Endpoint DLP - Privacy-i
CATEGORIES :

"PC·USB·통신 등을 통한 정보유출 보안 조치"

Network DLP/Discovery란?

EndPoint DLP는 PC와 같은 단말에서의 USB등의 미디어와 출력물을 통한 유출방지 기능을 담당합니다. 초기에는 단순한 Media통신에 대한 ON/OFF형태로 적용되었습니다. 최근에는 내용기반으로 통제하는(Content-Aware)기능이 개발, 적용되었습니다. 예를 들어 USB로 복사하려는 파일에 주민번호, 계좌번호, 카드번호 등 개인정보나 주요 기밀문서의 키워드 등이 포함되어 있을 경우에 식별하고 차단 또는 결재승인 후 카피합니다. 이외에도 RF통신, 블루투스, 테더링 등 통신에 대한 차단기능을 제공합니다.
Discovery는 주요한 기밀정보가 어디에 보유되어있는지 식별(discover)하는 기능입니다. 모든 개선의 시작은 현황 파악입니다. DLP의 시작 또한 주요 파일의 보유현황 파악입니다. 권한자가 아닌 경우에는 주요정보를 PC혹은 단말에 보유하고 있는 것 자체가 사규위반이며 잠재적인 정보 유출의 위협이 있습니다. 단말은 인증이 약하기도 하고 트로이잔에 의한 무단 원격접속, 해킹 등에도 취약하기 때문에 의도하지 않은 상태에서 정보가 유출될 수도 있습니다.

파일서버, DB서버에 무단 방치된 기밀정보는 항시 유출의 위험이 있습니다. 식별된 주요 파일은 비권한자의 경우 삭제하거나 중앙서버에 내용을 올리고 권한자의 경우라도 평문일 경우에는 강제 암호화해야 합니다. 또한 향후 스마트폰에 보관된 기밀정보에 대한 식별 및 보호조치까지 Discovery 영역을 확장해야 합니다.

*DLP 데이터 분석능력

DLP에서는 데이터 분석능력이 중요합니다. 누가 보냈는지, 어디로 보냈는지, 무엇을 보냈는지에 따라서 보안관리 수준이 달라져야 합니다. 특히 첨부파일에 저장되어있는 데이터를 정확하게 분석할 수 있어야 합니다. 첨부파일에 대해서는 속성(attribute), .keyword and keyphrase, 패턴, 파일 Exact match 혹은 파일 파일의 확률적인 매칭 등 4단계로 분석능력을 세분화 할 수 있습니다.
글로벌 DLP제품은 4단계의 확률적인 문서 매칭 기법(Linguistic Analysis기능)을 강점으로 내세우고 있습니다. 그런데 문서의 일부분에 대한 확률적인 매칭은 오탐(False positive)과 과탐(False negative)의 문제가 있을 수 있습니다. 또한 기밀정보로 등록한 문서의 개수가 많으면 많을수록 성능에 대한 부담이 지수적(Exponentially)으로 높아집니다.

이외에도 글로벌 제품은 분석 가능한 파일 속성 중에서 국내에서 많이 사용하는 아래한글 포맷 분석에 제약성이 있으며, 국내 주민번호 등 주요 패턴에 대한 체크섬(checksum) 분석 또한 제약을 가지고 있습니다.
항목 국내 DLP 글로벌 제품
분석가능 파일 속성 아래한글, 훈민정음, OFFICE, PDF, ZIP 등 - Embedded 문서도 분석가능, 다단계 압축분석 가능 OFFICE계열, PDF, ZIP 등 - Embedded 문서분석, 다단계 압축분석
속성기반 매칭(Attribute 분석)
- 파일이름, 확장자, 사이즈, 파일 확장자 변조 검출
제공 제공
키워드분석, 금칙어 매칭 제공(키워드 반복횟수) 제공(키워드 반복횟수)
패턴 매칭(Pattern Matching) 제공(패턴 반복횟수) 제공(패턴 반복횟수)
다량의 오탐방지를 위한 패턴 체크섬 기능 주민번호, 카드번호에 대해서 제크섬 제공 주민번호, 카드번호 체크섬없음
Regular Expression기능 제공 제공
Pattern Customization기능
(해당기업내 특화 제품모델명, 사번체계 등)
가능 N/A
파일 Exact Match 관련
(파일 Hash기반)
기술적으로 구현은 되어있지 않으나 쉽게 개발가능
- 전세계에 배포되어있는 기밀정보 파일을 수집/분류하고 계속 유지하는 것은 보안분야에서 가장 난해한 작업중 하나
제공
파일 확률적 Match관련
(기밀정보 파일의 일부분도 매칭가능)
미개발 오탐 혹은 과탐의 우려가 있음
문서의 개수가 많을수록 Network DLP 등 매칭서버의 성능 부하