당신의 보안프로그램은안녕하십니까?

이 강 혁

LOGOINSERT LOGO

그 파일은.. 알고 보니 악성코드였다…

출처 : www.boannews.com

LOGOINSERT LOGO

북한… 해킹 배우러 유학 갈까?

출처 : www.boannews.com

LOGOINSERT LOGO

기업은 언제나 꾸준히…

출처 : www.boannews.com

LOGOINSERT LOGO

2016년은 한해 공격은..?

출처 : KISA Facebook

LOGOINSERT LOGO

사이버 공격 형태

정상활동(?)

- DRM, DLP 등으로 데이터 암호화 및 접근 통제

Zero-Day, 악성코드

- 접근통제, SSO 등의 보안장비로 인증 강화

공격패턴 파악 완료

- 방화벽, IPC, NAC 등의 패턴기반의 보안 장비로 보안

Unknown

Attack

취약점Attack

Known

Attack

알면 차단하였다고 보고하고, 모르면 이상 없다고 지나갑니다.

LOGOINSERT LOGO

일반 회사의 보안 현황

Security일반회사의 보안현황

보안정책,지침 취약점 제거

보안교육 접근통제

보안인증 보안장비설치

우리회사만은 해킹 당하지 않게 해주세요. 안 그러면 저 잘려요.

LOGOINSERT LOGO

이제 메신저도?

출처 : www.zdnet.co.kr

사내 모든 프로그램을 사칭할 기세...

LOGOINSERT LOGO

디지털 서명도..

출처 : www.etnews.com

어디 회사인지 저는 알아도 알지 못한다고 합니다..

출처 : NSHC

LOGOINSERT LOGO

What?

A

P

T

Advanced Persistent Treat (지능형 지속 공격)

2 0

1 0

LOGOINSERT LOGO

DieHard 4.0(2007)정부의 네트워크 전산망을 파괴해 미국을 장악 - 미국의 교통,통신,금융,전기 등 모든 네트워크가 테러리스트의 손아귀

2 0

1 0

APT는 Stuxnet(2010)에서 부터…출처 : DieHard4.0 한 장면(발전소)

출처 : belldoor.tistory.com

4 5 6

IPS, IDS EMS DLP

12 3

Firewall TMS AV

10 11 12

NAC NMS PMS

7 8 9

UTM RMS DRM

13 14 15

VPN MMS VDI

6

DLP

3

AV

10 12

NAC PMS

9

DRM

13

VPN

LOGOINSERT LOGO

이 파일의 정체는..

목적?

보안프로그램은 모두 정상인가?

YES or No

보안프로그램으로 가장한 악성코드를구분할 수 있는가?

YES or No

악성코드의 목적은?

정보유출? 시스템 파괴? 보안담당자 실직?

정상?

LOGOINSERT LOGO

Security Program..

Zero-day UpdateSoftware

Problem?

LOGOINSERT LOGOSoftware Update

Software구동에 따라 다른 특징..

단독실행형

Client/

Server형

단독실행형Software

일정 간격으로 Update 확인

Client/Server형Software

Client에서 Sever 접근 시 마다Update 확인

LOGOINSERT LOGO

Software Update

서버의 경우는…?

Update version 관리는…?

?Update?

흠…어디서 해야 하지…

LOGOINSERT LOGO우리회사 보안 프로그램?

Level 3

Level 2

Level 1우리 회사에는 어떤보안 프로그램이 있는지 안다.

유지보수는 협력업체에맡기고 운용에 필요한기능만 안다.

동작 방법을 알고 있어 필요 시 협력업체와기술에 대해 논할 수 있다.

우리는 보안 프로그램을 얼마나 알고 있을까요? 과연 우리 회사에 꼭 필요한 보안 프로그램들을 사용하고 있을까요?

LOGOINSERT LOGO누가 관리할까?

보안프로그램

저는 누가 관리 하나요?

2.사용하실 고객님

• 사용 기업

3.왜 떠미는가?

• 둘 다

1.낳아주신 부모님

• Vender

보안 프로그램의 취약점 관리 주체는?

LOGOINSERT LOGO

관련 문제입니다..

문제“외부 기관에서 기업 내 임직원 PC들이 1111번 포트를 이용하여악성 C&C서버와 통신되고 있다고 알려왔다. 사고 분석과정에서임직원 PC가 있는 사무실에는 방화벽이 설치되어 있어 접근통제가되고 있으며, 임직원 PC는 악성코드가 발견되지 않았고 특별한이상징후도 없었다. 외부 기관에서 알려준 1111번 포트는내부 보안프로그램에서 사용되고 있어 정상으로 판단하였다.” 이러한 경우 생각해보아야 하는 방향은?

1. 임직원PC에서 이상징후가 발견되지 않았으므로잘못된 신고로 판단한다.

2. 1111번 포트를 이용하는 프로세스를 다시 분석해보고악성코드가 확인되지 않을 경우 보안 프로그램을 의심한다.

LOGOINSERT LOGO

그럼..어떻게?

출처 : pixabay.com

LOGOINSERT LOGO

보안 프로그램 자세히 알자.

점검을 생활화!자주 자주 점검해주세요!

1. 동작 확인

2. 무결성 검증

• 평상시 보안 프로그램의 동작을파악해두고 주기적인 이상여부 확인

보안 프로그램 및 Update 파일이나배포 파일에 대한

무결성 확보 및 이력 관리

사고 발생 시 “여기 좀 이상한데?”, “원래 이러지 않는데?” 라는 정보를 제공할 수 있도록…

LOGOINSERT LOGO

정보를 제공하자

1. 회사 보안프로그램운영 정보는 나에게!!

2. Vender와의 통역은나에게!!

1. 사내 프로그램의Version History도관리 착착!

2. 불필요한 Update는No.

.

꼼꼼한 운영관리 꼼꼼한 이력관리

나에게물으시오.

이력관리도내가 최고!!

보안프로그램

수다스런 옆집 아줌마처럼 침해분석 중 추적이 용이하도록…

이 아이는 제가 관리합니다

LOGOINSERT LOGO

1. 각종 보안 로그는주기적으로 살펴이상 여부 탐지

2. 보안 프로그램관련 문제점 발생 시반드시 원인 파악

1. 불필요하고느슨한 보안 정책제거

2. 배포 기능이 있는서버는 별도의 정책으로 관리

촉을날카롭게!!!

보안정책은꼼꼼히

내가 보안 담당자라면?살펴 보아야 될 관점이 늘었다… 봐도 보이지 않아.

THANK YOU

이 강 혁