Network DLP - Mail-i
CATEGORIES :

"내부정보, 최악의 상황은 네트워크를 통한 유출"

Network DLP는 메일, 메신저, 웹메일, 웹하드, 웹게시판, P2P, SNS(social network service), 터미널서비스, 프락시 서비스 등 정보 유출에 대해서 네트워크에서 감사하고, 통제하는 역할을 수행합니다.

Network DLP의 필요성은 계속 증대되고 있습니다. 예를 들어 웹메일, 웹하드, 메신저 등은 1년에 50여 회의 프로토콜 변경이 이뤄집니다. 이를 즉각적으로 작용 및 반영해 갱신해야 제대로 된 유출관리가 이뤄집니다. 최근에는 페이스북과 트위터 등과 같은 SNS서비스가 확산되며 DLP측면에서 새로운 위협이 되고 있습니다.
분류 내용 주요 기술적 체크포인트
메일 메일 SMTP,POP3, IMAP, Exchange Exchange 로깅 가능한지 확인(Active sync)
웹메일 5대 웹메일 로깅 및 대용량 첨부웹메일 차단-DAUM, NAVER, EMPAS(NATE), PARAN, Hotmail 대용량 웹메일첨부에 대해서 차단가능한지 확인
메신저 상위 5대 메신저 로깅과 통계 가능한지 확인-NateOn, MSN, YAHOO, BuddyBuddy, DAUM 외 웹프락시와 SOCK프락시로 우회하는 것에 대해서 로깅과 차단 가능한지 확인 NateOn 암호화 통신 차단 가능한지 확인
웹하드 상위 5대 웹하드 로깅과 통제 가능한지 확인-KTHard, 데이콤 웹하드, N드라이브 외 POST방식, 어플리케이션방식, 네트워크 드라이버 방식에 대해서 로깅과 차단이 가능한지 확인
웹게시판 상위 5대 웹하드 로깅과 통제 가능한지 확인 Active방식의 웹게시판을 정확하게 로깅하는지 확인
P2P 및
파일공유
SMB(네트워크 공유폴더), FTP, E-donkey, Bittormet, Kazaa 외 로깅(FTP와 SMB)과 차단(기타 P2P)이 정확한지 확인
터미널
서비스
상위 터미널 서비스 Telnet, VNCm PC애니웨어, Redmin, MSTDC 외 GUI계열 터미널 서비스는 80포트를 사용하더라도 차단 가능한지 확인
Network DLP는 Monitor와 Prevent 2개의 그룹으로 나누어질 수 있습니다. Monitor는 Network Mirroring방식으로 운영되며 감사와 차단 전용입니다. Monitor의 경우 다양한 유출경로에 대한 Coverage가 핵심입니다. 특히 웹포트(80포트)로 우회접속하는 것과 Proxy로 우회접속하는 것, Dynamic Port를 사용하는 것에 대한 정확한 식별능력과 차단능력이 핵심적인 기능입니다.
예를 들어 네이트온 메신저와 네이버 N드라이브와 같은 웹하드, Daum 대용량메일, 싸이월드 웹게시판 등은 파일 전송을 위해서 사설(Proprietary) 프로토콜을 사용하며 Proxy를 만들기가 어렵습니다. 또한 주기적으로 변경되기 때문에 Proxy를 만들 경우에 네트워크 안정성이 매우 저해될 수 있습니다. 이러한 프로토콜은 바로 이 Monitor방식으로 Monitoring and Content Aware통제를 수행합니다.

Prevent는 Proxy방식으로 이 방식은 유출을 사전에 원천 차단하는 방식을 의미합니다. 또한 Prevent는 Proxy형태가 존재해야 가능합니다. 대표적인 것이 Mail Proxy와 DB Proxy입니다.
항목 Mail Proxy DB Proxy
성격 Network DLP(prevent) Network DLP(prevent)
설치위치 사내 메일서버와 외부 메일서버 사이 DB사용자와 DBMS사이(DB사용자에게 에이젠트 설치)
차단목적 메일을 통해서 기밀정보가 외부로 유출 차단 주요 정보가 체계적으로 보관된 DBMS에서 기밀정보가 PC로 무단전송 혹은 외부로 유출 차단
통제대상 메일 Protocol DB Protocol
content-aware
통제조건
1. 경쟁사로 전송된 메일에 대한 차단
2. 메일의 첨부파일에 기밀정보 패턴이 포함되어 있을 때 차단(도면, 주민번호, 카드번호, 제품모델명, 금칙어 포함)
1. DB Query의 결과값에 주요한 기밀정보(도면, 주민번호, 카드번호)가 과다포함 되었을 때 차단

2. 주요한 기밀정보가 포함된 table과 column에 대한 접근 차단(비권한자 대상)
3, DBMS의 형상에 변경을 일으키는 creste나 drop과 같은 Query
차단
로깅내역 메일본문과 첨부파일 전부 로깅 1. SQL Query결과값 전부
2. Delete, Update를 통해서 DB데이터에 변경을 발생시킬 경우에 before and after 로깅
결재기능 차단시 결재후 재전송 차단 대상 Query에 대해서 결재 승인후 허용
컴플라이언스 산업기술 유출방지 및 보호, 부정경쟁방지 및 영업기밀보호법 외 정보통신망법, 개인정보보호법 외
Prevent는 사전통제기능 때문에 도입결정시에는 선호되지만 커버하는 프로토콜이 한정적이고, 차단되지 않아야 할 내용이 차단되었을 경우에 보안담당자가 큰 부담을 느끼기 때문에 실제 운영 시에는 대부분 대기업은 Monitor형태로 운영하는 경우가 일반적입니다.