Next Generation Network Security Vision 2007
전방위 네트워크 보안 전략 - AhnLab UTM
2007.03.14
목차
보안 위협의 변화 전방위 네트워크 보안
AhnLab UTM
보안 위협의 변화 - 추이 ( 확산성 )
6months 2months 1day 4hou
r 1hou r
1991 : Michelangelo 1997 : WM/Cap 1999 : WM/Melissa
2000 : VBS/Loveletter 2001 : CodeRed 1세대
개인간의 1 : 1 확산
2세대 1 : n 확산
•n:제한된 그룹의 구성원
3세대 1 : N 확산
* N:불특정 다수
4세대 1 : N : M 확산
* N:불특정 다수
•M:기업 네트워크 내부 사용자
확산 매개체
수동적 확산 시스템 작동 오류 유발
능동적 확산 정보자산 유출
확산 거점의 다양화 네트워크에 직접 피해 유발 특징
Floppy disk 등의 저장매체
PC통신 등의 폐쇄 네트워크 환경
인터넷으로 대표되는 공개 네트워크 환경
인터넷 초기확산, 네트워크 폴더/시스템 취
약점을 통한 재 확산 바이러스(악성코드)의 확산 속도의 가속화 및 피해범위 확대
보안 위협의 변화 – Security Report (1/5)
l 사용자 계정을 탈취하는 악성코드 변형 증가: LineageHack Ø 해킹된 사이트 방문으로 악성코드 다운로드
Ø 키로깅된 내용을 특정 메일주소로 전송 Ø 게임 내의 아이템 탈취목적
개인정보, 기밀정보 유출 가능성 l 금전적인 목적의 사고
Ø 게임 계정, 계좌 정보 유출, 인터넷 뱅킹 사고, 고객정보 유출 개인정보 유출
Ø 스파이웨어/애드웨어
l 이메일 웜+ 악성 Bot웜의 등장과 피해: Win32/Mytop.worm
Ø Mass Mailer이면서 악성Bot기능의 복합적인 형태로 다수의 변형추 가
Ø Bot웜의 전파수단 제한(IPS, 보안패치등)으로 Mail선택
l 애드웨어를 통해 감염되는 바이러스 등장: Win32/Bube
Ø Anti-Spyware제품과 Anti-Virus제품의 취약한 부분을 이용 Ø Explorer.exe만 감염 필요한 파일만 감염, 생명력 유지
l BotNet의 조직화, 통제력 강화
l BotNet : Bot에 감염된 시스템들이 하나의 네트워크로 연결된 형태
l 스팸발송, 자신의 확장, 유지, 공격
l 메신저 웜의 증가: Win32/Kelvir.worm, Win32/Bropia.worm
l MSN 메신저 이용 파일 전송 특정 확장자 차단 URL메시지 전 송
l 실시간이라는 특징 활용 Source: 안철수연구소 시큐리티 대응센터
Security Report
보안 위협의 변화 – Security Report ( 2/5 )
l PnP 취약점 공격코드 공개와 악성코드 확산 : Win32/Zotob.worm Ø 한정된 대상에서만 전파(한글등 일부 언어권은 제외)
l 휴대용 게임기의 악성코드 등장
Ø Sony PSP, Nintendo DS에서 동작하는 트로이목마 l 은폐형 악성코드
Ø 커널 모드 은폐기법의 제작방법 및 소스 공개
Ø Sony DRM 루트킷 사건 : DRM 프로그램이 은폐기법 사용
l WMF취약점
Ø MS의 보안패치 전에 취약점 공개
Ø 웹 방문이나 메일, 메신저에 첨부된 파일 실행 등 수동적인 사용자의 개입이 필요함 Ø 확산도는 낮으나 조작된 *.WMF파일이 많이 발견되고 있음.
l Sober웜 변형 발견 및 확산
Ø 2년이 넘도록 보고되고 있고 2005년 11월 이후 지속 확산
Ø hi, ive a new mail address, Your IP was logged, Mail delivery failed, smtp_mail_failed, You visit illegal websites, Registration Confirmation
l Mobile 악성코드
Ø 불루투스 이용하는 심비안OS용 악성코드
Ø MMS형태 발견(Commwarrior) : 거리적 제약이 없어짐
l Bagle 웜 발전 형태: 웜 제작의 모듈화
Ø 웜 전파, 유지, 생존을 위해 각 기능을 담당하는 코드 제작/유포 Ø 각각 연동되면서 하나의 네트워크 형성
Ø 변형 배포 및 확장으로 활용
보안 위협의 변화 – Security Report ( 3/5 )
Mass-Mailer
Win32/Netsky.worm변형
Win32/Netsky.worm 장기간에 걸친 피해
관리소홀 시스템존재 강한 전파력
보안제품 미설치
네트워크 취약점 이용 은폐기법 이용
중국발 웹해킹 MSN이용 전파 유사 변형 증가
2005 악성코드 피해 Top 20 2005
2005 악성코드 악성코드 피해 피해 Top 20 Top 20
최근 관리자가 우려하는 보안의 가장 큰 이슈는 복합적 공격
보안 위협의 변화 – Security Report ( 4/5 )
2006년 악성코드 피해동향
• 2005년에 이어 다양한 Mass-Mailer에 의한 대량 메일발송과 그로 인한 피해 문의 건수 증가
• 악성 IRC 봇 웜 변형의 급격한 증가로 인한 피해 문의 건수 증가 취약점을 이용한 웜 공격 감소?
-
-> > 다양하고
다양하고 복합적인복합적인 공격기법공격기법 사용했기사용했기때문때문 트로이목마 피해 증가중국발 웹해킹(웹서버의 취약점 이용) 악성코드 다운로드 링크 삽입 트로이목마에 전파력 부여
악성코드 Top 20의 유형별 현황 악성코드 악성코드 Top 20의 Top 20 의 유형별 유형별 현황 현황
2005년 2006년
보안 위협의 변화 – Security Report ( 5/5 )
Spyware/Adware/Grayware
2006년 개인 PC보안의 최대 위협 중 하나 중요 개인 정보의 유출
윈도우의 보안설정과 같은 중요 시스템 설정을 변경
사생활 침해 , 원하지 않는 광고 금전적 손실, 시스템 피해 형태 2006년 유형별 비율
2006년 2006 년 유형별 유형별 비율 비율
애드웨어 3,314 스파이웨어 2,312
드롭퍼 372
다이얼러 941
기타 18
계 9,717
다운로더 2,317
클리커 399
익스플로잇 44
보안 위협의 변화 – 복합 공격의 일반화, 고도화 (1/3)
• 복합 공격(Blended Attack)의 현황 – 바이러스 + 다운로더
• Win32/Viking
– Bot(네트워크 취약점 웜) + 스파이웨어 – 주로 외국계 – Bot + 스팸
– Bot + DDoS
• Root DNS 공격?
• 성인 사이트에 대한 해커의 500만원 짜리 공격 – 다운로더 + 트로이목마
• 온라인 게임 계정 탈취 악성코드
• 복합 공격의 전망
– 복합 공격의 고도화
• 여러 악성 기능의 복합화, 발견과 치료가 어려운 방법 채택 – 돈 되는 복합 공격으로 치중
보안 위협의 변화 – 복합 공격의 일반화, 고도화 (2/3)
Spyware Adware
Clicker
Virus Worm Trojan Horse Downloader
Dropper Spyware
Adware Clicker Downloader
Dropper Virus Worm Trojan Horse
스파이웨어 악성코드
개인정보 수집, 유출 인터넷 광고
파일 감염, 악성코드 확산 악의적인 코드, 데이터 훼손 멸실
보안 위협의 변화 – 복합 공격의 일반화, 고도화 (3/3)
• Win32/Dellboy
– 암호가 취약한 시스템을 통해 전파 – USB 휴대 메모리를 통한 전파
– EXE, SCR, PIF 등의 실행 파일 감염
– HTML, ASP, PHP 등의 스크립트 파일 감염 – 온라인게임 계정 유출 스파이웨어 설치 – 보안관련 프로세스의 강제 종료
– 2007년 2월 중국 제작자 검거
보안 위협의 변화 – 현재 대응책의 문제
• 다양한 종류의
Point Solution을 사용해야 한다.
– N/W Area
• Application proxy firewall,
• IPS/ IDS
• VPN – N/W Edge
• Anti- virus
• Anit- Spyware
• 여러
Vendor의 제품과 서비스을 혼용하게 된다.
– 기술지원 문제/ 제품의 적용을 위한 Time – Vendor별 개별적 관리 Overhead
– Vendor별 서비스 수준의 불일치
• 제품의 빈약한
Integration
– 통합된 관점의 Solution보다 부족한 보안성
– 보안기법의 불필요한 중복 또는 공백 Æ Security Roadmap 설정의 어려움.
• 다수의 장비를 관리해야 한다.
• 비싸고
, 어렵다.
– 구매/ 설치, 설정/ 관리
전방위 네트워크 보안 – UTM (Unified Threat Management)
Firewall
허가된 포트를 경유한 공격의 탐지/방어의 불가
IDS
능동적인 자체 대응책 없음.(Dynamic Blocking)
Firewall+IDS UTM
탐지와 방어의 처리가 동시에 이루어지지 않음
→ 성능저하
기존 IPS
성능(속도)에만 매진, 정교한 공격에 대한 탐지 및 방어 간과 시스템의 안정성 확보 부족(Fail Over Function)
AhnLab UTM – What is AhnLab’s UTM ?
Network Platform Security Contents
• Firewall
• VPN
• IPS
• Application proxies
• HA
• DDoS protection
• Virus
• Worms
• 스파이웨어
• Attacks
• Spam
• URLs
Target
9SMB & Enterprises9Security 전문가가 부족한 환경
9Comprehensive & quantitative analysis
Vision
9 N/W Point Solution의 Integration ??9 N/W Threat Management 서비스의
Platform
9 and What ??AhnLab UTM
보안 환경의 변화로 단순한 point security solution에서 벗어나 복합적인 보안 위협의 변화에 보다 신속하게 대응하기 위해서는 네트워크 보안과 컨텐츠 보안이 통합된 전방위 네트워크 보안이 필요하다
舊. 시큐어소프트 Network Security
안철수연구소 안철수연구소 Contents Contents Security Security 전방위 네트워크 보안의 완성
네트워크 보안 + 컨텐츠 보안
네트워크 보안에서 어플리케이션 레벨의 컨텐츠 보안까지 하나로 통합
Firewall IPS Anti-Malware
• 수호신 Absolute Firewall의 명성
• 고성능 패킷 처리 기술
• 검증된 안정성
• Absolute IPS의 지능형 방어 기술
• TrusGuard의 사전 방역 서비스
• 24x7 실시간 업데이트 지원
• V3Engine으로 완벽한 바이러스 차단
• SpyZero 기술로 스파이웨어 차단
• TrusMail 엔진으로 스팸메일 제거
AhnLab UTM
네트워크 레이어에서 어플리케이션 레이어까지 완벽 보호
AhnLab UTM
Firewall IPS
Physical Link Network Transport
Session Application Presentation
Apps Files
Virus Worm Trojan
Botnet Spyware
Spam ..
Threat Contents
Secure Connection
• IPSEC
• SSL-VPN Network
Security Rules
Host Security
Rules
Ahnlab Security
Tower
Cleaned Traffic
9
Accountability
9Flexibility
9Manageability
AhnLab UTM
통합 보안 장비로서의
AhnLab UTM
• 단일 벤더, 단일 장비
– 관리 부담의 획기적 경감
• 벤더, 하드웨어, 소프트웨어, 콘솔
– 단일 벤더
• 신뢰할 수 있는 보안 파트너
• 검증된 기술, 강력한 통합
• 적은 비용으로 최대의 보안 효과 – 가장 안전한 방화벽 기술
– 7가지 보안 기능
• N/W Threat Management Platform
– F/W, IDS/IPS, Application-Proxy, VPN
• Security Contents
– Anti-Malware Rules ( AV, AS) – Anti-Spam Eng ( from TrusMail )
– N/W Signiture Rules ( from TrusGuard )
– 최대한의 보안, 최소한의 영향
AhnLab UTM
IPS로서의 AhnLab UTM
• “Proactive”
– Zero-day attack에 대한 기본 방어
• 과거 방식의 대응은 너무 늦음
– Anomaly Detection & Prevention
• 실제 위협을 식별하는 데 효과적
• 높은 정확성, 낮은 오탐율
• 이벤트 상호 연관 능력
– “이벤트 홍수” 가 아닌 “실제 위협”을 보고함으로써 효과적인 감시와 차단
• 복합 위협에 대한 통합 대응 시스템 – 시그니처 기반 탐지 및 방지 기술
• 알려진 공격의 탐지/방지에 활용
AhnLab UTM
기업 내부 네트워크 보호
– Network Quarantine
¾ 비즈니스 파트너간 VPN 사용, Wireless LAN, 모바일 사용자 증가와 Guest 사용자의 내부 네트워크 접속 증가
¾ 내부 위협과 외부 위협의 경계가 사라짐. 보호해야 할 Back-End Resource에 가깝게 새로운 경계선을 구축해야 함
¾ Internal Network에 대해서도 DMZ 구간과 같은 보안 필수 내부 보안의 중요성
AhnLab UTM
Anti-Malware 솔루션으로서의 AhnLab UTM
• 최고의 Anti-Malware 기술 – V3Engine
– SpyZero Technology
• 게이트웨이 레벨에서의 Anti-Malware 기술 – TrusGuard Engine
– TrusMail Engine – 다중 프로토콜 지원
• HTTP, SMTP, P2P
• IPS 기능과 함께 사용시
– 복합적 위협을 포함한 모든 종류의 악성 코드와 공격으로부터의 보호
AhnLab UTM
AhnLab UTM의 3-phase 방역단계
백신, 안티스파이웨어 엔진 배포
고객 피해 [ Phase 1 ]
[ Phase 2 ]
[ Phase 3 ] Phase 1
• 악성코드 인지 후, 인지된 행위패턴에 대한 시그니처 배포
• 행위패턴 정보의 상세화에 따른 시그니처 revision 배포 Phase 2
• 샘플분석에 따른 특성 추출
• 샘플분석 정보의 상세화에 따른 엔진 배포 Phase 3
• AV에 의한 치료 후, cleanup 치료
확산도
…..
…..
AhnLab UTM
AhnLab UTM의의 사전사전방역방역서비스서비스
악성코드 등장
악성코드 인지
모니터링 샘플 입수
시그니처 배포
악성코드 분석
엔진 제작
QA및 패킹
엔진 업로드
고객 업데이트
사후처리 Cleanup
악성코드 소멸
AhnLab UTM
• 일반 네트워크 보안 솔루션과 안철수연구소 UTM의 신종 바이러스 대응 과정 비교
(※ 동 자료는 자사 테스트 환경에 준하여 작성된 자료이므로 상황에 따른 소요시간의 차이는 발생 가능함)
취약점 발견 취약점 패치발표
공격코드 발견 악성코드 출현 악성코드 샘플 입수
긴급 대응 악성코드 분석 시그니처 제작
QA / 패킹 시그니처 업로드
고객 업데이트
15분 5분
10분 50분 20분 40분 100분
20분 소요
타사 시그니처 업데이트 소요 시간의 9% 수준 3시간 40분 소요
시간이지날수록악성코드로인한고객피해급증
[악성코드 대응 과정] 안철수연구소 UTM 일반적인 네트워크 보안 솔루션
긴급한 보안위협 발생 시 신속한 대응으로 악성코드 확산 방지
▶ 악성코드로 인한 피해 최소화
Time 피해 정도
AhnLab UTM
AhnLab UTM Series
SOHO
지사
중기업 소기업
대기업
2007년 2007
년5월 5
월출시출시영업소
2G
1G
10/100
소비자
본사