지니언스 기술 블로그

NAC의 눈, DPI ③ 단말탐지 와 정확성 - Genians

Written by Genians | May 13, 2020 6:00:00 AM

우리는 지난 2회차에 걸쳐 ①사물인터넷과 보안위협, ② GPDB의 진화, Genian DPI에 대하여 살펴보았습니다. 사이버 보안환경이 급속하게 변화하고 있고, IoT 단말의 폭발적인 증가추세로 인하여 단말의 가시성 확보가 무엇보다 중요한 시점입니다. 한 걸음 더 나아가 확보된 가시성을 기반으로 정확한 단말 탐지를 통한 유용한 정보 제공이 관리자에게 필요합니다.

Genian NAC는 어떠한 네트워크 환경에서도 정확한 단말탐지 를 위한 기술과 인프라를 보유하고 있습니다. 아래의 4단계를 반복적으로 수행함으로써 더욱 정확하고 정교한 단말탐지 가 이루어 집니다.

I. 정보수집 단계

단말이 네트워크에 연결되면 정보수집이 시작됩니다. 정보수집은 크게 능동적 수집(Active Scan) 과 수동적 수집(Passive Scan) 방식으로 구분할 수 있습니다.

1. 능동적 수집(Active Scan)
- HTTP User-Agent, TCP Fingerprinting 등 10가지 이상의 방법이 사용되며, 단말을 대상으로 특정한 정보를 전송하고 회신되는 정보를 수집합니다. 일반적인 사무실 환경 등에서 운영이 가능합니다.

2. 수동적 수집(Passive Scan)
- DHCP, SMTP 등 5가지 이상의 방법이 사용되며, 단말을 대상으로 아무 정보를 전송하지 않고 오직 전달되는 정보만을 수집합니다. 설비, 제조, 라인 등의 제한적 환경에서 운영이 가능합니다.

II. 정보분석 단계

수집된 내용을 분석하여 유의미한 정보를 확인합니다. 특정 값(Value)의 유무, 기술(description)정보, 약속된 행동 및 정의된 표준 등이 단말을 식별하고 특징을 구별 짓게 하는 구분자(Identifier)로 활용됩니다.

 

III. 패턴생성 단계

분석된 정보의 묶음(세트)으로 특정 단말을 탐지 및 정의(Define)할 수 있는 패턴을 생성합니다.

 

IV. 매칭 단계

정보 수집과 동시에 매칭이 시도 됩니다. 만약 단말 탐지를 위한 패턴과 일치하는 경우 즉시 해당 단말로 식별됩니다. 만약 패턴이 존재하지 않는 경우 재처리 과정을 거쳐 단말 탐지를 위한 패턴생성 단계를 거치게 됩니다.

4단계의 단말 탐지 이후 DPI에는 단말을 대상으로 부가적인 정보(디바이스 확장 정보)가 추가 됩니다. 제조사 및 사업에 관한 정보를 포함한 취약점 정보(CVE, Common Vulnerability & Exposure)와 공통 플랫폼 목록(CPE, Common Platform Enumeration) 등이 추가되어 저장 됩니다. 이것은 향후 더욱 더 많은 관련 정보를 제공할 수 있는 기반이 됩니다(NAC의 눈, DPI 백서 참조).

 

마치며

국내 IoT 기술은 다른 나라보다 상대적으로 높게 평가되고 있습니다. 2019년 IDC 보고서에 따르면 국내 IoT 시장 규모는 세계 5위로 추산되었습니다. 2019년 과학기술정보통신부 보도자료에 따르면, 2018년 IoT 산업의 사업체 수는 2천여개사이며, 매출액은 8조 6천억원 규모로 전년대비 18.6%의 증가세를 보이고 있습니다.

이와 같은 추세라면 향후 얼마나 다양한 단말이 출시될까요? 어떻게 가시성을 확보할 수 있을까요? 이것이 보안관리자들에게 디바이스 플랫폼 인텔리전스, DPI가 필요한 이유 입니다. DPI는 단순히 단말의 정보 분석만을 위한 솔루션이 아닙니다. 안전한 네트워크 환경의 구축을 위한 출발점이며 누수 없는 가시성의 완성은 보안관리의 완성입니다.

이와 관련된 더 많은 정보는 아래 참조 URL을 통해 확인해주시기 바랍니다.

 

참조 URL

Genian NAC 소개자료

Genian NAC 브로셔

Genian NAC 백서

NAC의 눈 DPI

 

지니언스의 제품

Genian NAC