화 된 키는 HSM 외부로 노출되지 않습니다.

시스템 구축 단계에서부터 망 분리, 백업 등 2중 3중보안이 적용되어 더욱 안전하게 보호할 수 있습니다. 탈레스HSM은 호스트 서버의 암호연산 부하를 경감시킬 수 있다는 장점이 있으며, 이에 따라 서버가용성을 높일 수 있습니다.





탈레스HSM를 사용해야 하는 이유는 아래와 같습니다.



· 비대칭 형 암호연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리합니다.

· HSM에서 생성되는 키는 HSM 밖으로 복호화 된 상태로 노출되지 않습니다.

· 키 관리 매커니즘을 통해 키 생성, 사용, 백업, 파기까지 생명주기 전반에 걸쳐서 안전하고 편리하게 관리합니다.

· 디지털 키에 대한 무결성이 보장 됩니다.

· 키 관리의 어려움에 대비하여 중앙집중적인 관리를 합니다

· 내부자에 의한 키 탈취 취약점을 해결할 수 있는 관리 장치가 마련되어 있습니다.

 




탈레스HSM은 고객의 서버 환경에 따라 네트워크 접속형인 nShield Connect 제품과 서버 내장형 방식의 nShield Solo 제품군으로 나뉩니다. 




Thales nShield Connect Model (접속형)


구분

nShield Connect 500+

nShield Connect 1500+

nShield Connect 6000+

초당 RSA 

서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 1500TPS

 RSA 2048bit 최대 500TPS

 RSA 4096bit 최대 165TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 물리적: Windows, Linux, Solaris, IBM AIX, HP-UX

 가상환경: VMware, Hyper-V, AIX LPARs를 포함하는 다양한 VM 소프트웨어 벤더 지원

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 

및 업그레이드

가능성

 최대 100개의 클라이언트

 Thales nShield Solo(PCI/PCle), nShield Edge, netHSM과 호환

 소프트웨어 업그레이드 기능

통신방식

 TCP/IP 통신 기반의 Gigabit Ethernet Interface







구분

 nShield Solo 500+

 nShield Solo 6000+

초당 RSA 서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 Windows, Linux, Solaris, IBM AIX, HP-UX

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 및

업그레이드 가능성

 Thales nShield Connect, nShield Edge, netHSM 500및 2000과 호환

 소프트웨어 업그레이드 기능

통신방식

 PCI Express





탈레스HSM의 기대효과

· 개인정보 관련 법규 만족 및 개인정보보호 쳬계 강화

· 암호화를 통한 기밀성, 무결성, 가용성 확보를 통한 안전성 증대

· 내부 및 외부 공격에 대한 중요 데이터 유출 위험 방지

· DB 암호화를 통한 개인정보보호법 및 관련 법률의 Compliance 대응력 향상

· 고객 정보보호로 인한 고객사 이미지 제고 신뢰도 향상

· 내부직원을 통한 보안사고에 대한 대비

 



국내 최초로 하드웨어를 통한 키 관리로 완벽하게 데이터 보호할 수 있는 탈레스HSM 제품은 아래의 아이마켓코리아 담당자에게 문의 주시면 더욱 상세하게 안내 받으실 수 있습니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

방위산업기술보호법 주요 내용 알아보기, Q&A 문서 다운로드

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.06.30 17:37 / 카테고리 : 자료유출방지(DLP)



방위산업기술보호법의 제정 배경은?

최근 방위산업기술이 국가 안보자산일뿐만 아니라 전략적 경게자원으로 인식되면서, 세계 각국은 방위산업에 대한 기술적 우위 확보 및 유지를 위해 치열하게 경쟁하고 있으며, 필요한 기술을 획득하기 위하여 내부자를 이용하거나 해킹을 시도하는 등 기술 확보를 위한 방법 또한 갈수록 지능화, 고도화 되고 있습니다.


정부는 방위산업기술을 체계적으로 보호 및 관리하고 방위산업기술을 보유하고 있거나 연구개발 중인 대상기관의 보호활동을 적극 지원하여 국가의 안전보장 및 신뢰도를 제고하기 위하여 방위산업기술보호법을 제정하게 되었습니다. 


방위산업기술보호법 Q&A 다운로드

방위산업기술보호법Q&A (1).pdf



방위산업기술보호법의 주요 내용

방위산업기술보호법은 방위산업기술의 보호를 위하여,

방위사업청장이 방위산업기술 지정 및 고시, 방위산업기술보호 종합계획 및 시행계획 수립 및 시행, 방위산업기술보호 실태조사, 방위산업기술 보호체계 구축 및 운영유도, 방위산업기술보호교육지원, 정보수사기관과의 협조체계 구축, 방위산업기술 보호지원, 유공자 포상 및 신고자 보호, 국제협력 등을 수행하게 하고, 


대상기관의 장은 방위산업기술 보호체계 구축 및 운영, 소속 임직원에 대한 방위산업기술보호 교육, 연구개발사업, 수출 및 국내 이전시 기술보호 대책 수립, 방위산업기술 유출 및 침해신고 등을 의무화하고 있습니다. 


그리고 법의 실효성을 제고하기 위하여 방위산업기술의 불법적인 유출 및 침해 금지를 명문화하고, 위반 시에는 최고 15년 징역 또는 최고 1억 5천만원의 벌금을 부과하고 있습니다. 


대상기관

방위산업기술을 보유하거나 방위산업기술과 관련된 연구개발 사업을 수행하고 있는 기관으로써 다음에 해당하는 기관을 말합니다.


방위산업기술보호법상 대상기관

  • 국방과학연구소법에 따른 국방과학연구소
  • 방위사업청에 따른 방위사업청/각군/국방기술품질원/방위산업체 및 전문연구가관
  • 그 밖에 기업/연구기관/전문기관 및 대학 등




방위산업기술보호체계 구축 및 운영

대상기관의 장은 방위산업기술보호를 위하여 방위산업기술 보호체계를 구축/운영하여야 하고, 방위산업기술 보호체계는 보호대상 기술의 식별 및 관리체계, 인원통제 및 시설보호체계, 정보보호체계로 구성됩니다. 



방위사업청장은 방위산업기술 보호를 위한 실태조사의 결과 또는 정보수사기관의 의견 등을 고려하여 대상기관의 방위산업기술 보호체계의 구축 및 운영이 부실하다고 판단되는 경우 대상기관의 장에게 개선을 권고할 수 있습니다.


대상기관의 장이 개선권고를 이행하지 않거나 불성실하게 이행한다고 판단되는 경우 대상기관의 장에게 시정을 명할 수 있고, 대상기관이 시정명령을 이행하지 아니한 경우 3천만원이하의 과태료를 부과 및 징수합니다.




연구개발사업 수행 시 기술보호

대상기관의 장은 방위산업기술과 관련된 연구개발사업을 수행하는 과정에서 개발성과물이 외부로 유출되지 않도록 연구개발 단계별로 방위산업기술보호에 대한 대책을 수립 및 시행하여야 합니다.


연구개발 단계별 보호대책에 포함되어야 할 주요내용

  • 연구개발 단계별 성과물의 보호에 관한 사항
  • 인원통제 및 시설 보호에 관한 사항
  • 해킹 등 사이버 공격방지에 관한 사항
  • 그 밖에 방위산업기술 보호체계 관리에 필요한 사항




방위산업기술 보호를 위한 지원

정부는 대상기관이 방위산업기술 보호체계를 구축 및 운영하거나 개선권고 또는 시정명령 등을 이행함에 있어서 방위산업기술 보호를 위하여 필요한 경우에는 대상기관을 지원할 수 있습니다.




해킹 및 사이버 공격에 대해서 방위산업기술 보호를 위한 보안 솔루션은?

가장 많이 사용하는 보안솔루션은 자료유출방지를 위한 DLP 솔루션입니다. 아이마켓코리아에서는 코소시스코리아의 우수한 DLP 솔루션인 Endpoint Protector4 를 추천하고 있습니다. 


자료유출방지(DLP)PC 및 서버 호스트의 엔드포인트에서 누가, 언제, 어떻게, 어떤 자료를 네트워크와 휴대용 장치를 통해서 유출하는지 엄밀하게 관리해야만 합니다.”



CC 인증제품
인증 기관: IT보안인증사무국, 
인증 제품: Endpoint Protector V4.0, 
CC인증 유효 기간: 2014.10.02 - 2017.10.01 
(주)코소시스코리아의 Endpoint Protector V4.0은 지난 2014년 10월 2일 국내용 CC 인증을 완료하였습니다. 국가용 정보보호제품 보안요구사항 중에서 
(1)호스트 자료유출방지 제품으로서 
(2)매체 제어제품 보안요구사항을 포함하며 또한 
(3)SW 보안USB 기능(EasyLock2)을 포함하여 인증을 완료하였습니다.

콘텐츠 인식 보호(CAP) 

보안위반 행위 시 유출 차단 및 보고 되며 유출사본 보관과 감사 로그를 작성, 클립보드 필터링, 화면캡쳐 차단, USB 쓰기 내용검사, 애플리케이션(Outlook, Skype, Naver LINE, KakaoTalk, Dropbox 등)을 포함한 다양한 유출경로를 차단합니다.

MDM(iOS, Android, Mac OS X 지원) 

개인의 모바일 기기(BYOD)를 활용하는 기업에게 중요한 자료들를 유출 위험에서 보호하기 위한 강력한 보안정책, 모니터링, 감사 기록, 위험 보고, 원격 제어, App 관리 등의 최신 보호 기능들을 제공하는 솔루션입니다

매체 제어(Device Control) 

편리한 웹 UI로 주변 장치의 사용을 통제할 수 있습니다. 다양한 매체 및 공유폴더의 사용을 관리하고 강력한 보안정책 실현으로 자료유출을 사전에 차단하여 매체보안이 확립된 안전한 업무환경을 실현해주는 솔루션입니다.

SW 보안USB

휴대용 USB 저장장치에 군사용 강도의 AES 256bit CBC 모드(CC용은 ARIA 256)로 암호화된 영역을 만들고, 보호하려는 파일들을 이 영역에 암호화해서 저장하거나 또는 암호화되어 저장된 파일을 복호화로 꺼낼 수 있습니다.




또한, 최근 랜섬웨어를 통해서 피해를 입는 기업이 많습니다. 방위산업기술이 랜섬웨어에 의해서 암호화 된다면 큰 피해를 입을 수 있습니다. 이는, 기업적인 피해를 넘어서 국가적인 피해가 될 수 있습니다. 랜섬웨어 전용 보안 솔루션을 통해서 이러한 랜섬웨어 피해를 원천 차단할 수 있습니다.




앱체크 안티랜섬웨어상황인식기반 엔진을 통해서 신종과 변종 랜섬웨어를 탐지하고 사전에 차단하며, 파일 자동 백업 및 백업된 파일을 통해서 훼손된 원본 파일을 복구할 수 있는 통합 랜섬웨어 보안 솔루션입니다. 



엔드포인트 프로텍터 DLP 솔루션 및 앱체크 안티랜섬웨어 제품 구입문의는 

아래의 아이마켓코리아 보안 솔루션 담당자에게 연락주시기 바랍니다. 

02-3708-8254



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

기업 면역 시스템을 만든 다크트레이스(DarkTrace) 회사 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.06.22 10:14 / 카테고리 : 차세대 위협감지 - 다크트레이스



최근에 일어나는 일련의 랜섬웨어 사태 등을 보고 있으면 이제 많은 분들이 느끼시는 부분이 있을 것 입니다. 바로 이제 해킹 공격은 일반인 대상이 아닌 기업을 대상으로 하며, 특히 광범위한 서비스를 하고 있는 기업은 해커의 주요 타겟이 되고 있습니다. 이전 공격 방식이 무차별적 공격이라면 이제는 APT(지능적 지속 위협) 공격 방식으로 주요 기업 담당자를 노리는 경우가 많습니다. 이유는 간단합니다. 돈이 되기 때문입니다.



이를 막기 위해서는 회사에서 운영하고 있는 인프라 시스템의 패턴을 정상과 비정상적인 상황으로 구분하여 비정상적인 상황일 때를 즉각적으로 모니터링하고 대처할 수 있어야 합니다. 다크트레이스 솔루션은 이에 착안한 보안 솔루션입니다.


[다크트레이스의 위협 시각화 솔루션 - 3D 토폴로지 인터페이스]



머신러닝 기법으로 정상 상태와 비정상적인 상태를 학습하여 이를 시각화하여 리포팅 합니다. 이를 통해 APT 공격으로 들어오는 각종 보안 위협들을 해결할 수 있습니다. 정상상태와 비정상적인 상태는 수학적인 확률 이론을 통해 다크트레이스 솔루션이 스스로 학습합니다. 학습한 정상 상태와 비정상 상태를 구분하여 네트워크의 이상을 직접 판단하게 됩니다. 


다크트레이스에서는 이를 "기업 면역 시스템 (Enterprise Immune System)" 이라고 정의합니다.


다크트레이스는 기업 소개

다크트레이스는 진화된 사이버 위협으로부터 기업의 네트워크 정보를 보호하기 위해 인간 면적 체계의 생물학적 원리를 적용합니다. 다크트레이스의 비전은 우발적인 사건이 큰 피해를 가져오는 사이버 공격으로 발전하기 전에 첨단 기술을 이용하여 조직의 네트워크 내에서 비정상적인 행동을 탐지하는 것 입니다. 


다크트레이스의 역량

- 네트워크 내부의 존재하는 위협을 탐지합니다.

- 정상 및 비정상 상태를 실시간으로 학습합니다.

- 외부는 물론 내부 위협 또한 탐지하고 대응합니다.

- 클라우드 환경과 가상화 환경은 물론 산업 제어 시스템에서도 작동합니다.

- 설치 후 즉시 결과를 제공합니다.


다크트레이스의 보안 철학은 오바마 전 미국 대통령의 연설에도 그 중요성이 잘 나타나 있습니다.

"우리는 전통적으로 안전과 보안을 논할 때면 갑옷이나 벽 등의 외각 보호만을 생각해왔습니다. 하지만 요즘은 더 많은 약품을 찾게 되고 바이러스나 항체 등을 떠올리게 됩니다.


사이버 보안이 계속해서 어려워지는 이유 가운데 하나는 위협이란 우리를 향해 진격해 오는 탱크 군단이 아닌 기어들어오는 벌레 한마리의 침입에도 취약할 수 있는 거대한 시스템 안에 있기 때문입니다. 즉, 우리는 보안을 새로운 관점으로 생각해 보아야 한다는 것입니다."

- 오바마 대통령, 2016


기업 면역 시스템 (Enterprise Immune System)

각종 수상 경력이 있는 다크트레이스 기업 면역 시스템은 내부자의 위협을 포함하여 네트워크 내에서 발생하는 사이버 위협을 탐지하고 대응 할 수 있습니다. 첨단 머신러닝과 고급 수학으로 무장한 기업 면역 시스템은 모든 사용자, 장치, 네트워크들의 '삶의 패턴'을 자동으로 학습 합니다. 


이러한 자가 학습 기술은 네트워크 활동에 대한 종합적 가시성을 제공하여 기업이 위협적인 사이버 공격에 선제적으로 대응하고 위험요소를 완화시킬 수 있도록 도와줍니다.




사이버 보안에서 왜 머신러닝과 수학이 중요한가요?

정보를 보호하기 위해서 더욱 더 높은 벽을 쌓아 올리게 되는 기존의 접근방식은 요즘 고도화된 보안 위협 방식에는 적합하지 않습니다. 머신러닝과 고급수학을 이용하여 캠브리지 대학의 전문가들이 개발한 기업 면역 시스템은 사이버 보안의 새로운 시대를 가능하게 하였습니다. 


다크트레이스는 '나쁜 행위'를 가전에 정의하고 과거의 공격 방식에 대한 알려진 지식에 의존하는 대신, 머신러닝 접근법을 이용하여 빠르게 정보를 자동으로 모델링하고 클러스터링 할 수 있습니다.


다크트레이스에 대한 몇가지 사실들

  • 2000+ 솔루션 설치
  • 270+ 글로벌 파트너 보유
  • 23 글로벌 오피스
  • 360+ 임직원
  • 가트너 'Cool Vender' 2015 선정
  • 2016 Info Security의 글로벌 엑설런스 어워드 'Best Security Company of the Year' 수상
  • 2015 세계경제포럼 (다보스 포함) '기술 개척상(Technology Pioneer)' 수상
  • 2016 Network Product Guide의 IT World 어워드 '올해의 최고 IT 기업상' 수상
  • 본사 : 영국 캠브지리 & 미국 샌프란시스코




[다크트레이스 글로벌 오피스 현황]



머신러닝 기법을 통해서 인프라의 정상적인 패턴을 학습하고 이상징후 패턴을 분석하여 시각화하는 차세대 위협탐지 솔루션인 다크트레이스(DarkTrace) 관련 문의는 아래 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

머신러닝 기반 산업 인프라 위협 감지 솔루션 - 다크트레이스 (DarkTrace)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.26 14:41 / 카테고리 : 차세대 위협감지 - 다크트레이스



산업 인프라는 특히 공격당하면 크게 위험한 기반 시설이 많습니다. 또한 해커들에 있어서 가장 중요한 공격 대상이기도 합니다. 하나의 국가를 마비시킬 수도 있기 때문입니다. 


하지만, 산업 기반 시설 보안에는 완벽한 방어는 있을 수 없으며, 고도화된 위협은 항상 새로운 방법을 찾아냅니다. 그리고 내부자에 의한 위협도 외부 공격과 같은 수준으로 감시되고 보호되어야 하며, 사람은 24/7 시그니처와 룰을 항상 업데이트 할 수 없는 이슈가 있습니다. 



왜 ICS / SCADA 등의 산업 기반 시스템 보안이 필요할까요?

1. 산업 네트워크 망은 애드혹형태로 구성되어 왔습니다.

   - 산업 기반 시설의 증설에 따라서 기존의 경계보안 영역안에 새로운 종류의 장치가 보안성에 대한 검증 없이 도입되었습니다.

2. 사이버 보안은 반영되어 있지 않으며, 네트워크 재구성은 현실적으로 어렵습니다.

3. 산업제어소프트웨어는 패치가 되지 않아 안전하지 않은 OS 환경에 운영됩니다.

4. 산업기반 시설이 국내 여러곳에 물리적으로 떨어진 여러 지역에 존재할 경우 보안 리스크는 더 클 수 있습니다.

5. 산업기반 시설은 외부 사용자/원격 근무자를 위하여 점차 외부로 연결되는 추세입니다.



최근 동향과 같이 산업 기반 시설이 외부 네트워크에 연결될 수록 방화벽을 비롯한 전통적인 경계보안 솔루션은 현존하는 사이버 테러의 위협으로부터 산업 기반 시설을 안전하게 지킬 수 없습니다.





ICS/SCADA 망의 침해사고 사례

1. 독일 대형 제철소 

2014년, 독일의 한 대형제철소는 기존의 발견되지 않은 장기간에 걸친 사이버공격으로 인해 용광로가 통제불능에 빠져 가동 정지


2. 하벡스와 에너제틱 베어 악성코드

에너제틱 베어 (Energetic Bear)는 2014년 광범위하게 퍼진 공격 기법으로 산업 제어망을 공격대상으로 하였습니다. 주 사용된 멀웨어는 하벡스(Havex Remote Trojan) 


3. 스턱스넷 (Stuxnet) 공격 - 우크라이나 핵발전소

2010년에 언론에 조명된 ICS/SCADA 침해사고 관련 가장 유명한 사건입니다. 우크라이나 네이턴즈 핵 발전소에서 발생한 사고로, 총 4개의 Malware가 사용되었고, 그 중 2개의 Malware는 아주 교묘한 방법으로 핵 발전소 산업제어망으로 침투 성공 후 발전 설비의 제어 신호를 스니핑하여 변조.



진화하는 위협 방어를 위한 발상의 전환이 필요합니다. 존의 룰, 시그니처, 샌드박스 등의 알려지고 공유된 방법을 보완할 새로운 접근방법이 필요합니다.


1. 경계보안의 강화를 통한 방어체계의 한계

   - 많은 기업들과 기관들이 인터넷과 인트라넷/서버팜의 경계구간의 강화를 통한 위협 대응을 수행하고 

     있지만, 계속적으로 진화하는 공격의 방어와 대응에 한계가 있습니다.

2. 행위에 대한 정상 및 합법여부 정의의 어려움

   - 정상 및 합법적 행위여부를 정의하기 위한 많은 행위규칙(Rule)과 위협식별을 위한 시그니처들로부터 

      벗어난 다양한 행위들이 존재하고 있습니다.

3. 시스템과 기술을 뛰어 넘는 새로운 위협의 등장

   - 악성코드, 봇넷, 사이버범죄 등의 종착지는 사람입니다. 인적 요소에 의한 내부정보 탈취, 시스템파괴 및 

     다양한 위협의 발생빈도가 지속적으로 증가하고 있습니다. 



정책과 시그니처, 룰을 기반으로 한 심층방어체계는 새로운 공격와 위협이 발생할 경우에 방어수단의 확보시까지 발견하기 어렵고 시간이 많이 소요될 수 밖에 없습니다. 이상행위를 발견하고 대응할 수 있는 보다 폭 넓은 가시성의 확보가 필요합니다. 


정상적인 시스템 상태를 알고 있다면 비정상적인 행위는 쉽게 탐지할 수 있습니다. 다크트레이스는 정상적인 시스템 상태를 머신러닝 기법으로 숙지하고 비정상적인 패턴이 발견되면 이상 징후를 탐지하고 진단합니다.



다크트레이스(DarkTrace) - 차세대 산업 인프라 면역시스템



◈ 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

    - 위협에 대한 개별요소등의 종합적인 연관상태를 분석하고 학습하여 정상적인 상태와 비정상적인 상태를 식별하고, 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못한 위협과 공격을 식별합니다. 시스템은 네트워크의 정상적인 상태를 학습하여 위협에 민감하게 반응하고 대응할 수 있는 보안 면역체계를 강화할 수 있습니다.

◈ 네트워크, 사용자, 디바이스에 대한 수학적 확률엔진의 비정상적 행위를 순환적으로 확률 추론

   - 베이지언 순환 확률 모델, 순차적 몬테카를로, LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자와 디바이스 및 행위에 대해서 수학적 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다. 


인체의 면역기능을 이용하여 네트워크, 사용자, 디바이스 간 정상행위학습기반의 건강한 면역체계 구축





우크라이나 핵 발전소 침해사례 모식도 및 다크트레이스 가상 탐지 시나리오



다크트레이스가 ICS/SCADA 망 침투 이전 시점을 파악할때는 아래와 같이 동작합니다.

단 한번도 접속한적 없는 PC의 확률, 비정상적인 유저 브라우저의 확률, 비 정상적인 시간에 일어날 확률, 비정상적인 주기로 접속시도하는 확률 계산


그 이후, ICS/SCADA 망 침투 이후 시점에는 아래와 같이 동작합니다.

단 한번도 접속하지 않은 Control 서버의 확률, 비정상적인 트래픽 발생 확률,  비정상적인 시간에 일어나는 확률, 이전에 없는 주기로 통신하는 확률을 계산


위와 같이, 다크트레이스 솔루션은 사용자, 디바이스, 네트워크 행위를 학습하고 추론하고 시각화합니다.



머신러닝 기법을 통해서 인프라의 정상적인 패턴을 학습하고 이상징후 패턴을 분석하여 시각화하는 차세대 위협탐지 솔루션인 다크트레이스(DarkTrace) 관련 문의는 아래 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀
TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090




Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 360,796
  • 오늘 : 180
  • 어제 : 289
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.