행복을 찾아서

DLP와 DRM은 모두 문서보안(내부정보보안)을 목적으로 하는 기술이지만 둘의 동작 방식은 전혀 다르다. DLP의 경우 데이터(내부정보)가 흐르는 경로나 매체를 차단하고, 키워드와 패턴 등으로 유출을 막는 반면 DRM은 데이터 암호화를 통한 권한관리 방식이다. 이 방식의 차이로 사용되는 기술과 어플리케이션 호환문제, 장/단점이 확연히 달라진다.

DLP (Data Loss Prevention)

데이터 손실 방지를 의미한다. 데이터의 흐름을 감시하여 기업 내부의 중요 정보에 대한 유출을 감시/차단하는 방식이다.
기밀정보로 분류할 수 있는 정보의 범위는 매우 넓은데, 기업 구성원에 대한 정보와 기업 운영 프로세스, 고객과 직원에 관한 신원확인정보(PII), 영업정보, 재무제표, 마케팅 계획과 같은 전략 정보, 제품 기획과 같은 지적 재산(IP)를 포함한다.

DRM(Digital Rights Management)

저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제한하는 것을 말한다. 특정 자료를 저작권자가 의도한 용도로만 사용하도록 제한하는데 사용되는 모든 기술을 지칠하는 용어기 때문에 복사방지, 기술보호 장치도 그 일부라고 할 수 있다.

DRM이 기업의 솔루션 용어로 사용될 때는 의미가 조금 달라지는데, 디지털 제약 관리(Digital Restrictions Management)에 더 가까운 의미가 된다. 각 문서 단위에 권한을 주고, 사용권한에 따라 접근할 수 있는 범위를 제한한다.

컴퓨터의 처리 내용이나 이용 상황을 시간의 흐름에 따라 기록한 것, 혹은 기록하는 것. 사고가 발생했을 때 데이터의 복원이나 사고 원인의 규명 등에 도움이 되고, 네트워크의 부정 이용이나 데이터 파괴의 방지, 이용 요금의 산정의 기본 등에 쓰인다.

로그는 시스템에서 발생한 장애에 대한 판단 기준을 제공하고, 내/외부의 보안 이상 징후를 모니터링하는데 가장 기본이 되는 데이터라고 요약할 수 있습니다.

1. 완벽한 로그관리:
로그의 수집, 분석, 검색, 모니터링, 폐기 등 로그생명주기 자동화 관리
다양한 장비로부터 데이터 수집과 백업 지원 등 통합로그관리 솔루션 도입의 필요

2. 신속한 대응
실시간 모니터링 -> 주제별, 일자별 보고서 생성 -> 원본로그 분석 등
단일 포인트에서 모니터링, 검색, 탐지, 보고를 하여, 빠르게 사고/장애에 대응

3. 로그분석의 ROI 증대
분석 및 보고서 업무의 감소와 운영비용 최소화. ROI와 TCO를 절감

4. 컴플라이언스 준수
개인정보보호법, 정보통신망법 등 로그 관리 법규에 준수하여
사고 및 침해 시 법적 증거, 감사 자료로 제시

※ ROI(Return on Investment , 투자자본수익률) : 
기업의 순이익을 투자액으로 나누어 구하며, 자금의 효율성에 중심을 맞춘 용어. 
자금이 효율적으로 이용되면 수익이 올라가고, 비효율적으로 운영되면 수익성이 떨어짐 
※ TCO(total cost of ownership) : 
기업에서전산 시스템을 도입할 때 단순히 초기 투자 비용뿐만 아니라 이후의 운영, 유지보수 비용까지 고려하는 것 

버퍼 오브플로우(Buffer OverFlow)의 가장 기본 개념은 '덮어쓰기'이다. 정상적인 경우에 접근할 수 없는 메모리 공간을 임의의 코드를 이용해 값을 변경한다. 다만, 관리자 권한을 획득하려면 공격하려는 프로그램에 SetUID가 설정되어 있어야 하고, 프로그래머가 취약한 특정 함수를 사용해야 한다.

OverFlow는 '넘쳐 흐르다' 라는 의미이다. 특정 함수를 사용할 때, 입력한 문자열을 저장하기 위해 선언한 변수(배열)의 크기보다 더 길게 입력하면, 다른 용도로 사용하는 영역에 값을 덮어쓰게 된다.

우리가 사용하는 메모리는 왼쪽 그림 과 같이 구성되어 있다. 공격에 사용되는 부분이 STACK과 HEAP이다.

STACK에는 지역변수, 인자, 함수 종료 후 돌아갈 곳의 주소(RET값)이 저장되어 있다. 바로 이 RET값을 변조하여 관리자 권한을 획득하는 것이 STACK 기반의 BOF 공격의 목표이다.

HEAP에는 malloc, calloc 등의 함수를 사용해 프로그래머가 직접 공간을 할당하게 되는데, 이곳에 저장된 데이터 및 함수를 변경하여 원하는 결과를 얻어낼 수 있다. 이것이 HEAP 기반의 BOF 공격이다.

해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 '서비스 거부 공격(Denial of Service attack；DoS)'을 함으로써 시스템이 더 이상 정상적 서비스를 제공할 수 없도록 만드는 것을 말한다.

'분산 서비스 거부' 또는 '분산 서비스 거부 공격'이라고도 한다. 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 해킹 방식의 하나이다. 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 사이트의 컴퓨터시스템이 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 방식이다.

이로써 이용자는 정상적으로 접속할 수 없는 것은 물론 심한 경우에는 주컴퓨터의 기능에 치명적 손상을 입을 수 있다. 또 수많은 컴퓨터시스템이 운영자도 모르는 사이에 해킹의 숙주로 이용될 수도 있다. 공격은 일반적으로 악성코드나 이메일 등을 통하여 일반 사용자의 PC를 감염시켜 이른바 '좀비PC'로 만든 다음 C&C(명령제어) 서버의 제어를 통하여 특정한 시간대에 수행된다.

2009년 7월 한국과 미국의 주요 정부기관과 포털사이트, 은행사이트 등에 가해진 공격을 대표적 사례로 들 수 있다. 7월 4일 미국 사이트들에 대하여 1차 공격이 수행되었고, 한국에서는 7월 7일부터 3차례 공격이 수행되었다. 공격 대상에는 미국의 백악관과 한국의 청와대를 비롯하여 한국 주요 언론사와 주요 정당, 주요 포털사이트가 포함되었는데, C&C서버로부터 공격명령을 하달받는 것이 아니라 감염시 생성되는 공격목표 설정파일을 기반으로 자동공격을 수행하는 방식이었다. 감염된 수만 대의 컴퓨터가 좀비PC로 활동하면서 국내 주요 기관과 포털 사이트에 장애를 일으켰다.

악성코드에 감염된 PC는 악성코드가 원도 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행되고, 방화벽 설정이 활성화되지 않으며, 다수의 특정 도메인을 대상으로 HTTP, UDP, ICMP Ping 패킷을 지속적으로 전송하는 증상 등이 나타났다. 또 공격에 사용된 웜(Worm) 가운데 일부에서 감염된 컴퓨터의 하드디스크를 파괴하는 피해 사례도 나타났다.

DDoS 예방책으로는 윈도 운영체계에 최신 보안패치를 적용할 것, 인터넷 로그인 계정의 패스워드를 자주 변경하고 영문·숫자·특수문자를 조합하여 6자리 이상 설정할 것, 신뢰할 수 있는 기관의 서명이 없는 액티브X 보안경고 창이 뜨면 설치 동의를 묻는 '예' '아니오' 중 어느 것도 선택하지 말고 창을 닫을 것, 이메일을 확인할 때 발신인이 불분명하거나 수상한 첨부파일은 모두 삭제할 것, 메신저 프로그램에 첨부된 URL이나 첨부파일에 대하여 메시지를 보낸 이가 직접 보낸 것이 맞는지 반드시 확인할 것, P to P 프로그램에서 파일을 다운로드할 때 반드시 보안 제품으로 검사한 후 사용할 것, 정품 소프트웨어를 사용할 것, 공유권한을 '읽기'로 설정하고 사용 후 공유를 해제할 것, 보안제품은 항상 최신 버전의 엔진을 유지할 것 등이 권장된다.