<CNCERT Security Consumer Report> - DLP (Data Loss Prevention) - 2011. 11. ( 사) 한국침해사고대응팀협의회 - 1 -
본 CERT) "Security Consumer Report - DLP" 는 한국침해사고대응팀협의회(CNCERT:CNsortium of 회원으로 활동하는 보안 담당자가 자발적으로 보고서 위원회를 구성한 후 국내에서 유 통되는 DLP 제품을 조사( 기획 수행 제작) 한 것으로, 내부정보 유출방지의 대안으로 주목받고 있 는 DLP(Data Loss Prevention) 검사항 및 유의사항을 정리한 것입니다. 솔루션을 도입하거나 현재 도입 운영하고 있는 기업을 위해 점 본 "Security Consumer Report - DLP"는 DLP에 대한 첫 번째 사용자 보고서로 향후에도 다양 한 방식으로 DLP 사용자들의 조언과 DLP 제품 벤더의 의견을 수렴해 차기 버전을 발표할 예 정입니다. <CNCERT Security Consumer Report - DLP 위원회 구성> 김남우 위원(KTH) 김호동 위원( 웅진홀딩스) 박상훈 위원( 한국양성평등교육진흥원) 박영헌 위원( 한진정보통신) 이병수 위원(NHN I&S) 이태현 위원( 한국암웨이) 이한민 위원( 삼성SDS) ( 이름 가나다순) <CNCERT 에서는 기업/ 기관 보안 담당자를 위해 정기적으로 사용자 관점의 정보보호 솔루션 및 서비스 분석 보고서 은 Security Consumer Report를 제작하고 있습니다. 향후 보고서 제작에 참여를 원하는 회원 CNCERT 사무국으로 연락(02-3474-2490~1, info@concert.or.kr) 주시기 바랍니다> < 본 보고서에 대한 오류 및 개선 의견이 있을 경우, CNCERT 사무국으로 연락주시기 바랍니다> - 2 -
< 보고서 목차> Part Ⅰ. Security Consumer Report 개요 5 1. Security Consumer Report-DLP 제작 배경 6 2. CR-DLP 제작 목적 6 3. CR-DLP 제작의 객관성 확보 6 4. CR-DLP 제작 절차 7 5. DLP 솔루션 대상 선정 7 6. CR-DLP 제작 일정 8 7. 보고서 활용 시 유의 사항 8 Part Ⅱ. DLP 정의와 주요 기능 9 1. DLP(Data Loss Prevention) 솔루션의 정의 10 2. DLP 솔루션의 주요 기능 10 Part Ⅲ. DLP 솔루션별 검토결과 15 검토결과 활용 시 참고사항 16 DLP 솔루션별 검토결과 17 1. 더존 정보보호 서비스 / ArgosEIM & DLP 17 2. 맥아피 / Host DLP & Network DLP 23 3. 블루코트 / ProxySG & BlueCoat DLP 31 4. 시만텍 / DLP 11 39 5. 엑스큐어넷 / Venus/ContentFilter 47 6. 와이즈허브 시스템즈 / GRADIUS DLP 55 7. 워터월시스템즈 / 워터월( 지키미) 63 8. 컴트루테크놀러지 / NetCenter 69 9. 킹스정보통신 / GUARDZNE 77 Part Ⅳ. DLP 도입 후 고려사항 85 Part Ⅴ. 보고서 제작 후기 91-3 -
- 4 -
한국침해사고대응팀협의회 Part Ⅰ. Security Consumer Report 개요 - 5 -
Security Consumer Report 위원회 1. Security Consumer Report-DLP 제작 배경 본 보고서는 한국침해사고대응팀협의회(CNCERT) 의 회원으로 구성된 위원회 활동을 통 해 제작되었다. 2011년 Security Consumer Report( 이하 CR) 를 제작하기 위한 임시 CR 위원회에서는 최 근 이슈가 되고 있는 보안 분야 중 CNCERT 정회원社 가 주목하고 있는 분야가 ' 내부자 에 의한 기업 정보 유출' 이라는 것에 의견을 같이 했으며, 이를 방지하기 위한 기술적, 관리적 조치 방안으로 DLP(Data Loss Prevention) 솔루션의 도입을 손꼽았다. 이에 CR 위원회에서는 DLP 솔루션을 2011년 CR 주제로 선정하여 보 고서 제작을 추진하게 되었다. 2. CR-DLP 제작 목적 CR-DLP는 DLP 솔루션의 도입을 검토 또는 도입한 기업을 위해 DLP 솔루션에 대한 사용 자 입장에서의 비교 기준 및 분석자료를 제시하고, 활용 방법에 대한 참고자료를 제공하 는데 그 목적이 있다. CR-DLP 의 목차 역시 이를 충족하기 위한 항목으로 구성되었다. 1) DLP 솔루션의 주요 기능을 선정하고 판단하는 기준 제시 2) DLP 솔루션을 도입하고자 하는 기업 또는 보안 담당자를 위한 솔루션別 3) DLP 솔루션의 적절한 활용을 위한 도입 후 유의 사항 검토자료 3. CR-DLP 제작의 객관성 확보 CR-DLP 위원회 위원 개인의 주관적인 판단을 최대한 배제하기 위해 필수 기능 및 조사 항목을 공동으로 선정하고 이를 CR 수행에 활용하였다. DLP의 정의에 따른 조사 항목의 의미와 목적을 정확히 전달하기 위해 참여 벤더를 대상으로 ff-line 설명회 를 개최하였다. CR-DLP에서는 DLP 솔루션의 기능과 성능을 검증하기 위한 BMT 또는 PoC는 생략하였 다. 그 원인은 BMT나 PoC를 진행하는 데 있어 DLP 솔루션의 범위와 분류, 진행 환경과 방법 등이 다소 주관적일 수 있으며, 환경을 구축하기 어렵다는 점이 반영되었다. 동시에 철저한 공동 진행 형태 및 공정한 테스트 - 6 -
한국침해사고대응팀협의회 4. CR-DLP 제작 절차 CR-DLP 제작은 3 단계에 걸쳐 제작되었다. 1) 사전 조사 : CR 위원회 구성 시장 조사 및 사용자 의견 수렴 솔루션 특징 및 기능 분석 보고서 구성 및 조사 항목 선정 DLP의 정의에 따른 CR 대상 솔루션( 벤더) 선정 2) 진행 : 벤더 참여 요청 벤더 설명회 개최 조사 항목 제공 및 1차 답변 요청 자료 검토 조사 항목 추가 질의 및 2차 답변 요청 3) 검토 및 작성 : 자료 취합 최종 검토 보고서 작성 5. CR-DLP 솔루션 대상 선정 DLP 솔루션을 표방하거나 CR 위원회가 정의한 DLP의 기능을 충족하는 국내외 솔루션 전체를 1 차 조사 대상으로 파악하였다. 2011년 7 월을 기준으로 제품 홍보( 브로우셔, 홈페이지 등) 시 DLP, 또는 내부정보유출방 지라는 용어를 사용하는 18 개사를 대상으로 참여를 요청하였다. - 그 결과 일부 업체는 보고서 참여 요청 당시 DLP 솔루션으로 분류하지 않는다 고 응 답하거나, - 일부 업체는 제품 안정화 이전 이라는 이유로 참여하지 않았으며, - 일부 업체는 벤더 설명회 참여 후 보고서 제작에 참여하지 않았으며, - 일부 업체는 조사항목에 대한 기준에 문제를 제기 해 참여하지 않았으며, - 일부 업체는 조사 과정에서 참여를 번복 하기도 하였다. - 또한 일부 솔루션은 DRM 또는 통합 PC보안 솔루션의 기능을 DLP로 해석하고 있었 으나 이는 이번 CR에서 정의된 DLP 의 범위를 벗어나 위원회 차원에서 제외하였다. 조사대상 제품은 벤더 설명회 개최 및 최종 벤더의 참여의사를 반영하여 9개 회사가 확 정되었으며, 참여 벤더명은 다음과 같다. - 더존비즈온 - 맥아피 - 블루코트 - 시만텍 - 엑스큐어넷 - 와이즈허브 - 워터월시스템즈 - 컴트루테크놀러지 - 킹스정보통신 ( 이상 업체명 가나다 순) - 7 -
Security Consumer Report 위원회 6. CR 제작 일정 보고서 수행 일정은 아래와 같다. - 2011. 5. 3 : CR - 2011. 5. 23 : CR 위원회 안내 메일 발송 위원회 구성 - 2011. 5. 31 : CR 위원회 1차 회의 - 2011. 6. 2 ~ 6. 21 : CR 목차( 案 ) 취합 (n-line) - 2011. 6. 22 : CR 목차( 案 ) 초안 완성 - 2011. 7. 4 : CR 위원회 2차 회의 - 2011. 7. 5 ~ 8. 8 : 조사 항목 및 업체 현황, 담당자 연락처 취합 (n-line) - 2011. 8. 9 : DLP 솔루션 벤더 설명회 및 CR 위원회 3 차 회의 ( 토즈 강남역점) - 2011. 8. 11 ~ 8. 31 : 벤더 응답 1차 자료 취합 - 2011. 9. 3 : CNCERT - 2011. 9. 15 : CR 위원회 4차 회의 - 2011. 9. 27 : CR 위원회 5차 회의 정회원 워크샵 중간보고 - 2011. 9. 30 : 조사 항목 세분화, 구체화 작업 - 2011. 10. 3~10. 30 : 벤더 응답 자료 2차 취합 및 분석 - 2011. 11. 22. 보고서 최종 검토회의 7. 보고서 활용 시 유의 사항 본 보고서는 2011년 10 월 기준의 검토결과로서, 해당 연월 이후 독자가 보고서를 읽는 시점에서는 각 DLP 솔루션의 기능이 개선, 변경될 수 있다. 앞서 기술했듯이 각 업체의 솔루션이 CR 위원회가 정의한 DLP에 해당하는지에 대한 판 단과 본 조사에 대한 참여 여부는 전적으로 업체의 의사를 반영하였다. 본 보고서에서 사용한 조사항목은, DLP를 도입함에 있어 필요하다고 판단되는 기능으로 구성해 솔루션들이 만족하는지 여부를 확인하기 위해 개발된 것이며, 제품별로 순위를 정하는 것은 본 보고서의 취지에 위배되는 것이다. 이를 위해 현재 보안담당자로 근무 중이며 DLP 솔루션을 도입했거나 도입 예정인 7명의 위원들이 협의해 공통의 적정 수준으로 추출하고자 노력했다. 다만, DLP 를 도입하고자 하는 각 회사의 상황과 조건은 규모, 업종, 문화 등에 따라 DLP 에 대한 요구사항은 달라지기 때문에 기업이 본 보고서의 조사항목만으로 솔루션을 선정 할 수 없다고 판단되며, 기업 환경에 맞게 필요한 부분을 발췌 조합해 활용하는 것이 바 람직하다고 판단된다. - 8 -
한국침해사고대응팀협의회 Part Ⅱ. DLP 정의와 주요 기능 - 9 -
Security Consumer Report 위원회 1. DLP(Data Loss Prevention) 솔루션의 정의 본 보고서에서 사용되는 DLP 솔루션의 기준은 가트너를 비롯해 국내외에서 통용되는 DLP 의 정의를 참고하여 위원회가 재정의한 것을 기초로 하며, 본 보고서에서 사용되는 DLP 솔루션은 다음과 같은 의미를 지닌다. - DLP 란 보안 관리자에 의해 수립된 보안 정책을 바탕으로 기밀 또는 중요 데이터 에 대한 유출 차단 및 예방하는 활동을 말하며, 이를 H/W 또는 S/W로 구현한 것 을 DLP 솔루션이라 통칭한다. - DLP 솔루션이 갖추어야 할 필수 기능은 특정 데이터가 유출되는 일련의 과정을 모 니터링하고 이를 선별적으로 차단하는 것이다. 가트너(Gartner) 의 DLP 정의 : 기업 내 네트워크와 시스템에 있는 민감한 정보를 규 정하고 찾아내어 이를 정의한 이후, 이 정보의 사용과 배포를 통제하는 일련의 과정 위원회의 정의에 따라 조사항목에서 Host DLP) 로 구분하지 않았다는 점을 밝혀둔다. DLP 를 유형별(Network DLP/ Endpoint DLP/ 2. DLP 솔루션의 주요 기능 DLP의 정의에 따라 위원회는 솔루션 도입 시 필요한 검토 기준을 아래와 같은 5가지 영 역과 11 개 주요 항목으로 선별하였고, 이를 검증하기 위한 세부 항목을 < 표 1> 과 같이 정리하였다( 부연설명은 필요 시 벤더가 작성). 5개 영역 1) 설치 환경 2) 모니터링 3) 차단 기능 ( 정보 유출 방지) 4) 관리 기능 ( 장비 관리 및 리포팅) 5) 기타 기능 11개 주요 항목 1) 안정성 2) 호환성 3) 모니터링 4) 정보의 유출 차단 및 방지 5) 매체를 통한 정보 유출 제어 6) 정책 관리 7) 검색 8) 리포팅 9) 솔루션 운용 10) 11) 솔루션 보호 기능 인증여부 - 10 -
한국침해사고대응팀협의회 < 표 1> DLP 조사 세부 항목 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 응답(,) 설치 환경 모니 터링 차단: 정보 유출 방지 안정성 호환성 모니터 링 정보의 유출 차 단 및 방지 PC Agent CPU 및 메모리 점유율 설정기능 제공 여부 부연설명: 장비 오류 발생시 극복 방안 제공 여부(ex : Hardware Bypass, FD, 이중화) 부연설명: 윈도우 P(32bit 기준) 윈도우 Vista(32bit 기준) 윈도우 7(32bit) S 호환성 윈도우 7(64bit) MAC Linux 기타( 부연): 한글 다국어 지원여부 영어 기타( 부연, ex : 일본어 ) : 정보유출 실시간 모니터링 지원 부연설명: 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 PP-Up Sound SMS Mail : 기타( 부연): PC 내 특정 정보 검색 기능 제공 여부 부연설명: PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 부연설명: *.zip *.alz 압축파일 내 중요 정보 검색 기능 제공 여부 *.rar *.tar 기타( 부연): MSN(or 윈도우 ) 메신저 메신저를 통한 중요 정보( 텍스트, 파일 등) 유출제어 ( 일반적 네이트온 인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 기타( 부연): 토렌트 P2P 를 통한 정보유출 제어( 일반적인 서비스 이용은 가능 edonkey 하되, 특정 정보에 대한 선별적 제어) 푸르나 기타( 부연): 윈도우 공유폴더를 통한 정보유출제어( 일반적인 서비스 이용은 가능하되, 특정 정 보에 대한 선별적 제어) 부연설명: Telnet 에 대한 제어 여부( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선 별적 제어) 부연설명: FTP 파일전송( 프로토콜) 에 대한 제어(Active또는Passive)( 일반적인 서비스 이용은 가 능하되, 특정 정보에 대한 선별적 제어) 부연설명: 데이콤 웹하드 웹하드 등 파일 업/ 다운로드 프로그램을 통한 정보유출 U 클라우드 (KT) 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대 N 드라이브 한 선별적 제어) 구글 DC 기타( 부연): 지메일 WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 네이버 메일 - 11 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 응답(,) 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) 웹사이트 접근제어 및 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 한메일 핫메일 파란 메일 기타( 부연): PP3 SMTP IMAP 기타( 부연): 게시판 글쓰기 파일첨부 기타( 부연): 관리 :장비 관리 및리 포팅 매체를 통한 정 보 유출 제어 정책관 리 특정포트( 사용자등록포트) 에 대한 정보유출 제어 부연설명: 특정프로그램( 사용자등록프로그램) 에 대한 정보유출 제어 부연설명: 오프라인 상태에서의 정보 유출 제어 부연설명: CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선 별적 제어) 부연설명: 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별 적 제어) 부연설명: 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명: PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명: USB 포트를 이용한 외장형 저장장치에 대한 제어( 일반적인 서비스 이용은 가능하 되, 특정 정보에 대한 선별적 제어) 부연설명: 프린터제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 주민번호 카드정보 주요 개인정보에 대한 특정 패턴 제공 이메일 주소 휴대전화번호 기타( 부연): 파일 사이즈 사용자 정의 패턴 키워드 IP 대역 다양한 조건에 의한 차단정책 설정 지원 부서별 직원별 건수 관리자가 등록한 특정 컨텐츠와 데이터 일치율 비교 가능 여부 부연설명: 정책백업 제공 여부 부연설명: 정책 변경 이력 조회 기능 부연설명: 기타( 부연): - 12 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 응답(,) 검색 리포팅 솔루션 운용 다양한 조건을 이용한 검색 기능 부연설명: 검색 결과 내 추가 검색 기능 부연설명: 검색 결과에서 상세 내용으로의 Link 기능 부연설명: 특정 기간별 리포팅 제공 다양한 조건에 대한 리포팅 지원 국문리포팅 지원( 외산벤더) 부연설명: 주기적인 리포팅 자동 생성 및 발송 지원 부연설명: 주기적인 탐지/ 차단 패턴업데이트 부연설명: 별도의 로그 서버 및 응용 프로그램 필요 여부 부연설명: 업데이트 내역 확인 부연설명: 일일 단위 주간단위 월 단위 연 단위 사용자 지정 기타( 부연): 부서별 직원별 내용별 기간별 유출시도 경로별 시간대별 위반건수 별 기타( 부연): 기타 솔루션 보호 기능 인증 여부 Agent 강제 종료 방지( 강제 삭제, 설정수정 등) 부연설명: Agent 강제 종료 우회시도 사용자 확인 부연설명: 안전모드에서의 Agent 기능 제공 부연설명: 접근권한( 계정) 관리 부연설명: 관리자용 접근 IP 또는 대역 제한 기능 부연설명: 관리자 로그인 제한 시간 설정 부연설명: Server-Agent 부연설명: 인증 현황 부연설명: 데이터 전송 암호화 (CC 인증 혹인 국정원 보안성 평가 통과 여부) - 13 -
Security Consumer Report 위원회 - 14 -
한국침해사고대응팀협의회 Part Ⅲ. 솔루션별 검토 결과 - 15 -
Security Consumer Report 위원회 검토결과 활용 시 참고사항 모든 보안 솔루션이 그러하겠지만, DLP 역시 도입 완료 후 적절하게 운영되지 못할 경우, 그 피해비용은 단순 도입 비용뿐 아니라 도입한 관계자들에게 다양한 문제( 시간적, 정신적 피해 등) 를 야기시킬 수 있다. 특히, DLP는 단순한 장비라기보다 내부통제를 위해 필요한 솔루션인만큼 제품 선정 이외 에도 보안운영자 및 관리자가 DLP 도입 전 기업의 다양한 요소를 고려하여야 한다. DLP 솔루션을 성공적으로 도입 운영하기 위해 기업이 준비 또는 고려할 사항을 나열하면 다음 과 같다. 1) 2) 3) 정보 자산 등급을 포함한 데이터 등급 분류 유출 탐지 대상 선별 유출경로 식별 4) 기술적, 법적 요구사항 및 필요 기능 도출 5) 구축 후 지속적인 운영 및 관리 인력 확보 계획 6) 구축된 사이트 방문, 담당자의 의견 듣기 및 성공사례 꼭 확인하기 7) 8) 기존 인프라와의 호환성 및 통합 검토 연관된 인력들의 다양한 의견을 듣거나 참여 환경 만들기 9) 기술적 기능 요구사항, 검증방법 및 계획수립 10) 자사에 맞는 모델 찾기 및 아웃바운드 통제 정책 수립 DLP를 도입하기 이전에 점검하고 검토할 사항에 대한 이해를 돕기 위해 본 보고서에서는 9개 벤더의 DLP 제품에 대한 기술자료를 통해 다음과 같은 형식으로 솔루션을 검토해 정 리하였다. - 업체명 / 제품명 / DLP 분류 / 레퍼런스 - - 위원회 솔루션 총평 벤더가 말하는 솔루션 특장점 - 솔루션별 DLP 세부항목 검토결과 소개 순서는 업체명 가나다순 이 중 위원회 총평 은 각 위원이 벤더의 제품에 대해 기술적인 자료 수집 및 미팅을 통해 서 제품에 대한 전체적인 평가를 내린 것이며, 세부항목 검토결과 표는 DLP의 기능 중 사 용자 관점에서 필요하다고 판단된 항목을 표로 구성해 벤더에게 질의를 요청하고, 이에 대 한 답변을 검토해 반영한 결과이다. DLP의 분류기준에 따라 조사내용이 적용되지 않은 항목은 해당없음 으로 분류함 - 16 -
한국침해사고대응팀협의회 DLP 솔루션별 검토결과 1. 더존 정보보호 서비스 / ArgosEIM & DLP 분류 : Endpoint DLP 주요 레퍼런스 : 경기대 RIC, 일반기업 40여개 등 위원회 제품 총평 더존 정보보호 서비스에서 개발한 아르고스 이아이엠(Argos EIM) 은 Endpoint DLP 제품으로 기업에서 업무 수행 중 작성되는 각종 문서들 가운데 특히, 중요정보가 포함된 문서의 효율 적인 관리 및 기밀 유출방지를 위해 설계된 제품으로 문서의 유입 및 유출경로 파악, 라이프 사이클 관리, 매체제어 등의 기능을 제공한다. 또한, 외산 제품 대비 가격경쟁력과 사후 서비 스에서 장점이 있는 것으로 파악되었다. 다만 출시된 지 얼마 되지 않아 현재까지 제품 도입 레퍼런스 수가 상대적으로 적으며, CC 인증을 받지 못한 상태이므로 공공기관에는 적용하기 어렵다는 점은 아쉬운 점이다. 정보유출에 대한 법적 증거 확보를 필요로 하는 디지털 포렌식 기반의 제품을 고려하는 기 업에서는 적절할 것으로 보여지며, 주로 중소기업 중심으로 수요가 있을 것으로 판단된다. 벤더가 말하는 제품 특징 ArgosEIM 은 내부 사용자에 대한 기밀정보 보유여부를 조사하며, 웹메일, USB 등 온/ 오프라 인을 통한 기밀 정보의 외부유출을 사전에 차단하고 실시간 감시를 통해 기밀정보보유 파일 의 이력관리를 지원하여 기밀정보 Life Cycle 관리 전문 솔루션이다. 1. 2. - 최적의 기업 정보 관리시스템 구축 포렌식 기술을 기반으로 개인정보 등의 기업 정보 포함 파일 검사 - 전체 대상으로 중앙 조사를 예약 실시함으로써 미조사 PC 방지 - 사용자가 직접 사용 중인 PC를 점검할 수 있는 자가 진단 기능 구현 최상의 검색 성능 지원 - 다양한 문서 파일 (MS-FFICE, HWP, PDF 등) 지원 - 시그너처 분석을 통한 확장자 변경 파일 검색 지원 - 다단계( 무제한) 압축파일 지원 - 업무에 영향을 미치지 않도록 성능 최적화 3. 포렌식 기술기반의 e-discovery 지원 - Agent의 중요 기업 정보포함 원본 파일의 중앙서버 저장기능으로 증거자료 제공 - 파일의 생성부터 삭제까지 히스토리 제공 - 외부 저장 매체, 네트워크를 통한 유출 차단 - 네트워크 유출 감시 시 유출 행위 발생시 동영상 생성 및 중앙 저장 - 노트북 반출입 통제 - 17 -
Security Consumer Report 위원회 < 표 2> 더존 정보보호 서비스 / ArgosEIM & DLP 세부항목 점검결과 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 설치환경 모니터링 차단: 정보유출 방지 안정성 호환성 모니터링 정보의 유출 차단 및 방지 PC Agent CPU 부연설명 : CPU 및 메모리 점유율 설정기능 제공 여부 사용율에 대한 제어 가능 장비 오류 발생 시 극복 방안 제공 여부(ex : Hardware Bypass, FD, 이중화) S 호환성 다국어 지원여부 정보유출 실시간 모니터링 지원 부연설명 : 파일 필터 드라이버를 통한 실시간 파일 모니터링 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 PC 내 특정 정보 검색 기능 제공 여부 부연설명 : 파일 라이프 사이클 PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 부연설명 : 수동 암호화 제공, AES, Seed 압축파일 내 중요 정보 검색 기능 제공 여부 (,) 윈도우 P(32bit 기준) 윈도우 Vista(32bit 기준) 윈도우 7(32bit) 윈도우 7(64bit) MAC Linux 기타( 부연): Win2000 이상 모든 윈도우 버전 한글 영어 기타( 부연, ex : 일본어) : 중국어, 일본어 PP-Up Sound SMS Mail : 기타( 부연) : 공지전송 기능을 통해 전송 *.zip *.alz *.rar *.tar 기타( 부연) : gzip, 7z 등 - 18 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 메신저를 통한 중요정보( 텍스트, 파일 등) 유출제어( 일반적인 서비스 이용 은 가능하되, 특정 정보에 선별적 제어) P2P 를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보 에 선별적 제어) (,) MSN(or 윈도우) 메신저 네이트온 기타( 부연) : 업로드만 제어 토렌트 edonkey 푸르나 기타( 부연) : 프로세스 제어 방식으로 가능 윈도우 공유 폴더를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 부연설명 : 감시만 가능 Telnet 에 대한 제어 여부( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 부연설명 : 프로세스 제어 방식으로 가능 FTP 파일전송( 프로토콜) 에 대한 제어(Active 또는 Passive)( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 부연설명 : 프로세스 제어 방식으로 가능 웹하드 등 파일 업/ 다운로드 프로그램을 통한 정보유출 제어( 일반적인 서 비스 이용은 가능하되, 특정 정보에 선별적 제어) WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) 데이콤 웹하드 U 클라우드(KT) N 드라이브 구글 DC 기타( 부연) : 프로세스 제어 방식으로 가능 지메일 네이버 메일 한메일 핫메일 파란 메일 기타( 부연) : 첨부 파일만 차단 PP3 SMTP IMAP 기타( 부연) : 첨부 파일만 차단 - 19 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 관리 :장비관리 및리포팅 매체를 통한 정보 유출 제어 정책관리 웹사이트 접근제어 및 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 특정포트( 사용자등록포트) 에 대한 정보유출 제어 부연설명 : 포트 제어 모듈 탑재 특정프로그램( 사용자등록프로그램) 에 대한 정보유출 제어 부연설명 : 대부분의 프로그램 제어 가능 오프라인 상태에서의 정보 유출 제어 (,) 게시판 글쓰기 파일첨부 부연설명 : 관리자가 설정한 오프라인 정책에 의해 제어( 파일, 네트워크, 매체) CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 부연설명 : 읽기 / 쓰기 차단 기능 제공 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 부연설명 : 차단 및 감시 가능 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 부연설명 : 차단 및 감시 가능 기타( 부연) : 화이트리스트, 블랙리스트 기반 모두 가능 PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) USB 포트를 이용한 외장형 저장장치에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 부연설명 : 메모리카드, 외장하드 등 대부분의 저장장치 읽기/ 쓰기 제어 프린터제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 선별적 제어) 부연설명 : 차단, 모니터링, 워터마크 지원 주요 개인정보에 대한 특정 패턴 제공 다양한 조건에 의한 차단정책 설정 지원 주민번호 카드정보 이메일 주소 휴대전화번호 기타( 부연) : 정규표현식, 유효성 검사 지원 파일 사이즈 사용자 정의 패턴 키워드 IP대역 - 20 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 검색 관리자가 등록한 특정 컨텐츠와 데이터 일치율 비교 가능 여부 정책백업 제공 여부 부서별 직원별 건수 기타( 부연): 부연설명 : 개인별/ 부서별 적용된 정책은 모두 DB 화 되어 저장되어 있어 관리 툴에서 상시 확인 가능, Config, Log는 수동 툴을 이용해 직접 수집 가능 정책 변경 이력 조회 기능 부연설명 : 각 개인별로 정책 변경 이력 조회 가능 다양한 조건을 이용한 검색 기능 부연설명 : 확장자, 시그니처, 경로, 드라이브, 파일 메타 데이터, 키워드 등을 이용해 검색 조건 생성 가능 검색 결과 내 추가 검색 기능 (,) 검색 결과에서 상세 내용으로의 Link 기능 리포팅 특정 기간별 리포팅 제공 다양한 조건에 대한 리포팅 지원 일일 단위 주간단위 월 단위 연 단위 사용자 지정 기타( 부연) : Excel Export 제공 부서별 직원별 내용별 기간별 유출시도 경로별 시간대별 위반건수 별 기타( 부연) : Excel Export 제공 - 21 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 기타 솔루션 운용 솔루션 보호 기능 국문리포팅 지원( 외산벤더) 부연설명 : 2011년 내 지원 예정 주기적인 리포팅 자동 생성 및 발송 지원 부연설명 : 2011년 내 지원 예정 주기적인 탐지/ 차단 패턴업데이트 부연설명 : 추후 지원 예정 별도의 로그 서버 및 응용 프로그램 필요 여부 부연설명 : DB (MS-SQL) 필요 업데이트 내역 확인 부연설명 : 각 개인별로 어떤 버전으로 업데이트 되었는지 내역 확인 가능 Agent 강제 종료 방지( 강제 삭제, 설정수정 등) Agent 부연설명 : 프로세스, 서비스에 대한 종료 방지 및 프로그램 추가/ 삭제에서의 삭제 방지, Agent 파일 강제 삭제 방지, 이름 변경 방지 강제 종료 우회시도 사용자 확인 안전모드에서의 Agent 기능 제공 접근권한( 계정) 관리 관리자용 접근 IP 또는 대역 제한 기능 관리자 로그인 제한 시간 설정 부연설명 : 제한시간 초과시 자동 장금 Server-Agent 데이터 전송 암호화 부연설명 : SSL 사용 벤더평가 인증 현황 (CC 인증 혹인 국정원 보안성 평가 통과 여부) (,) - 22 -
한국침해사고대응팀협의회 2. 맥아피 / Host DLP & Network DLP 분류 : Endpoint DLP & Network DLP 주요 레퍼런스 : S 사, A 사, M사 등 다수 위원회 제품 총평 한국맥아피의 DLP 솔루션은 크게 ' 호스트 DLP' 와 ' 네트워크 기반 DLP' 로 구분된다. 호스트 DLP 는 데이터 유출의 주요 경로인 저장매체, 통신매체, 네트워크 서비스 및 애플리케이션의 사용 및 데이터 흐름을 감시, 차단해 고의적, 실수에 의한 데이터 유출 위험을 최소화하는 에이전트 기반 제품으로, 매체 제어, 데이터, 유출 감시, 차단, ep를 통한 시스템 보안과 통 합 관리 등을 주요 기능으로 제공한다. 호스트 DLP는 중앙관리솔루션 ep에 통합관리 될 수 있고 매체제어가 가능하다는 점을 장점으로 꼽을 수 있다. 그러나 네트워크 DLP의 경우는 차단 기능을 구현하기 위해서는 별도의 Gateway 서버가 필 요하다는 점과 국내 유저들이 많이 사용하고 있는 메신저인 네이트온과 압축 프로그램 알집 에 대한 검색기능 미제공, 안전모드에서의 호스트 DLP 미작동 등은 솔루션 도입 담당자들이 기억해 둬야 할 필요가 있다. 벤더가 말하는 제품 특징 o 호스트 DLP : 내부자에 의한 데이터 유출의 주요 경로인 저장매체, 통신매체, 네트워크 서 비스 및 어플리케이션의 사용 및 데이터 흐름을 감시, 차단함으로 고의 또는 실수에 의한 데이터 유출 위험을 최소화하는 에이전트 기반의 DLP 솔루션. 390가지 이상 파일 형식을 지원하는 컨텐트 기반 분석( 키워드, 정규식 지원) 이 가능하며, 태깅(Tagging) 기술을 이용 해 파일형식 변경, 복사/ 붙여넣기, 캡쳐 등 다양한 추적 회피방법에 대한 추적이 가능하다. 또한 대외비 데이터 흐름만을 제어해 사용자 불편을 최소화하는 한편, 증거물 형식으로 저장함으로서 감사, 포렌식 자료로 활용할 수 있다. 유출 적발문건을 o 네트워크 DLP : 저장된 데이터(Data at Rest) 및 전송되는 데이터(Data in Motion) 에 대한 네트워크 기반 데이터 유출 방지 솔루션으로, 네트워크로 전송되는 데이터에 대한 감시, 차단, 기록 및 사내 저장 데이터 대한 뛰어난 가시성을 제공한다. 특히 웹 검색 엔진과 같 은 인터페이스로 손쉬운 이력 조회 및 데이터 마이닝, 300가지 이상의 문서유형 및 다양 한 네트워크 프로토콜을 지원하며, 유출 의심 사고에 대한 케이스 관리 기능으로 유출 사 고 처리 기반을 제공한다. - 23 -
Security Consumer Report 위원회 < 표 3> 맥아피 / Host DLP & Network DLP 세부항목 점검결과(Host DLP와 Network DLP 의 기능을 합친 조사표임) 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 차단: 정보유 안정성 호환성 모니터링 정보의 유출 PC Agent CPU 및 메모리 점유율 설정기능 제공 여부 부연설명 : 클라이언트 PC 내 특정 키워드, 혹은 태깅(McAfee Host DLP 기능) 이 걸려져 있는 문서를 검색 시 설정 장비 오류 발생시 극복 방안 제공 여부(Hardware Bypass, FD, 이중화) S 부연설명 : 중앙 관리 서버(eP) 이중화 지원, 네트워크 DLP 구성시 웹 게이트웨이 구성 시 L4 구성 지원 호환성 다국어 지원여부 윈도우 윈도우 (,) P(32bit 기준) Vista(32bit 기준) 윈도우 7(32bit) 윈도우 7(64bit) MAC Linux 기타( 부연): 한글 영어 기타( 부연, ex : 일본어) : 일본어, 독어, 불어 등을 비롯한 7 개 언어 지원 정보유출 실시간 모니터링 지원 부연설명 : 대쉬보드 커스터마이징(eP) 기능 및 위협 현황 대쉬보드 지원 PP-Up Sound 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 SMS Mail : 기타( 부연) : 중앙 관리 콘솔(eP) 상에서 자동 통지 및 보 PC 내 특정 정보 검색 기능 제공 여부 부연설명 : 호스트 DLP 와 네트워크 DLP 에서 디스커버 기능 제공 고서 생성 - 24 -
한국침해사고대응팀협의회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 출방지 차단 및 방지 PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 부연설명 : PC 내 중요 정보 탐지 시 McAfee EEFF( 파일 및 폴더 암호화) 솔루션 연동 사용시 자동 암호화 수행 압축파일 내 중요 정보 검색 기능 제공 여부 메신저를 통한 중요 정보( 텍스트, 파일 등) 유출제어( 일반적인 서비스 이용 은 가능하되, 특정 정보에 대한 선별적 제어) P2P 를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보 에 대한 선별적 제어) *.zip *.alz *.rar *.tar 기타( 부연): (,) MSN(or 윈도우) 메신저 네이트온 기타( 부연) : 호스트 DLP 에서 모두 지원( 첨부파일) 하나, 네 트워크 토렌트 edonkey 푸르나 DLP에서는 네이트온 지원 안함 기타( 부연) : 호스트 DLP 에서 모두 지원하나, 네트워크 DLP에서는 P2P 지원 안함 윈도우 공유폴더를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 호스트 DLP에서 탐지만 지원 Telnet 에 대한 제어 여부( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 호스트 DLP 에서 제어 가능, 네트워크 DLP에서는 탐지만 가능 FTP 파일전송( 프로토콜) 에대한제어(Active또는Passive) ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 웹하드 등 파일 업/ 다운로드 프로그램을 통한 정보유출 제어( 일반적인 서 비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 데이콤 웹하드 U 클라우드(KT) N 드라이브 - 25 -
Security Consumer Report 위원회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 매체를 통한 정보 유출 WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) 웹사이트 접근 제어 및 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 특정포트( 사용자등록포트) 에 대한 정보유출 제어 부연설명 : 호스트 DLP에서 포트 정의 가능 특정프로그램( 사용자등록프로그램) 에 대한 정보유출 제어 구글 DC 기타( 부연) : 지메일 네이버 메일 한메일 핫메일 파란 메일 기타( 부연) : PP3 SMTP IMAP (,) 기타( 부연) : 호스트 DLP에서 MS 아웃룩 및 Notes 지원, 네트워크 DLP에서는 모두 지원 게시판 글쓰기 파일첨부 기타( 부연): 부연설명 : 특정 프로그램 상에서 생성된 모든 자료에 태깅 부여 및 태깅(Tagging) 이 포함된 자료 제어 가능 오프라인 상태에서의 정보 유출 제어 CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) - 26 -
한국침해사고대응팀협의회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) (,) 제어 USB 포트를 이용한 외장형 저장장치에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 관리 :장비관 리및리 포팅 정책관리 검색 프린터 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 주요 개인정보에 대한 특정패턴 제공 다양한 조건에 의한 차단정책 설정 지원 관리자가 등록한 특정 컨텐츠 내용와의 데이터 비교 정책백업 제공 여부 정책 변경 이력 조회 기능 주민번호 카드정보 이메일 주소 휴대전화번호 기타( 부연) : 정규 표현식을 이용하여 패턴 생성 파일 사이즈 사용자 정의 패턴 키워드 IP대역 부서별 직원별 건수 기타( 부연): 다양한 조건을 이용한 검색 기능 검색 결과 내 추가 검색 기능 검색 결과에서 상세 내용으로의 Link 기능 - 27 -
Security Consumer Report 위원회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 리포팅 특정 기간별 리포팅 제공 다양한 조건에 대한 리포팅 지원 국문리포팅 지원( 외산벤더) 일일 단위 주간단위 월 단위 연 단위 사용자 지정 기타( 부연): 부서별 직원별 내용별 기간별 유출시도 경로별 시간대별 위반건수 별 기타( 부연): 부연설명 : 호스트 DLP 한글보고서 지원, 네트워크 DLP 에서는 한글보고서 지원 안함 주기적인 리포팅 자동 생성 및 발송 지원 (,) 기타 솔루션 운용 솔루션 보호 기능 주기적인 탐지/ 차단 패턴업데이트 별도의 로그 서버 및 응용 프로그램 필요 여부 부연설명 업데이트 내역 확인 : 중앙 관리 서버에서 로그 저장 및 보고서 생성 Agent 강제 종료 방지( 강제 삭제, 설정수정 등) Agent 강제 종료 우회시도 사용자 확인 안전모드에서의 Agent 기능 제공 - 28 -
한국침해사고대응팀협의회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 (,) 접근권한( 계정) 관리 관리자용 접근 IP 또는 대역 제한 기능 인증여부 관리자 로그인 제한 시간 설정 Server-Agent 데이터 전송 암호화 인증 현황 (CC 인증 혹인 국정원 보안성 평가 통과 여부 ) 부연설명 : 본사에서 글로벌 CC 인증 절차 진행 중 - 29 -
Security Consumer Report 위원회 - 30 -
한국침해사고대응팀협의회 3. 블루코트 / ProxySG BlueCoat DLP 분류 : 보안 Proxy + Network DLP 주요 레퍼런스 : 삼성, PSC, KB 은행(ProxySG), KSCM(DLP) 등 위원회 제품 총평 블루코트DLP는 웹게이트웨이와 웹가속기로 알려진 블루코트사에서 네트워크 기반으로 출시 된 DLP 장비로 네트워크상에서 유출되는 정보에 대한 탐지 및 차단 기능을 제공하는 솔루션 이다. 블루코트 DLP만 사용하는 경우 유출정보에 대한 탐지만을 제공하지만 블루코트의 보 안 ProxySG 와 혼용하여 사용하는 경우 차단까지 가능하다. 특히 차단과 연동하여 사용되는 보안 ProxySG장비는 국내 및 해외의 다양한 사이트에 대한 URL DB를 확보하고 이를 토대로 각 보안 담당자들이 쉽게 외부로 유출될 수 있는 경로를 쉽게 적용할 수 있는 장점이 있다. 웹폴더, P2P, 포털, 웹메일 등의 사이트를 간결하게 카테 고리화 시켜 담당자들의 이해를 도울 수 있다. 각 장비들이 연동되어 사용될 때의 탐지 및 차단에 대한 흐름은 먼저 ProxySG 장비에서 담당자가 정의한 룰( 헤더조건, 프로토콜 등) 에 맞 는 조건에 대해서 1 차적인 필터링을 하며, 2차적으로 특정패턴에 대해 분석장비로 전달되어 카드번호, 주민등록번호, 회사 내 기밀정보 등에 대해서 구분하여 탐지/ 차단된다. 또한 별도 의 레포트 솔루션이 존재하여 URL 별, 호스트별, IP 별, 서버별 등 다양한 필터에 맞게 대쉬보 드 형태의 레포트를 보여주어 담당자들에게 로그에 대한 직관성을 제공한다. 다만, 염려되는 부분은 외산 벤더이기 때문에 국내의 유출경로 사이트에 대한 카테고리 정의 가 미흡한 점과 ProxySG를 이용한 연동 차단 방식을 적용하는 경우 ProxySG 장애 발생 시 네트워크에 대한 가용성이 떨어질 수 있는 점을 꼽을 수 있다. 해당 솔루션은 네트워크 기반의 솔루션이기 때문에 사용자 레벨의 PC 충돌 및 가용성에 영 향력을 주지 않기 때문에 MAC, LINU 환경이나 연구소 또는 Agent가 설치될 수 없는 환경 에서 설치환경에 구애받지 않고 DLP 역할을 충실히 할 수 있다고 판단된다. 벤더가 말하는 제품 특징 BlueCoat DLP는 단일 장비에서 Discovery, Email DLP, Network DLP 직관적인 설정 및 손쉬운 관리 기능으로 낮은 기능을 동시에 제공하고 TC 를 제공한다. 또한 다양한 패턴 등록은 물 론 실제 유출 방지 대상인DB 및 파일 데이터에 대한 지문 생성기능인 데이터 등록 기능을 제공하여 정교하고 낮은 False Positive 가 가능하다. ProxySG는 해외의 경우 인터넷 사용에 대한 필수적인 보안 플랫폼으로 대부분의 기업들이 사용하고 있는 솔루션으로서 정보유출 탐지 기능을 제공하는 Network DLP 의 차단 기능을 위해서는 필수적인 장비이다. DLP가 콘텐츠의 내용에 대한 검색으로 정책을 가져갈 수 있 다면 ProxySG는 DLP와 연동으로 실제 세션 차단 및 차단 메시지를 사용자에게 제공하는 차 단 기능을 제공하는 것과 더불어 SSL 트래픽 검색, 악성코드 및 피싱 사이트, 원격접속 차단, 웹메일/SNS 통제 기능 등으로 정보 유출의 원천 차단의 효과를 제공한다. - 31 -
Security Consumer Report 위원회 < 표 4> 블루코트 / ProxySG & BlueCoat DLP 세부항목 검토결과(ProxySG & BlueCoat DLP 의 기능을 합친 조사표임) 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 설치환경 모니터링 안정성 호환성 모니터링 PC Agent CPU 및 메모리 점유율 설정기능 제공 여부 부연설명 : 하드웨어 기반의 장비임으로 해당 사항 없음 장비 오류 발생시 극복 방안 제공 여부(ex : Hardware Bypass, FD, 이중화) 부연설명 : FD/ 이중화 지원 S 호환성 다국어 지원여부 윈도우 윈도우 P(32bit 기준) Vista(32bit 기준) 윈도우 7(32bit) 윈도우 7(64bit) MAC Linux (,) 해당사항 없음 해당사항 없음 기타( 부연) : Network DLP로 구축이 되기 때문에 S호환 성 구분이 필요하지 않음 한글 영어 기타( 부연, ex : 일본어) : 정보유출 실시간 모니터링 지원 부연설명 : 네트워크상에 위치하여, 네트워크상의 패킷을 탐지, 프로토콜별 / 사용자별 등 실시간 모니터링 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 PP-Up Sound SMS Mail : 기타( 부연) : - ProxySG : 정책 위반시 해당 PC의 접속화 면에 Pop-UP 표시( 사이트차단 / 업로드차단 등) - Blue Coat DLP : 등록된 관리자 이메일로 통보 SMS 를 제공해 주는 시스템과 연동을 통해서 지원 가능 - 32 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 차단: 정보유출 방지 정보의 유출 차단 및 방지 PC 내 특정 정보 검색 기능 제공 여부 부연설명 : - 특정서버내의 저장파일이 다른 서버에 있는지 확인하는 서버-Discovery 기능만 보유 - 로컬 PC 내의 " 공유폴더 " 일 경우에는 Discovery 가능 PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 압축파일 내 중요 정보 검색 기능 제공 여부 메신저를 통한 중요정보 ( 텍스트, 파일 등) 유출제어 ( 일반적인 서비스 이용은 가 능하되, 특정 정보에 대한 선별적 제어) P2P 를 통한 정보 유출제어 ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대 한 선별적 제어) *.zip *.alz *.rar *.tar (,) 기타( 부연): - 특정 서버 내의 저장 파일이 다른 서버에 있는지 확인하는 서버 - Discovery 기능 가능 - 로컬 PC 내의 " 공유폴더 " 일 경우 있는 압축파일 Discovery 기능 - 국산 고유 포멧 압축파일은 지원하지 않음( 예 : EGG) MSN(or 윈도우) 메신저 네이트온 기타( 부연) : (BC4_ 메신저차단.JPG) - "URL/IP/PRT 차단" 을 통한 메신저 자체의 로그인 차단 / 로그인을 할 수 없기 때문에 파일 업/ 다운로드 차단 - 메신저의 내용을 탐지하기 위해서는 "HTTP방식의 메신 저" 인 경우 내용탐지 및 로깅 수행 토렌트 edonkey 푸르나 부연설명: - URL/IP/PRT 차단을 통한 P2P 정보유출 차단 기능을 제공하나 전송 데이터에 대한 내용탐지 및 로깅 수행을 기능을 제공하지 않음. - 33 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 윈도우 공유 폴더를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) Telnet 에 대한 제어 여부 ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : ProxySG - 인증 / 접속자 세션 수 제어 가능 FTP 파일전송 ( 프로토콜 ) 에 대한 제어(Active 또는Passive) ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : http/https/smtp/ftp 등 다양한 프로토콜을 통한 정보유출 제어(80 여개의 카테고리별 자동 분류 / 차단 ) 웹하드 등 파일 업/ 다운로드 프로그램을 통한 정보유출 제어 ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) 웹사이트 접근제어 및 정보유출 제어 ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) (,) 데이콤 웹하드 U 클라우드 (KT) N 드라이브 구글 DC 기타( 부연) : 웹하드 IP/URL 로그인 차단 및 업/ 다운로드 제어 (80 여개의 카테고리별 자동 분류 / 차단) 지메일 네이버 메일 한메일 핫메일 파란 메일 기타( 부연) : 웹메일 IP/URL 차단 및 업/ 다운로드 제어 PP3 SMTP IMAP 기타( 부연) : 웹메일 IP/URL 차단 및 업/ 다운로드 제어 게시판 글쓰기 파일첨부 기타( 부연) : - 특정 웹사이트의 IP/URL 차단(80여개의 카테고리별 자 동 분류 / 차단) - 게시판 업로드 차단/ 첨부파일제어 / 본문내용 제어 - 34 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 관리: 장비 관리 및 리포팅 매체를 통한 정보 유출 제어 정책관리 특정포트 ( 사용자등록포트 ) 에 대한 정보유출 제어 부연설명 : 정책에 의한 포트 정보유출 제어 가능 특정프로그램 ( 사용자등록프로그램 ) 에 대한 정보유출 제어 부연설명 : http/https/ftp 등의 다양한 프로토콜을 사용하여, 인터넷을 이용하는 프로그램의 정보유출은, 네트워크상의 트 래픽을 탐지 및 차단하므로 정보유출 제어 오프라인 상태에서의 정보 유출 제어 부연설명 : Network DLP 이기 때문에 오프라인 상태의 정보 유출제어 기능을 제공하지 않음. CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) USB 포트를 이용한 외장형 저장장치에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 프린터제어 ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 주요 개인정보에 대한 특정 패턴 제공 다양한 조건에 의한 차단정책 설정 지원 주민번호 카드정보 이메일 주소 휴대전화번호 (,) 해당사항 없음 기타( 부연) : 다양한 개인정보 패턴( 주민등록번호, 카드번 호, 이메일 등) 제공 및 정규식/ 비정규식 제공 파일 사이즈 사용자 정의 패턴 키워드 IP대역 - 35 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 검색 관리자가 등록한 특정 컨텐츠와 데이터 일치율 비교 가능 여부 부연설명 : - 탐지 및 차단을 위한 프로토콜 지정 - 파일속성 및 패턴 / 파일내용의 핑거프린트 지정 정책백업 제공 여부 부연설명 : 설정된 보안정책파일 백업 기능 제공 정책 변경 이력 조회 기능 부연설명 : 관리자/ 중간관리자등의 정책변경 이력 조회 가능 다양한 조건을 이용한 검색 기능 부연설명 : 사용자별 / 정책별/ 기간별 등 다양한 검색기능 제공 검색 결과 내 추가 검색 기능 부연설명 : 최초 검색결과에서, 추가 검색( 필터) 제공 검색 결과에서 상세 내용으로의 Link 기능 부연설명 : - 검색 후 해당 검색된 결과의 상세 내용으로 Link 항목 제공 - Link 항목 선택 시, 세부항목으로 이동 리포팅 특정 기간별 리포팅 제공 부서별 직원별 건수 (,) 기타( 부연) : - 파일타입, 파일 사이즈 등 파일속성에 대 한 정책설정 및 예외설정 지원 - 부서명, 건수, 사용자, IP대역 속성에 대한 정책설정 및 예외설정 지원 일일 단위 주간단위 월 단위 연 단위 사용자 지정 기타( 부연) : 특정 기간별( 일, 주, 월, 년 및 사용자 지정 기간) 검색 및 조회를 통한 리포팅 제공 - 36 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 부서별 직원별 내용별 (,) 다양한 조건에 대한 리포팅 지원 기간별 유출시도 경로별 시간대별 위반건수 별 기타( 부연) : 다양한 검색조건 ( 특정부서, 직원, 내용, 유출 ( 시도) 경로, 시간, 특정 룰 등) 을 통한 리포팅 지원 국문리포팅 지원( 외산벤더 ) 솔루션 운용 주기적인 리포팅 자동 생성 및 발송 지원 부연설명 : 다양한 그래프/ 서식 생성 등을 통한 자동 리포팅 생성 제공 주기적인 탐지/ 차단 패턴업데이트 부연설명 : - 전세계적으로 WebPluse 라는 클라우드 센터에서 실시간 패턴 업데이트 (1일 약6 회) - 전세계적으로 구축된 개별장비에서, URL 정보 클라우드 센타에 전송 및 분석 후, 전세계적인 자동 업데이트 별도의 로그 서버 및 응용 프로그램 필요 여부 부연설명 : - 어플라이언스 장비이므로, 자체 S 및 DB를 이용한 로깅 별도의 로그서버 필요하지 않음 - 자체 제공하는 응용프로그램 사용 (Proxy 는 별도 리포팅) 기타 솔루션 보호 기능 업데이트 내역 확인 부연설명 : 관리자 화면 창에서 업데이트 내역 확인 Agent 강제 종료 방지( 강제 삭제, 설정수정 등) Agent 강제 종료 우회시도 사용자 확인 - 37 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 인증여부 안전모드에서의 Agent 기능 제공 접근권한 ( 계정) 관리 부연설명 : 관리자 화면의 접근을 위한 계정관리 제공 관리자용 접근 IP 또는 대역 제한 기능 부연설명 : - ProxySG : 접근 IP 또는 대역 제한 가능 - Blue Coat DLP : 미제공 관리자 로그인 제한 시간 설정 Server-Agent 데이터 전송 암호화( 네트워크 DLP 의 경우, 장비와 관리자 Agent 간 데이터 암호화) 부연설명 : SSL 적용 인증 현황 (CC 인증 혹인 국정원 보안성 평가 통과 여부) 부연설명 : - ProxySG : 국제 CC인증 획득 - Blue Coat DLP : 국제 CC인증 준비 중 (,) - 38 -
한국침해사고대응팀협의회 4. 시만텍 / DLP 11 분류 : Endpoint DLP & Network DLP 주요 레퍼런스 : 현대증권, 한국암웨이, 대신증권, 메트라이프 생명보험, 외환은행, 어트호텔, ST, 하이닉스, 두산, 한국 GM, LIG 에이디피, 이턴, 하이젠모터 등 JW메리 위원회 제품 총평 시만텍 DLP는 비교적 초기에 DLP 를 시장에 선보인 솔루션으로 다양한 기능을 제공한다. Network DLP와 Endpoint (Host) DLP 기반의 제품을 모두 제공하고 있으며 단일 인터페이스 를 통해 엔드포인트, 네트워크 및 스토리지 시스템 전반에 걸쳐 정형 및 비정형 데이터 보 호, 검색, 모니터링, 관리 기능을 지원한다. 검색기능은 파일서버, 데이터베이스, 이메일, 웹서버, 어플리케이션 등 네트워크 검색 뿐만 아 니라 랩탑 및 데스크탑의 기밀 데이터를 검색하여 보호하거나 재배치한다. 또한 VML 기술, 지문인식 기술을 적용하여 비정형 데이터( 일반 문서, 프리젠테이션 문서, 소스, CAD/CAM 이 미지) 에 대한 보호 기능을 제공한다. 다만, 아쉬운 점은 네트워크 DLP의 경우는 차단 기능을 구현하기 위해서는 별도의 Network Gateway 서버가 필요하다는 점을 꼽을 수 있다. 또한 국내 유저들이 많이 사용하고 있는 메 신저인 네이트온 과 압축 프로그램 알집 에 대한 유출제어 기능을 제공하지 않는 점은 보안 담당자가 기억해 둬야 할 필요가 있다. 벤더가 말하는 제품 특징 시만텍 DLP 11' 솔루션은 기업의 핵심 정보에 대한 검색, 모니터링 및 보호 기능 뿐만 아니 라 컨텐트에 따라 암호화 및 ERM(Enterprise Rights Management) 솔루션과 연동할 수 있고, 다른 시만텍 솔루션과도 통합이 가능한 업계 최초의 개방형 데이터 유출방지 플랫폼이다. 특히 ' 시만텍 DLP 11' 은 기계학습 기술인 VML(Vector Machine Learning) 기술 적용, ' 데 이터 인사이트(Data Insight)' 기술을 통해 ' 노출위험 점수화(Risk Scoring)' 및 ' 데이터 소유자 에 의한 사고조치(Data wner Remediation)' 기능, 엔드포인트 보안 지원 등으로 기업고객 들이 민감한 내부 핵심 데이터에 대한 보호능력을 향상시킬 수 있도록 해준다. 지난 8 월 세계적인 시장 조사기관 가트너는 '2011 매직 쿼드런트(2011 Magic Quadrant)' 보 고서를 통해 시만텍을 2 년 연속 컨텐츠 인식기반 데이터 유출방지(DLP) 분야의 선두업체 (Leader) 로 선정한 바 있다. 현재 포춘 100대 기업의 4분의 1 에 달하는 기업 고객들이 ' 시만 텍 DLP' 솔루션을 도입하고 있으며, 국내에서도 현대증권, 한국암웨이 등이 솔루션을 도입해 정보 유출 경로 차단과 예방 및 임직원들의 보안 의식을 강화하는 효과를 누리고 있다. - 39 -
Security Consumer Report 위원회 < 표 5> 시만텍 DLP 11 세부항목 검토결과 (Endpoint DLP와 Network DLP 의 기능을 합친 조사표임) 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 안정성 PC Agent CPU 및 메모리 점유율 설정기능 제공 여부 부연설명 : 네트워크 전송사용량 조절 /CPU 사용량 조절/ 배터리 잔여량에 조절/ 프로세스 우선순위 조정/Disk 잔여에 따른 조정 등 장비 오류 발생 시 극복 방안 제공 여부(Hardware Bypass, FD, 이중화) 부연설명: 장비 오류의 경우 Multi-NIC을 사용하거나 또는 이중화 구성으로 고가용성 제공 (,) 호환성 모니터링 S 호환성 다국어 지원여부 정보유출 실시간 모니터링 지원 윈도우 윈도우 P(32bit 기준) Vista(32bit 기준) 윈도우 7(32bit) 윈도우 7(64bit) MAC Linux 기타( 부연) : Tablet지원 후 곧 McIntosh 지원 예정 한글 영어 기타( 부연, ex : 일본어) : 중국어( 간체/ 번체), 일본어, 브라질, 프랑스어, 러시아 부연설명 : 데이타의 이동시는 실시간 모니터링/ 데이타의 discovery( 검색) 은 검색 시 탐지 PP-Up 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 Sound SMS Mail : 기타( 부연) : 스크립트 실행이 대응정책으로 가능하기 때문에, 컴퓨터에서 실행 가능한 이벤트는 실행 가능 - 40 -
한국침해사고대응팀협의회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 (,) PC 내 특정 정보 검색 기능 제공 여부 PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 *.zip *.alz 압축파일 내 중요 정보 검색 기능 제공 여부 *.rar *.tar 기타( 부연) : 알집압축파일 탐지 가능, 기타 7zip 등 글로벌 압축 파일 지원 차단: 정보유 출방지 정보의 유출 차단 및 방지 메신저를 통한 중요 정보( 텍스트, 파일 등) 유출제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) P2P 를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) MSN(or 윈도우) 메신저 네이트온 기타( 부연) : 네이트온은 파일 첨부만 탐지가능 토렌트 edonkey 푸르나 기타( 부연) : 다양한 p2p프로그램은 프로세스 등록시 모두 지원가능 윈도우 공유 폴더를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) Telnet 에 대한 제어 여부( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) FTP 파일전송( 프로토콜) 에 대한 제어(Active또는Passive)( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 데이콤 웹하드 웹하드 등 파일 업/ 다운로드 프로그램을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) U 클라우드(KT) N 드라이브 구글 DC 기타( 부연): - 41 -
Security Consumer Report 위원회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 지메일 네이버 메일 한메일 핫메일 파란 메일 기타( 부연) PP3 SMTP (,) 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) IMAP 웹사이트 접근제어 및 정보 유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 특정포트( 사용자등록포트) 들에 대한 정보유출 제어 기타( 부연) : 네트워크 제품의 경우 SMTP 지원 / 엔드포인트의 경우 프로세스 등록시 모두 지원 게시판 글쓰기 파일첨부 기타( 부연): 부연설명 : 포트를 사용하는 것은 프로세스로 진행하는 것이므로, 해당 포트를 사용하는 프로세스 등록으로 지원 특정프로그램( 사용자등록프로그램) 에 대한 정보유출 제어 부연설명 : 애플리케이션 등록 제어로 지원 오프라인 상태에서의 정보 유출 제어 부연설명: 사후 내부 네트워크 연결시, 위반 내용 모두 관리서버에 전송되어 기록됨. - 42 -
한국침해사고대응팀협의회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 매체를 통한 정보 유출 제어 CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) USB 포트를 이용한 외장형 저장장치에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 프린터제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) (,) 주요 개인정보에 대한 특정패턴 제공 주민번호 카드정보 이메일 주소 휴대전화번호 기타( 부연): 관리 :장비관 리및리 포팅 정책관리 다양한 조건에 의한 차단 정책설정 지원 파일 사이즈 사용자 정의 패턴 키워드 IP대역 부서별 직원별 건수 기타( 부연): 관리자가 등록한 특정 컨텐츠 내용와의 데이터 비교 정책백업 제공 여부 정책 변경 이력 조회 기능 - 43 -
Security Consumer Report 위원회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 (,) 다양한 조건을 이용한 검색 기능 검색 검색 결과 내 추가 검색 기능 검색 결과에서 상세 내용으로의 Link 기능 일일 단위 리포팅 특정 기간별 리포팅 제공 다양한 조건에 대한 리포팅 지원 주간단위 월 단위 연 단위 사용자 지정 기타( 부연): 부서별 직원별 내용별 기간별 유출시도 경로별 시간대별 위반건수 별 기타( 부연): 국문리포팅 지원( 외산벤더) 주기적인 리포팅 자동 생성 및 발송 지원 솔루션 운용 주기적인 탐지/ 차단 패턴업데이트 별도의 로그 서버 및 응용 프로그램 필요 여부 부연설명 : 기본적으로 DB 에 의해 운영되고, 외부 로그서버에 데이타를 전송할 수 있음 - 44 -
한국침해사고대응팀협의회 영역 점검항목 점검항목 Sub_1 상세 점검항목 Sub_2 업데이트 내역 확인 Agent 강제 종료 방지( 강제 삭제, 설정수정 등) (,) Agent 강제 종료 우회시도 사용자 확인 기타 솔루션 보호 기능 안전모드에서의 Agent 기능 제공 접근권한( 계정) 관리 관리자용 접근 IP 또는 대역 제한 기능 관리자 로그인 제한 시간 설정 Server-Agent 데이터 전송 암호화 인증여부 인증 현황 (CC 인증 혹인 국정원 보안성 평가 통과 여부 ) 부연설명 : CC 진행 중( 캐나다, '11 년 말 또는 12 년 초 예상) - 45 -
Security Consumer Report 위원회 - 46 -
한국침해사고대응팀협의회 5. 엑스큐어넷 / Venus/ContentFilter 분류 : Network DLP 주요 레퍼런스 : 행정안전부 외 27 개 부처, 웅진홀딩스, 코닝정밀소재 등 위원회 제품 총평 : Venus/ContentFilter 제품은 네트워크 기반의 DLP제품으로서 네트워크 패킷 안의 내용기반으 로 내부자에 의한 데이터 유출을 감시, 추적 및 차단하여, 기업/ 기관의 내부정보 유출 방지를 목적으로 개발 되었다. 다양한 제품과 기능비교 검토결과 네트워크 DLP의 특장점인 인프라 환경변경 없이 손쉽게 설치 가능하며, 정보유출에 대해서 중요 정보 패턴, 사용자 정의 정책 에 위배될 경우 실시간 이벤트 화면을 통해서 감시를 할 수 있다. 네트워크 DLP로서 내용기 반의 서비스는 정상적으로 사용하면서, 중요 정보유출을 탐지하고 차단기능이 잘 구현 되어 진 제품이다. 덧붙여 성공적인 제품이 되려면 운용성이 좋아야 하는데, 이 제품은 기존 보안 제품 운영자의 운용편의를 위해서 기존 네트워크 보안제품의 사용자 인터페이스 기반으로 사용자 인터페이스가 개발되어서 대부분의 보안 관리자가 빠르게 접근하고 운용할 수 있는 점이 장점으로 판단된다. 다만, 아쉬운 점은 정책위배에 대한 알람기능을 다양한 방식으로 제공하지 않는 것이며, 또 한 네트워크 기반에서 모든 패킷을 처리하기 때문에 갑작스런 네트워크 트래픽 증가로 인한 네트워크 지연이나 제품구매 결정을 위한 용량산정 시 기준을 잡기 어려울 수 있다는 점을 감안해야 한다. 만약 DLP 를 잠재적으로 구축하려는 보안관리자 중 인프라 구성이 복잡하거나, 내부 보안인 력이 부족으로 단말정책까지 고려할 수 없거나, 빠르게 DLP 구축이 필요한 고민을 가지고 있는 보안 담당자라면 각한다. Venus/ContentFilter를 검토하는 것도 하나의 방법이 될 것이라고 생 벤더가 말하는 제품 특징 Venus/ContentFilter는 DLP 가 요구하는 내용기반으로 중요정보를 탐지, 차단 및 흐름을 추적 할 수 네트워크 DLP 제품이다. 본 제품은 설치 또는 구성의 편의성을 제공하기 위해서 Plug & Use 방식으로, 네트워크 Appliance 형태로 기존 환경 변화 없이 Transparent Gateway 기술채택을 통한 구성이 가능 하다는 점이 특징이다. 또한 부하 분산 및 확장성에 장점을 가지고 있는데 네트워크 트래픽 양과 사용자 동시 세션 수에 따른 처리 분산이 가능한 구조로 되어 있다. 이는 내용 기반 DLP 가 네트워크 패킷을 조합하여, 중요 정보를 탐지하면서 발생하는 시스템 부하를 해결할 수 있도록 한다. - 47 -
Security Consumer Report 위원회 < 표 6> 엑스큐어넷 / Venus Content Filter 세부항목 검토결과 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 설치환경 모니터링 차단: 정보유출 방지 안정성 호환성 모니터링 정보의 유출 차단 및 PC Agent CPU 부연설명 : 및 메모리 점유율 설정기능 제공 여부 해당사항 없음 장비 오류 발생시 극복 방안 제공 여부(ex : Hardware Bypass, FD, 이중화) S 호환성 다국어 지원여부 정보유출 실시간 모니터링 지원 부연설명 : 특정 키워드 유출 시 관리자 통보 기능 제공 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 PC 내 특정 정보 검색 기능 제공 여부 PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 윈도우 윈도우 P(32bit 기준) Vista(32bit 기준) 윈도우 7(32bit) 윈도우 7(64bit) MAC Linux 기타( 부연): 한글 영어 기타( 부연, ex : 일본어) : 일본어 (,) 해당사항 없음 해당사항 없음 PP-Up Sound SMS Mail : 기타( 부연) : 인캅스 PC보안 Agent( 별도 S/W 모듈) 를 통한 메시지 연동 가능 해당사항 없음 - 48 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) *.zip (,) 방지 압축파일 내 중요 정보 검색 기능 제공 여부 메신저를 통한 중요 정보( 텍스트, 파일 등) 유출제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) P2P 를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) *.alz *.rar *.tar 기타( 부연) : 다중 압축 파일 내 정보 기능 제공합니다. MSN or 윈도우) 메신저 네이트온 기타( 부연): 토렌트 edonkey 푸르나 기타( 부연) : 소리바다, 파일구리, IMESH 등 윈도우 공유폴더를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : Host형 DLP 기능으로 해당사항 없음 Telnet 에 대한 제어 여부( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) FTP 파일전송( 프로토콜) 에 대한 제어(Active또는Passive)( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 웹하드 등 파일 업/ 다운로드 프로그램을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 해당사항 없음 데이콤 웹하드 U 클라우드(KT) N 드라이브 구글 DC 기타( 부연): - 49 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 지메일 네이버 메일 한메일 핫메일 파란 메일 (,) 기타( 부연) : 국내. 외의 웹메일 패턴이 분석되어 있으며, 웹메일 읽기는 허용하고 쓰기는 차단하는 기능이 제공됩니다. 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) 웹사이트 접근제어 및 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) PP3 SMTP IMAP 기타( 부연): 게시판 글쓰기 파일첨부 기타( 부연) : 정보유출의 관점에서 보면 글쓰기에 대한 차단이 주 기능이며, 제목/ 본문/ 첨부문서 원천 차단 기능을 제공합니다. 특정포트( 사용자등록포트) 에 대한 정보유출 제어 특정프로그램( 사용자등록프로그램) 에 대한 정보유출 제어 매체를 통한 오프라인 상태에서의 정보 유출 제어 CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 해당사항 없음 - 50 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 정보 유출 제어 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) USB 포트를 이용한 외장형 저장장치에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 프린터제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 주요 개인정보에 대한 특정 패턴 제공 주민번호 카드정보 이메일 주소 휴대전화번호 (,) 기타( 부연) : 개인정보보호법에 명시된 고유식별번호 패턴이 제공됩니다. 파일 사이즈 관리 :장비관리 및리포팅 정책관리 사용자 정의 패턴 키워드 IP대역 다양한 조건에 의한 차단정책 설정 지원 부서별 직원별 건수 기타( 부연) : * 필터링규칙 메시지 크기, 키워드 ( 제목, 본문, 첨부), ID, IP, 첨부파일 이름, 첨부파일 개수, URL 주소 * 스팸/ 유해사이트(URL) 목록 제공( 옵션) *패킷필터링 ( 정형화된 웹 Signature, Port 별 Threshold 설정) - 51 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 관리자가 등록한 특정 컨텐츠와 데이터 일치율 비교 가능 여부 (,) 검색 리포팅 솔루션 운용 정책백업 제공 여부 정책 변경 이력 조회 기능 다양한 조건을 이용한 검색 기능 검색 결과 내 추가 검색 기능 검색 결과에서 상세 내용으로의 특정 기간별 리포팅 제공 다양한 조건에 대한 리포팅 지원 Link 기능 일일 단위 주간단위 월 단위 연 단위 사용자 지정 기타( 부연) : 부서별 직원별 내용별 기간별 유출시도 경로별 시간대별 위반건수 별 기타( 부연) : 국문리포팅 지원( 외산벤더) 주기적인 리포팅 자동 생성 및 발송 지원 주기적인 탐지/ 차단 패턴업데이트 - 52 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 기타 솔루션 보호 기능 인증여부 별도의 로그 서버 및 응용 프로그램 필요 여부 업데이트 내역 확인 Agent 강제 종료 방지( 강제 삭제, 설정수정 등) Agent 강제 종료 우회시도 사용자 확인 안전모드에서의 Agent 접근권한( 계정) 관리 기능 제공 부연설명 : 관리자의 접근 제어는 2Factor 이상으로 관리.(IP, MAC ID, Passwd) 관리자용 접근 IP 또는 대역 제한 기능 관리자 로그인 제한 시간 설정 Server-Agent 데이터 전송 암호화( 네트워크 DLP 의 경우, 장비와 관리자 Agent 간 데이터 암호화) 부연설명 : 3DES를 통한 Encrypted Tunneling 기능 제공 인증 현황 (CC 인증 혹인 국정원 보안성 평가 통과 여부 ) 부연설명 : CC 인증 득함. EAL2 등급 (,) 해당사항 없음 - 53 -
Security Consumer Report 위원회 - 54 -
한국침해사고대응팀협의회 6. 와이즈허브 시스템즈 / GRADIUS DLP 분류 : Host 기반 DLP 주요 레퍼런스 : 포스코건설, 아모레퍼시픽, 대림산업, SK 에너지, SK커뮤니케이션즈 등 대 형 그룹사 포함 100여개 위원회 제품 총평 : 와이즈허브시스템즈의 GRADIUS DLP 는 호스트(Host) 기반의 DLP 제품으로서 내부자에 의한 파일 또는 기밀사항의 유출을 감시, 추적하고 이를 통해 구성원의 내부 보안 의식 고취로 불 법 유출 행위를 미연에 방지하기 위한 목적으로 개발되었다. 유출경로 및 부서별, 사용자별 유출 상황에 대한 추적이 하나의 UI에서 제공되고 있어 가독 성이 매우 뛰어난 제품으로 판단되며, 동영상 기록까지 제공하여 특정 프로그램의 실행과 마 우스 클릭 순서 등 디테일한 행위에 대한 모니터링이 가능하다. 특히, P2P, PCAnywhere 등 특정 프로그램의 실행 차단 및 웹사이트 접속차단 기능을 제공하고 있어 업무상 불필요하거 나 정보 유출에 이용될 수 있는 객체와 사이트에 대한 제어가 용이하다. 이와 함께 국내 업 체에 의하여 개발되어 고객의 요구사항에 대한 대응과 지원이 원활하므로 사내 보안정책을 구체화시킬 수 있을 것으로 보인다. 다만, PC에 설치되어 동작하는 제품이기 때문에 MAC 또는 Linux 운영체제를 사용하는 디자이 너 또는 개발자가 다수 존재하는 업무 환경에서는 적용이 어려울 수 있을 것으로 판단된다. 국내 임직원들이 주로 사용하는 윈도우의 경우 윈도우P에서 윈도우7(64bit) 까지 모두 지원 할 수 있으며, 최근 이슈가 되고 있는 가상화 환경도 지원하고 있어 업무 가상화 환경을 구 현한 기업에서는 검토할만한 제품이다. 벤더가 말하는 제품 특징 GRADIUS는 사전에 정의된 키워드와 패턴을 통해 유출하고자 하는 파일 또는 파일 내에 키 워드와 패턴이 존재할 시 외부로의 유출을 원천 차단하는 기능을 제공한다. 또한, 과거에 유 출된 모든 정보에 대해 키워드( 극비, 기밀 등의 중요 단어) 및 패턴( 주민등록번호, 전화번호, 핸드폰번호, 신용카드번호, 아이피 주소, 이메일, 계좌번호 등) 을 통해 파일명 또는 파일내의 특정 패턴을 이용하여 검색할 수 있는 기능을 제공한다. 이와 함께 정보를 유출하는 시점의 PC화면을 동영상으로 저장하고 유출정보의 사본을 남겨서 유출 추적과정에서 현장 증거로 사 용할 수 있다. 모니터링에 있어서 실시간 유출 조회 화면을 통하여 유출 상황을 관리자가 한눈 에 파악 가능하며, 유출횟수가 높은 특정인 및 유출 형태에 대한 실시간 감시와 퇴직 예정자 그룹의 시스템적인 감시가 이뤄질 수 있다. 또한 검색된 유출 내역은 감사 정책에 따라 유출사 본 조회, 해당정보의 흐름, 동영상 조회가 가능하며 유출 책임자를 색출할 수 있다. GRADIUS 는 유출 경로별, 부서별, 프로그램 및 인터넷 URL 등에 대한 유출 통계와 사용자별 유출내역을 제공해 효율적인 시스템 운영이 가능하며, 사내 보안 정책의 소중한 자료로 활용이 가능하다. - 55 -
Security Consumer Report 위원회 < 표 7> 와이즈허브 시스템즈 / GRADIUS DLP 세부항목 점검결과 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) (,) PC Agent CPU 및 메모리 점유율 설정기능 제공 여부 부연설명 : GRADIUSDLP의 Agent 점유율은 제품설치 시 CPU2% 미만을 점유하여 실제 로그전송 시에도 성능영향을 안정성 최소화 할 수 있도록 구현 ( 자원 점유율 설정 필요 없음) 장비 오류 발생시 극복 방안 제공 여부(ex : Hardware Bypass, FD, 이중화) 부연설명 : 서버의 이중화 구성을 통한 H/W 장애 극복 윈도우 P(32bit 기준) 윈도우 Vista(32bit 기준) 설치환경 윈도우 7(32bit) S 호환성 윈도우 7(64bit) MAC 호환성 Linux 기타( 부연) : 가상화 환경에도 설치 동작( 예: Citrix, Vmware) 모니터링 모니터링 다국어 지원여부 정보유출 실시간 모니터링 지원 부연설명 : 사용자별 조직별 유출경로별 등.. 전체 모니터링 및 조건 별 실시간 모니터링 지원 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 한글 영어 기타( 부연, ex : 일본어) : UTF-8 지원언어 모두 됨 PP-Up : 경고 및 차단 팝업창 Sound SMS Mail: 기타( 부연): 1.. 로컬 PC 에팝업창 : 내부에서 정의한 정책 위반건이 있을 경우 경고 및 차단 팝업창을 보여주며 어떤 위반 건인지도 간략하게 보여줘 PC사용자에게 고지가능 2. 메일발송 : 메일은 일반 사용자에게 발송하는 것이 아니라 관리자에게 통보 - 56 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 차단: 정보유출 방지 정 보 의 유출 차 단 및 방 지 PC 내 특정 정보 검색 기능 제공 여부 부연설명 : - 기능 : 행정안전부 기준 개인정보 및 고객사에서 설정한 키워드와 패턴에 대하여 Discovery함 - 텍스트 파일 등 다양한 확장자를 가진 파일의 정보 내용을 식별하며 mdb와 같은 DB Table 등의 구조 적인 형태의 정보식별 기능을 제공 (,) PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 부연설명 : 행정안전부 기준 개인정보 및 고객사에서 설정한 키워드 및 키워드패턴 등을 검색하여 자동/ 수동 암호화 가능하며, 별도의 솔루션이 아닌 GRADIUS DLP 옵션 모듈 추가 시 동작됨. *.zip *.alz 압축파일 내 중요 정보 검색 기능 제공 여부 *.rar *.tar 기타( 부연) : ALZ, ZIP, TAR, GZIP, ALZIP, BZIP, RAR 등 압축된 파일 내에 설정한 중요 키워드를 탐지 MSN(or 윈도우) 메신저 네이트온 기타( 부연) : -국내 이용1, 2위인 MSN과 NateN은 파 메신저를 통한 중요 정보( 텍스트, 파일 등) 유출제어 ( 일반적인 서비스 이용 일업/ 다운로드 기록 및 통제 은 가능하되, 특정 정보에 대한 선별적 제어) -기타 메신저는 프로그램 실행차단으로 메신져의 실행 자체를 통제하거나 설정한 파일 확장자를 통하여 전송 을 통제 및 기록함 토렌트 edonkey 푸르나 P2P 를 통한 정보 유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보 기타( 부연) : - 어플리케이션으로 동작하는 P2P 설정한 에 대한 선별적 제어) 파일 확장자별 전송 통제 및 기록 - 웹사이트를 통한 전송은 사이트별 접속 차단으로 유 출 제어 윈도우 공유 폴더를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) Telnet 에 대한 제어 여부( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) - 57 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 부연설명 : 차단만 가능 (,) FTP 파일전송( 프로토콜) 에대한제어(Active또는Passive)( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 기록 및 제어가 가능 하며 포트제어 및 사용자의 목적지 선별 제어 가능 웹하드 등 파일 업/ 다운로드 프로그램를 통한 정보유출 제어( 일반적인 서 비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 정보에 대한 선별적 제어) 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) 특정 웹사이트 접근제어 및 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 데이콤 웹하드 U 클라우드(KT) N 드라이브 구글 DC 기타( 부연) : 설정한 파일 확장자별 전송 통제 및 기록 과 실행 차단으로 제어. 구글 DC는 HTTPS 통신을 하 지 않으면 통제 가능. 그 외 MSN웹 오피스 및 네이버 워드는 통제 지메일 네이버 메일 한메일 핫메일 파란 메일 기타( 부연) : WebMail : 통제가능(HTTPS를 통한 웹메일 은 불가능) PP3 SMTP IMAP 기타( 부연) : 아웃룩을 통하여 메일 및 첨부 파일 발송 통제 게시판 글쓰기 파일첨부 기타( 부연) : 모두 가능( 암호화 통신일 경우는 제외) 특정 포트( 사용자 등록 포트) 에 대한 정보유출 제어 - 58 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 특정프로그램( 사용자등록프로그램) 에 대한 정보유출 제어 부연설명 : 설정한 파일 확장자별 전송 통제 및 기록과 실행 차단으로 제어 (,) 관리 : 장비 관리 및 리포팅 매체를 통한 정보유출 제어 정책관리 오프라인 상태에서의 정보 유출 제어 부연설명 : 지원 가능( 오프라인 시 유출 시도 등에 대한 로그는 온라인 전환 시 서버로 로그 전송) CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 일부(/S 및 S/W 별로 구분됨) - P : Nero Burning( 네로), BurnAware, DVDSolution or DVDSute(Power2Go, CyberLink 제품), Ieung( 이응), CDBurnerP - Win7 : 윈도우 기본 버닝만 지원 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) USB 포트를 이용한 외장형 저장장치에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 전체 사용 통제 및 선택적 USB 통제 가능(DLP 시스템에 등록시 허가 차단 결정 가능) 프린터제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 주민번호 카드정보 이메일 주소 휴대전화번호 기타( 부연) : - 관리자가 설정한 키워드( 극비, 핵심, 기밀, 주요 개인정보에 대한 특정 패턴 제공 설계도 등) 및 정규표현식( 주민번호, 계좌번호, 사번, 문서번호, 카드정보, 계좌번호, 이메일, 전화번호 휴대전화번호 등) 을 이용한 중요 식별기능을 제공하며 원하는 신규 키워드 및 정규표현식 추가 가능 - 추가로 정보 내용식별 중 오탐을 회피하기 위해 체크섬 기능을 통해 오탐회피( 주민번호 등) 구현 다양한 조건에 의한 차단정책 설정 지원 파일 사이즈 사용자 정의 패턴 키워드 - 59 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 검색 리포팅 관리자가 등록한 특정 컨텐츠와 데이터 일치율 비교 가능 여부 정책백업 제공 여부 부연설명 : 관리자가 설정하는 주기로 정책 백업 가능 IP대역 부서별 직원별 건수 기타( 부연) : 모두 가능 정책 변경 이력 조회 기능 부연설명 : 정책 변경 이력 및 로그 기록 조회 이력에 대하여 접속지 정보, 계정 생성 정보 등 변경행위 기록 조회 다양한 조건을 이용한 검색 기능 부연설명 : ( 검색조건에 대한 예제) : AND 조건과 R 조건을 통한 로그의 다양한 조건 검색 제공 검색 결과 내 추가 검색 기능 검색 결과에서 상세 내용으로의 특정 기간별 리포팅 제공 다양한 조건에 대한 리포팅 지원 Link 기능 (,) 일일 단위 주간단위 월 단위 연 단위 사용자 지정 기타( 부연) : 시간대별도 검색 가능 부서별 직원별 내용별 기간별 유출시도 경로별 시간대별 위반건수 별 기타( 부연) : 유출이 차단된 내역과 유출된 내역 제공 - 60 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) (,) 기타 솔루션 운용 솔루션 보호 기능 인증여부 국문리포팅 지원( 외산벤더) 주기적인 리포팅 자동 생성 및 발송 지원 주기적인 탐지/ 차단 패턴업데이트 부연설명 : 고객요청건에 따라 키워드 패턴 업데이트, 비정기적 어플리케이션, 웹사이트 업데이트 별도의 로그 서버 및 응용 프로그램 필요 여부 부연설명 : 로그 수집을 위한 서버필요(Agent User 가 많은 경우) 하며 응용 프로그램 필요없음 (DLP서버 구축시 해당 서버에서 Agent로그를 수집보관하며 Agent USER 수가 늘어날 경우 분리하여 운영) 업데이트 내역 확인 Agent 강제 종료 방지( 강제 삭제, 설정수정 등) 부연설명 : Agent 프로세스는 기본적으로 스텔스 기능으로 작업관리자에서는 노출되지 않으며 특정 프로그램으로 찾았다하더라도 자체 보호 기능으로 삭제 및 수정 시 자동 생성 및 자동 재시작됨 Agent 강제 종료 우회시도 사용자 확인 부연설명 : 미접속자 중 장기 미접속자의 최종 프로그램 실행 내역으로 통제 및 우회 프로그램 검색 등록으로 탐지 안전모드에서의 Agent 기능 제공 접근권한( 계정) 관리 관리자용 접근 IP 또는 대역 제한 기능 관리자 로그인 제한 시간 설정 Server-Agent 데이터 전송 암호화 인증 현황 (CC 인증 혹인 국정원 보안성 평가 통과 여부 ) 부연설명 : CC 인증 획득(EAL2) - 61 -
Security Consumer Report 위원회 - 62 -
한국침해사고대응팀협의회 7. 워터월시스템즈 / 워터월( 지키미) 분류 : Endpoint DLP 주요 레퍼런스 : LG 전자, LG 이노텍, HLDS, 쌍용정보통신, 포스코엔지니어링, IBK 캐피탈, 산 은캐피탈, 동양생명, 국방부, 합참, 한미연합사, 공군본부, 해군본부, 육군 1/2/3 군사령부, 정보사, 한전KDN, 정부종합전산센터, 부산교통공사, 국방과학연구소, 이베이, 데상트, 토요 타 일본 차체공장, 농심 미주법인, PSPC 외 500 여개 업체, 전세계 50여개 국가 35만 유 저수 사용 중 위원회 제품 총평 : 워터월은 2001년에 출시되어 국내의 DLP 솔루션 중에서는 제일 오래된 역사를 지니며 그 동안의 Know-how를 DLP로 접목시킨 End-Point 기반의 솔루션으로, 크게 정보유출 차단방지 와 보안관리로 기능이 구분된다. 워터월의 가장 큰 장점은 오프라인( 저장매체, 인쇄물) 을 통 한 정보유출에 대해서 즉각적인 반응을 하여 정보유출에 대한 차단을 제공한다는 점이다. 또 한 Agent가 설치된 PC의 특정 폴더에 암호화가 가능해 중요 자료의 경우 물리적 유출 시 정보 유출에 대한 피해를 최소화할 수 있다. 다만, 지원기능 중 일부는 DLP 정의 충족요건을 만족시키지만 일부 기능은( 메신저, P2P, 텔 넷, FTP 등에 대해서는 정보내용에 따른 선별적 제어가 아닌 프로세스 실행 차단) PC 보안 솔루션의 기능에 더 가까운 것으로 판단된다. 또한 PC에 설치되는 솔루션이기 때문에 현 PC 환경과의 충돌이슈에 대한 분석이 필요해 대한 업체의 개발 반영 여부가 가능한지 확인할 필요가 있다. BMT나 데모 시 충돌에 대한 검증과 이슈사항에 그러나 반대로, DLP 도입을 검토하는 기업이 PC 보안 솔루션과 DLP의 적절한 기능을 모두 요구한다면 워터월 솔루션이 도움이 될 것으로 판단된다. 벤더가 말하는 제품 특장점 정보유출을 추적하기 위한 정보보안 시스템 및 방법 인쇄장치를 통한 데이터 유출감시 및 방지 시스템 및 방법, 통합내부정보유출방지시스템 등의 특허를 보유한 워터월시스템즈는 이 같은 특허 기술을 기반으로 정부통합전산센터를 비롯해 국방부 LG전자 등 국내 500여개 고객을 보유하고 있다. 워터월은 정보유출차단 방지 보안 관리의 세 가지 정책으로 운영된다. 이동장치 사용 이동장치 반출 통신 백도어 이메일 첨부파일 차단 등 내부정보유출 가능성을 사전에 막는다. 특히, 웹메 일 e 메일 등 온라인에서의 정보유출은 물론 이동식 저장매체 인쇄물 등 오프라인을 통한 정보 유출도 차단하는 게 장점이다. 또한 서버와 콘솔, 클라이언트로 구성되며 운영 정책은 사용자 전산실 보안파트 시스템 관리부로 구성할 수 있다. 사내 보안정책에 의거해 보안 관리자가 내부 보안정책을 수립하거나 변경사항을 적용하면 사내 사용자 보안그룹은 변경된 보안정책을 바로 수행하게 된다. 최근에는 개인정보유출방지 기능을 개발하여 개인정보파일에 대한 검색/ 안전하 게 보관/ 개인정보파일추적 / 개인정보파일 유출 방지에 대한 기능을 업그레이드해 공급 중이다. - 63 -
Security Consumer Report 위원회 < 표 8> 워터월시스템즈 / 워터월( 지키미) 세부항목 검토결과 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 설치환경 모니터링 차단: 정보유출 방지 안정성 호환성 모니터링 정보의 유출 차단 및 방지 PC Agent CPU 및 메모리 점유율 설정기능 제공 여부 부연설명 : CPU5%, 메모리 약15,000KB 사용으로 클라이언트 점유율이 최적화 되어 있음 장비 오류 발생시 극복 방안 제공 여부(ex : Hardware Bypass, FD, 이중화) 부연설명 : 서버 오류 발생시 Client에서는 서버로 로그인을 하지 않고 Bypass함 S 호환성 다국어 지원여부 정보유출 실시간 모니터링 지원 부연설명: 정보유출 데이터에 대한 리포트지원. 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 PC 내 특정 정보 검색 기능 제공 여부 윈도우 윈도우 (,) P(32bit 기준) Vista(32bit 기준) 윈도우 7(32bit) 윈도우 7(64bit) MAC Linux 기타( 부연) : Window 2003, 2008 지원(32bit, 64bit) 한글 영어 기타( 부연, ex : 일본어) : 일본어, 중국어 지원됨 PP-Up Sound SMS Mail : 기타( 부연): PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 부연설명 : PC내에 암호화 된 영역을 설정하여 사용자 혹은 관리자가 직접 PC 내의 중요파일 검색 후 암호화 영역으로 이동 가능 ( 자동/ 수동 모두 가능) - 64 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 압축파일 내 중요 정보 검색 기능 제공 여부 메신저를 통한 중요 정보( 텍스트, 파일 등) 유출제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) P2P 를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) *.zip *.alz *.rar *.tar 기타( 부연) : Gzip 가능 (,) MSN(or 윈도우) 메신저 네이트온 기타( 부연) : 메신저를 통한 파일첨부 차단. 그 외 기능 사용 가능 ( 특정정보 선별 불가) 토렌트 edonkey 푸르나 기타( 부연) : 해당 프로그램을 차단하여 유출 제어함( 특정 정보 선별 불가) 윈도우 공유폴더를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 차단만이 가능하며 특정정보 선별적 제어 불가 Telnet 에 대한 제어 여부( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 차단만이 가능하며 특정정보 선별적 제어 불가 FTP 파일전송( 프로토콜) 에 대한 제어(Active또는Passive)( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 차단/ 다운로드만 가능 의 기능을 지원하며 특정정보 선별적 제어 불가 웹하드 등 파일 업/ 다운로드 프로그램을 통한 정보유출 제어 ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 데이콤 웹하드 U 클라우드(KT) N 드라이브 구글 DC 기타( 부연) : 해당 프로세스를 차단하여 유출 제어함( 특정 정보 선별 불가) - 65 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 매체를 통한 정보 유출 제어 WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) 웹사이트 접근 제어 및 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 지메일 네이버 메일 한메일 핫메일 파란 메일 기타( 부연): PP3 SMTP IMAP 기타( 부연): 게시판 글쓰기 파일첨부 기타( 부연): 특정 포트( 사용자 등록포트) 에 대한 정보유출 제어 특정 프로그램( 사용자 등록 프로그램) 에 대한 정보유출 제어 부연설명 : 특정 프로그램의 실행을 차단함 오프라인 상태에서의 정보 유출 제어 CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : CD/DVD 암호화 굽기 기능 및 원본파일 로그 저장 가능 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) USB 포트를 이용한 외장형 저장장치에 대한 제어 ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 일반 USB의 보안 USB 화( 암호화) 하여 사용 가능 (,) - 66 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 관리 :장비관리 및리포팅 정책관리 프린터 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 부연설명 : 워터마크 기능 제공 주요 개인정보에 대한 특정 패턴 제공 주민번호 카드정보 이메일 주소 휴대전화번호 기타( 부연): 파일 사이즈 사용자 정의 패턴 키워드 IP대역 다양한 조건에 의한 차단정책 설정 지원 부서별 직원별 건수 기타( 부연): 관리자가 등록한 특정 컨텐츠와 데이터 일치율 비교 가능 여부 부연설명 : 관리자가 특정 문구를 등록하여 해당 문구에 대한 유출이 있을 경우 차단하는 기능 제공 정책백업 제공 여부 (,) 정책 변경 이력 조회 기능 다양한 조건을 이용한 검색 기능 검색 검색 결과 내 추가 검색 기능 검색 결과에서 상세 내용으로의 Link 리포팅 특정 기간별 리포팅 제공 기능 일일 단위 주간단위 월 단위 연 단위 사용자 지정 기타( 부연): - 67 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 솔루션 운용 다양한 조건에 대한 리포팅 지원 부서별 직원별 내용별 기간별 유출시도 경로별 시간대별 위반건수 별 기타( 부연): 국문리포팅 지원( 외산벤더) 주기적인 리포팅 자동 생성 및 발송 지원 주기적인 탐지/ 차단 패턴업데이트 별도의 로그 서버 및 응용 프로그램 필요 여부 부연설명 : 별도 서버 및 프로그램 필요 없음 업데이트 내역 확인 (,) 기타 솔루션 보호 기능 인증여부 Agent 강제 종료 방지( 강제 삭제, 설정수정 등) Agent 강제 종료 우회시도 사용자 확인 부연설명 : 강제 종류 및 우회시도 시, 키보드/ 마우스 동작 불가 안전모드에서의 Agent 기능 제공 접근권한( 계정) 관리 관리자용 접근 IP 또는 대역 제한 기능 관리자 로그인 제한 시간 설정 Server-Agent 데이터 전송 암호화 부연설명 : RSA 암호화 통신 인증 현황 (CC 인증 혹인 국정원 보안성 평가 통과 여부 ) 부연설명 : CC인증 - 68 -
한국침해사고대응팀협의회 8. 컴트루테크놀러지 / NetCenter 분류 : Network DLP 주요 레퍼런스 : 통계청, 조달청, 법제처, 농촌진흥청, 도요엔지니어링 등 위원회 제품 총평 : 컴투루테크놀로지의 NetCenter DLP는 네트워크 기반의 빠른 패킷처리 속도와 원천적인 프로 그램이나 포트차단을 통해서 내부자에 의한 데이터 유출을 감시, 추적 및 차단하여, 기업/ 기 관의 내부정보 유출 방지를 목적으로 개발된 네트워크 기반의 DLP 제품이다. 때문에 인프라 환경 변경 없이 손쉽게 설치가 가능하며, 정보유출에 대해서 정책에 위배 되는 경우 실시간 이벤트 화면을 통해서 감시를 할 수 있다. 또한 정보유출방지 및 차단은 압축파일 안의 중요 정보 검색기능이 지원되며, 프로토콜이나 네트워크 포트 기반으로 중요정보 유출에 대한 탐 지 및 차단을 제공하기 때문에 패킷처리 속도가 뛰어나다. 검색 부분은 검색엔진을 자체적으 로 구현해 빠르게 검색할 수 있는 장점을 가지고 있다. 다만 아쉬운 점은 DLP 솔루션에서 필수 요구사항인 내용기반, 즉 서비스는 정상적으로 사용 을 하고 중요 정보에 대한 유출을 탐지하고 차단하는 기능에서 미흡한 부분이 발견되었으며, 관리기능 중 정책설정 화면은 보안관리자가 보다 빠르게 접근을 할 수 있도록 사용자 인터 페이스가 조금 더 다듬어져야 할 것으로 판단된다. NetCenter는 DLP 의 중요 기능인 내용기반으로 중요정보를 추적, 탐지 및 차단을 하는 기능 을 원하는 기업/ 기관보다는 네트워크 트래픽의 양이 많아서, 알려진 서비스에 대해서 네트워 크 기반으로 원천적으로 통제를 한 후 빠른 속도로 네트워크 패킷을 처리가 필요한 기업/ 기 관에서 검토할 만한 제품이다. 벤더가 말하는 제품 특징 DLP 제품의 한계점이라고 할 수 있는 프로토콜 업데이트 부분과 로깅 데이터의 실시간 활용 부분에 대한 대안을 제시한 솔루션이 가장 큰 특징이다. 자주 변하는 프로토콜 업데이트를 보완하여 모든 패킷에 대한 저장 기능을 제공하고 있으며, 기존 제품들이 DB를 활용한 저장 및 검색 지원으로 대용량 데이터에 대한 실시간 검색 및 저장 공간 증설에 어려움이 있었던 점을 보완하여 아카이빙 검색엔진을 자체 장착하여 대용 량 데이터도 무리없이 실시간으로 조건식 검색까지 지원하는 한편, 압축 저장 및 위변조 방 지 기능과 저장 공간 증설 시에도 파일단위로 쉽게 증설을 지원하는 에 지원한다. DLP와 아카이빙을 동시 - 69 -
Security Consumer Report 위원회 < 표 9> 컴트루테크놀러지 / NetCenter 세부항목 검토결과 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 설치환경 모니터링 안정성 호환성 모니터링 PC Agent CPU 및 메모리 점유율 설정기능 제공 여부 부연설명 : 해당 사항 없음 장비 오류 발생시 극복 방안 제공 여부(ex : Hardware Bypass, FD, 이중화) 부연설명 : 탭 / 미러링 구성 시 장비 오류 발생해도 네트워크에 영향 없음. 인라인 구성 시 Hardware Bypass 제공 S 호환성 다국어 지원여부 정보유출 실시간 모니터링 지원 부연설명 : 프로토콜별 모니터링 지원 정책위반 이벤트 발생 시 해당 직원 또는 기기에 대한 자동 통지 윈도우 윈도우 P(32bit 기준) Vista(32bit 기준) 윈도우 7(32bit) 윈도우 7(64bit) MAC Linux 기타( 부연) : 해당 사항 없음 한글 영어 기타( 부연, ex : 일본어) : PP-Up Sound SMS Mail : 기타( 부연) : 정책위반 이벤트 발생 시 관리자가 설정한 차단 페이지 PP-Up (,) 해당사항 없음 해당사항 없음 - 70 -
한국침해사고대응팀협의회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) 차단: 정보유출 방지 정보의 유출 차단 및 방지 PC 내 특정 정보 검색 기능 제공 여부 PC 내 중요 정보 탐지 시( 자동/ 수동) 암호화 기능 제공 여부 압축파일 내 중요 정보 검색 기능 제공 여부 메신저를 통한 중요 정보( 텍스트, 파일 등) 유출제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) P2P 를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) *.zip *.alz *.rar *.tar (,) 해당사항 없음 기타( 부연) : 문서 필터를 사용한 중요 정보 검색 가능 MSN(or 윈도우) 메신저 네이트온 기타( 부연): 토렌트 edonkey 푸르나 기타( 부연): 윈도우 공유 폴더를 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) Telnet 에 대한 제어 여부( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) FTP 파일 전송( 프로토콜 ) 에 대한 제어(Active 또는Passive) ( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 웹하드 등 파일 업/ 다운로드 프로그램을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 데이콤 웹하드 U 클라우드(KT) N 드라이브 구글 DC 기타( 부연) : 인라인 구성 시 지원 - 71 -
Security Consumer Report 위원회 영역 점검항목 점검항목(Sub_1) 상세 점검항목(Sub_2) WebMail 을 통한 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 지메일 네이버 메일 한메일 핫메일 파란 메일 기타( 부연) : 인라인 구성 시 지원 PP3 (,) 메일 프로토콜을 통한 정보 유출 제어( 본문, 첨부파일 등 포함) SMTP IMAP 기타( 부연) : 인라인 구성 시 지원 게시판 글쓰기 웹사이트 접근 제어 및 정보유출 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 파일첨부 기타( 부연) : 인라인 구성 시 지원 특정포트( 사용자 등록 포트) 에 대한 정보유출 제어 특정프로그램( 사용자 등록 프로그램) 에 대한 정보유출 제어 오프라인 상태에서의 정보 유출 제어 CD/DVDRW 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 매체를 통한 정보 유출 제어 블루투스에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 1394 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) PCMCIA 에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) USB 포트를 이용한 외장형 저장장치에 대한 제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 프린터제어( 일반적인 서비스 이용은 가능하되, 특정 정보에 대한 선별적 제어) 해당사항 없음 - 72 -