간단한 후기

Samsung SDS에서 Cyber Security Conference 2021을 개최하였다. 컨퍼런스에서는 최근 보안 동향과 기술들을 다루고 있었다. 특히 COVID-19사태를 맞이한 지금, SDS가 어떻게 보안 솔루션을 제공하고 있는지에 대한 내용들이 주를 이루었다. 산업에서 현재 다루고 있는 보안 동향에 대해 알 수 있는 좋은 기회였다. 다만 컨퍼런스가 쉬는 시간 없이 빡빡하게 진행되는 점이 아쉬웠다.

Zero Trust Network

일반적으로 네트워크의 경계부분만 관리하면 된다는 전통적인 생각이 만연하다고 한다. 하지만 더 이상 이러한 생각은 통하지 않기 때문에 Zero trust 보안에 대해서 고려해야 한다.
Zero trust는 사용자부터, 디바이스, 네트워크 등 보안이 고려될 수 있는 모든 요소를 고려함으로써 아무것도 신뢰하지 않는 (Zero trust) 보안 접근 방식을 말한다.

원격 근무 환경에서의 계정 보안 강화를 위해 완충지대를 두고 접근 제어를 해야하기 때문에 로깅이 필요하다.

  • 이상 감지 엔진 (유저 행위, 단말 정보, 인증 통신)

보통 원격접속, SSL VPN 등을 통해 원격 근무 환경을 조성한다. 그렇다면 업무 지연은 없을까?
방화벽정책을 적용하는 등에 시간이 소요되면 업무의 연속성을 침해하게 된다.

  • 신원 확인 w/ MFA
  • 디바이스 신뢰성 확인
    • 악성코드 확인 / 차등화된 접근 레벨 설정
  • 최소 접근 권한 관리

금감원, 재택근무 가이드

  • 외부 단말기 보안
  • 인증 및 통신 회선: MFA
  • 내부망 접근 통제

Endpoint Detection and Response (EDR)

pre, post 시점에 대해서는 사전에 잘 예방하고, 사후 보완을 하는 것은 큰 문제가 없다고 한다. 그러나 peri (현재)는 다르며, 매우 중요하다고 하였다 (very critical).

automatic response happens

  • automation (자동화)
  • autonomy (자율성)
  • Correlation (연관성)
  • End-to-End Integreted Processes
  • One Platform
  • SOC Empowerment

딥페이크 탐지

딥페이크를 탐지하기 위해 생리적 특징, 이미지, 주파수 정보를 이용한다고 한다. SDS의 경우에는 주파수 기반의 탐지 기법을 사용하고 있으며 99.99%이상의 성능을 보인다고 하였다.
또한 어느 한 로이터 기자의 인터뷰에 따르면 실제로 무엇을 분석하려고 하는지 알기만 하면 딥페이크가 적용된 영상을 탐지하는 것은 쉬울 것이라고 하였다.

기타 주제들

  • On premis에서 Cloud로의 변화
  • 가상환경을 이용한 버그바운티
  • 동형암호

Q & A

Q. 그렇다면 IT보안 체계가 여러개 필요하다고 했는데 그렇다면 디지털 관련 속도나 리소스가 상당히 들어갈 가능성 있는데, 이 부분의 효율성은 어떻게 살려야 할까요?
A. 가능한 유사기능은 통합을 고려하는 것이 좋을 것 같습니다. 그리고, 최근에 SOAR 등과 같이 복합한 보안체계에 대한 통합 및 자동화를 지원하는 솔루션들도 나오고 있어서 도입을 고려하시는 것도 방안일 것 같습니다.

Q. 정보유출 관점에서 스마트폰 등 외부기기를 통한 화면촬영에 대한 보안책도 있는지요?
A. 물리적인 화면을 보호하기 위해서는 특정장소에서 휴대기기의 기능을 통제하는 MDM을 도입하거나 물리적 통제(반입금지 등)이 수단이 될 것 같습니다.)

Q. 최근 카카오웍크도 클라우드기반의 외부 플랫폼도 활용하고 있는데요, 외부 연계 플랫폼으로 들어오는 관리 사례가 있을까요?
A. 네, 요새 Cloud SaaS에 대한 연계가 필수적인데요, Workday 등 다수 Cloud SaaS 앱과도 연계가 가능합니다. (Saml, OIDC 등 활용)

Q. 솔라윈즈와 같은 사고를 예방하는 방법이 제로트러스트란 뜻인지요? 제로트러스트란 무엇인지 제로트러스트 구축을 위해 기업이 고민해야 할 사항은 무엇인지 설명 부탁드립니다.
A. 제로트러스트라는 것은 그 누구도 믿지 말라는 뜻입니다. 이를 위해서는 접근통제에 대한 강화와, 접근된 이후 감사로그에 대한 분석/모니터링을 통한 유기적인 사후대응이 포함되어야 합니다. 또한 이러한 부분이 사용성에 지장으로 다가가지 않도록 편의성에 대한 부분도 고려되야 합니다.

Q. 일반적으로 사전 탐지가 어려운것으로 알고 있습니다. 사전 탐지를 위한 요건들은 어떤것들이 있는지요?
A. 사전탐지에 대한 부분은 일단은 공격에 대한 축적된 지식을 기반으로 한 시나리오로 선제대응을 해야 하며, 이후에 지속적인 지식화 작업으로 사전탐지 대응력을 높여가야 합니다.

Q. 차세대방화벽에서 암호화된 트래픽에 대한 탐지/차단은 어떤식으로 가능한지 궁금합니다.
A. 암호화트래픽(SSL)에 대한 복호화 처리 기능이 있어서 방화벽에서 이를 복호화하여 보안처리 후, 다시 암호화 처리하여 전송을 하여 줍니다.

마무리

국내 보안 컨퍼런스는 이번이 두번째인데 비록 회사의 보안 제품을 홍보하는 내용이 마지막에 많이 나와 아쉬웠지만 최근 보안 동향도 알고, 산업에서 중요시 하는 보안 요소들을 알 수 있어 좋았다.