SlideShare a Scribd company logo

기업 단말 관리의 이상과 현실

지니네트웍스
지니네트웍스

제18회 해킹방지워크샵 지니네트웍스 김계연소장 발표자료 '기업 단말 관리의 이상과 현실'

Technology
1 of 15
Download to read offline
기업 단말 관리의 이상과 현실 지니네트웍스(주) 김계연
김계연 • 공개소프트웨어, 프리랜서 프로그래머 • PC통신 에뮬레이터 신세대 개발 • 한글과컴퓨터, 두산정보통신 • 한컴네트, 인터피아 ISP 운영 및 개발 • Yahoo! Korea • Chief Engineer, Yahoo Korea 서비스 런칭 • 어울림정보기술 • 연구소장, SecureWorks Firewall / VPN 개발 • 지니네트웍스 • 연구소장, Genian NAC / GPI 개발 • Technology • C/C++, Network, Security, Application Lifecycle Management
환경적 변화 • 단말의 재정의 • IT기능이 포함된 사내의 모든 자원 • BYOD - 스마트폰, 테블릿 증가 • IoT - 비 IT기기의 IT기기화, 다양한 Things에 대한 전문지식 필요 • Mobility 환경 • 무선랜 필요성 증대 • Static IP 시대의 종말 • 다양한 운영체제 • Android, iOS, OSX, Tigen, WindowsPhone, BlackBerry… • 지능화 고도화된 공격 • IoT형 공격 - 비 IT기기를 통한 공격 (전기주전자, 전자담배), Denial of Power • 전력공급이 가능한 모든 자원에 대한 관리필요 • East - West 공격 증가
단말기반 보안의 한계 • 다양한 운영체제 지원의 어려움 • 윈도우즈 위주의 단말보안: 윈도우즈 점유율 하락 • 운영체제간 구현방식 보안수준의 차이 • 모든 운영체제 지원 현실적 한계 • 사용자권한의 변화 • 슈퍼유저 권한 미소유: Active Directory, iOS, Android • 전통적 보안기능 불필요: iOS의 App간 독립, KNOX - Sandbox • 보안기능 제공 제한적 • 중앙관리 부재 • IT관리자 확인없는 운영체제 패치 • 새로운 IT 트랜드 지원의 어려움 • 클라우드, 가상화, IoT
단말보안의 새로운 흐름 • 단말에 대한 가시성 • BYOD, IoT 단말에 대한 식별 - 사용자, 플렛폼, 타입, 연결방식 • 단말+네트워크 융합보안 • 단말 소프트웨어 기반 분석 및 제어의 한계 • 단말, 네트워크 독자적인 보안시스템에서 융합형 보안시스템으로 전환 • 단말에서는 정보수집, 제어는 네트워크에서 • 다양한 운영체제 지원에 적합 • 사람 및 프로세스 중심 • 시스템 위주의 단말보안에서 사람중심, 프로세스중심의 보안으로 전환 • 사용자 보안인식 향상이 가장 중요
단말 정보수집 • 에이전트기반 정보수집 • 전통적인 설치형 에이전트기반 정보수집 • 하드웨어, 소프트웨어, 연결장치, 프로세스, 사용자, 보안설정 • 네트워크기반 정보수집 • 플렛폼 비종속 • Active / Passive • Wired / Wireless • 사용자, 어플리케이션, 컨텍스트(트레픽, 첨부파일) • 표준기반 정보수집 • Active Directory • WMI: Windows Management Interface • iOS MDM Profile • 보안시스템 연계 • 기존 보안시스템에서 수집된 정보를 NAC/SIEM등에 제공하여 통제 및 모니터링
제어 통제 방법의 변화 • 동적 단말 제어 • 고정된 보안정책으로 통제불가 • 식별기반, 관리자 인가, IT시스템 연계 • Multi-layer Enforcement • 에이전트: 사용자알람, 장치차단, 운영체제 설정 • 네트워크: Filtering, Poisoning, Terminating • 인증: 802.1x, MAC Authentication Bypass • 연동: Firewall, UTM, VPN, 기타보안제품 • 기존 네트워크기반 제어의 한계 • Inline Firewall, Connection Reset: 경계망 제어의 한계 • Switch ACL: 동적제어의 어려움, Stateless • 802.1x, MAB, VLAN Steering: 서비스별 제어 불가 • SDN (Software Defined Networking) • End to End 접근제어에 가장 적합 • OpenFlow, OpFlex, OnePK, VMWare NSX, OpenStack Neutron
Software Defined Networking (SDN) • 네트워킹에서 전송과 제어를 분리 • Control Plain: 패킷의 흐름경로를 판단하는 Software • Data Plain: Control Plain에 의해서 결정된 흐름경로에 따라 패킷을 전달 • 고성능 방화벽/L4 Switch에서 이미사용 (Fast Path / Slow Path) • 네트워크 자동화 • 네트워크 확장, 변경에 대한 자동대응 • 새로운 서비스에 대한 대응력 강화 • 사용자가 스스로 프로그래밍 • 비용절감 • 어플리케이션 성능 확장과 
 데이터 플레인 성능확장을 분리 • 밴더 종속성 탈피
단말보안과 SDN • SDN을 통한 단말 Access Control • 비인가 단말에 대한 차단 또는 서비스제한 • End to End Firewall • SDN을 통한 Deep Packet Inspection • DPI가 필요한 특정한 단말, 서비스에 대한 패킷만 모니터링 • L4 Switch / Smart TAP 역할 대체 • Pure SDN • 네트워크 기능 전체를 SDN화 • 가상네트워크, L2 Edge 네트워크 • Hybrid SDN • 일반 네트워크 기능은 기존대로 유지, ACL을 SDN으로 구현 • 네트워크 안정성 유지, 장애시 빠른대처
SDN 기반 단말보안의 미래 • SDN on Edge Network • 아직은 고가의 SDN Switch. 저렴한 Whitebox Switch필요 • 세션기반 제어를 위한 Flow Table 한계 • WAN 환경을 위한 Low Latency SDN 콘트롤러 필요. • NFV (Network Function Virtualization) • 전용 Network Appliance 대체 • Software Defined Security시대 도래 • NFaaS (Network Function as a Service) • 임대형 보안서비스 • 가상화, 클라우드 환경 IT보안의 새로운 페러다임 • ON.LAB ONOS (Open Network Operating System)
무선 네트워크 환경 • BYOD, IoT 환경으로 인한 무선랜 요구 증대 • Tablet / eBook Reader등 WiFi Only 장비 증가 • 보안 이슈로 인한 무선랜 서비스 미제공 • Rouge AP 증가 • 개인적으로 무선랜 AP설치 • 노트북, USB무선랜 카드를 이용한 SoftAP 증가 • 무선기반 공격 증가 • Open AP를 대상으로한 공격: 스마트폰 App, 전기주전자, 드론 • SSID Spoofing, 공개 AP 가장 (iptime, SK, olleh, U+…) • BYON (Bring Your Own Network) • IoT로 인한 개인 네트워크 증가 • 개인 Hotspot, 테더링, Bluetooth • 무선네트워크 가시성 확보 필요
무선랜 보안시스템 • 무선 네트워크 보안시스템 필요 • WIPS: 무선네트워크 가용성 보장 • WNAC: 무선네트워크 접근제어 • 고가의 무선보안 시스템, 무선제어의 위험 • 보안센서 설치의 어려움 • 에이전트 기반 무선 보안시스템 필요 • 사용자의 PC를 무선보안시스템 센서로 활용 • 에이전트 / 유선 네트워크 기반 제어 • SoftAP 감지 • 낮은 도입비용, 높은 효율 • 위치기반 보안 • 물리적 위치추적, 분실방지 • Geo Fencing • WiFi, GPS, BLE(Bluetooth Low Energy)
사람 중심 보안 • 사회공학적 공격 • 보안시스템으로는 문제를 해결할 수 없음. • 보안 자동화의 함정 • 보안을 보안 담당자의 일로 인식 • 책임의 주체: 보안담당자 vs 사용자 • 보안진단 • 자가진단: 사용자 스스로 점검, 사용자 스스로 문제 해결 • 불시진단: 불특정 시점에 자동점검하여 준수상태 확인 • Compliance: 사이버보안 진단의날, 정보통신 기반시설 점검, ISMS… • 보안인지 • 보안공지: 보안서약, 사용자동의, 보안알림 • 보안평가: 보안지식, 규정인지확인등 • 보안포털: 사용자 보안수준확인(기업/조직), 경쟁심 유발
Better Together • 보안제품간의 밀접한 연계 필요 • 수집시스템 - 제어시스템 • 보안시스템 - 관리시스템 • 일반 IT 시스템 - 보안시스템 • 보안 Eco System 구축 • API • SOAP/REST등 표준화된 연동방법 공개 • 제약없는 공개 • 보안제품 구매시 확인필요 (API제공여부, 라이센스) • Geni Networks with Palo Alto Networks • Geni: IP-User, Group 정보 제공 • Palo Alto: Reported Node 정보 제공
감사합니다. slideshare.net/double73 double73@gmail.com

Recommended

지니네트웍스 [지니안 내PC지키미] 소개자료
지니네트웍스 [지니안 내PC지키미] 소개자료지니네트웍스 [지니안 내PC지키미] 소개자료
지니네트웍스 [지니안 내PC지키미] 소개자료지니네트웍스
 
무선침입방지시스템 WIPS
무선침입방지시스템 WIPS무선침입방지시스템 WIPS
무선침입방지시스템 WIPS시온시큐리티
 
지니네트웍스 [지니안 NAC 스위트] 소개자료
지니네트웍스 [지니안 NAC 스위트] 소개자료지니네트웍스 [지니안 NAC 스위트] 소개자료
지니네트웍스 [지니안 NAC 스위트] 소개자료지니네트웍스
 
[14.05.28 ㅡMPIS 발표 의료기관 네트워크접근제어 (NAC)구축사례
[14.05.28 ㅡMPIS 발표 의료기관 네트워크접근제어 (NAC)구축사례[14.05.28 ㅡMPIS 발표 의료기관 네트워크접근제어 (NAC)구축사례
[14.05.28 ㅡMPIS 발표 의료기관 네트워크접근제어 (NAC)구축사례지니네트웍스
 
(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network Separation(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network SeparationJintae Jeung
 
클라우독을 이용한 망분리 솔루션, NetworkLock!
클라우독을 이용한 망분리 솔루션, NetworkLock!클라우독을 이용한 망분리 솔루션, NetworkLock!
클라우독을 이용한 망분리 솔루션, NetworkLock!Sang Yoo
 
제18회 해킹방지워크샵 기업 단말 관리의 이상과 현실
제18회 해킹방지워크샵 기업 단말 관리의 이상과 현실제18회 해킹방지워크샵 기업 단말 관리의 이상과 현실
제18회 해킹방지워크샵 기업 단말 관리의 이상과 현실Kyeyeon Kim
 
Hillstone networks utm 2016년
Hillstone networks utm 2016년Hillstone networks utm 2016년
Hillstone networks utm 2016년시온시큐리티
 

Recommended

지니네트웍스 [지니안 내PC지키미] 소개자료
지니네트웍스 [지니안 내PC지키미] 소개자료지니네트웍스 [지니안 내PC지키미] 소개자료
지니네트웍스 [지니안 내PC지키미] 소개자료지니네트웍스
 
무선침입방지시스템 WIPS
무선침입방지시스템 WIPS무선침입방지시스템 WIPS
무선침입방지시스템 WIPS시온시큐리티
 
지니네트웍스 [지니안 NAC 스위트] 소개자료
지니네트웍스 [지니안 NAC 스위트] 소개자료지니네트웍스 [지니안 NAC 스위트] 소개자료
지니네트웍스 [지니안 NAC 스위트] 소개자료지니네트웍스
 
[14.05.28 ㅡMPIS 발표 의료기관 네트워크접근제어 (NAC)구축사례
[14.05.28 ㅡMPIS 발표 의료기관 네트워크접근제어 (NAC)구축사례[14.05.28 ㅡMPIS 발표 의료기관 네트워크접근제어 (NAC)구축사례
[14.05.28 ㅡMPIS 발표 의료기관 네트워크접근제어 (NAC)구축사례지니네트웍스
 
(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network Separation(Action Plan Repor) Accomplish 1st Stage of Network Separation
(Action Plan Repor) Accomplish 1st Stage of Network SeparationJintae Jeung
 
클라우독을 이용한 망분리 솔루션, NetworkLock!
클라우독을 이용한 망분리 솔루션, NetworkLock!클라우독을 이용한 망분리 솔루션, NetworkLock!
클라우독을 이용한 망분리 솔루션, NetworkLock!Sang Yoo
 
제18회 해킹방지워크샵 기업 단말 관리의 이상과 현실
제18회 해킹방지워크샵 기업 단말 관리의 이상과 현실제18회 해킹방지워크샵 기업 단말 관리의 이상과 현실
제18회 해킹방지워크샵 기업 단말 관리의 이상과 현실Kyeyeon Kim
 
Hillstone networks utm 2016년
Hillstone networks utm 2016년Hillstone networks utm 2016년
Hillstone networks utm 2016년시온시큐리티
 
포티넷 차세대 utm
포티넷 차세대 utm 포티넷 차세대 utm
포티넷 차세대 utm Yong-uk Choe
 
Trusted IP network solution
Trusted IP network solutionTrusted IP network solution
Trusted IP network solution수보 김
 
Trusted pass-간편하고 안전한 인증 솔루션
Trusted pass-간편하고 안전한 인증 솔루션Trusted pass-간편하고 안전한 인증 솔루션
Trusted pass-간편하고 안전한 인증 솔루션모바일 컨버전스
 
NETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge DefenseNETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge DefenseJay Hong
 
Internet of thing with your future(공개용)
Internet of thing with your future(공개용)Internet of thing with your future(공개용)
Internet of thing with your future(공개용)james yoo
 
이용자 입력단 보안솔루션 (Non-ActiveX 기반)
이용자 입력단 보안솔루션 (Non-ActiveX 기반) 이용자 입력단 보안솔루션 (Non-ActiveX 기반)
이용자 입력단 보안솔루션 (Non-ActiveX 기반) 시온시큐리티
 
모바일컨버전스 회사소개서
모바일컨버전스 회사소개서모바일컨버전스 회사소개서
모바일컨버전스 회사소개서모바일 컨버전스
 
201412 전산자산통합관리
201412 전산자산통합관리201412 전산자산통합관리
201412 전산자산통합관리시온시큐리티
 
TIPN(Trusted IP Network) 솔루션 적용 모델
TIPN(Trusted IP Network) 솔루션 적용 모델TIPN(Trusted IP Network) 솔루션 적용 모델
TIPN(Trusted IP Network) 솔루션 적용 모델모바일 컨버전스
 
2014 ps 제안서
2014 ps 제안서2014 ps 제안서
2014 ps 제안서시온시큐리티
 
한드림넷회사소개 V2 080926(최).Rev5
한드림넷회사소개 V2 080926(최).Rev5한드림넷회사소개 V2 080926(최).Rev5
한드림넷회사소개 V2 080926(최).Rev5Annie Hwang
 
화면 캡쳐 방지 솔루션
화면 캡쳐 방지 솔루션화면 캡쳐 방지 솔루션
화면 캡쳐 방지 솔루션시온시큐리티
 
Cloud security & apani
Cloud security & apaniCloud security & apani
Cloud security & apaniJaeWoo Wie
 
Piolink ti front 제안서
Piolink ti front 제안서Piolink ti front 제안서
Piolink ti front 제안서Yong-uk Choe
 
모바일컨버전스-Trusted IP Network(TIPN) 솔루션
모바일컨버전스-Trusted IP Network(TIPN) 솔루션모바일컨버전스-Trusted IP Network(TIPN) 솔루션
모바일컨버전스-Trusted IP Network(TIPN) 솔루션모바일 컨버전스
 
Sotis 소개
Sotis 소개Sotis 소개
Sotis 소개종명 류
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z시온시큐리티
 
2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온시온시큐리티
 
Shield one sig_ssl_vpn_설정가이드(6.25gd)
Shield one sig_ssl_vpn_설정가이드(6.25gd)Shield one sig_ssl_vpn_설정가이드(6.25gd)
Shield one sig_ssl_vpn_설정가이드(6.25gd)PLUS-I
 
2014 pc방화벽 시온
2014 pc방화벽 시온2014 pc방화벽 시온
2014 pc방화벽 시온시온시큐리티
 
OVNC 2015-SDN을 이용한 IoT 환경 단말보안
OVNC 2015-SDN을 이용한 IoT 환경 단말보안OVNC 2015-SDN을 이용한 IoT 환경 단말보안
OVNC 2015-SDN을 이용한 IoT 환경 단말보안NAIM Networks, Inc.
 
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응INSIGHT FORENSIC
 

More Related Content

What's hot

포티넷 차세대 utm
포티넷 차세대 utm 포티넷 차세대 utm
포티넷 차세대 utm Yong-uk Choe
 
Trusted IP network solution
Trusted IP network solutionTrusted IP network solution
Trusted IP network solution수보 김
 
Trusted pass-간편하고 안전한 인증 솔루션
Trusted pass-간편하고 안전한 인증 솔루션Trusted pass-간편하고 안전한 인증 솔루션
Trusted pass-간편하고 안전한 인증 솔루션모바일 컨버전스
 
NETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge DefenseNETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge DefenseJay Hong
 
Internet of thing with your future(공개용)
Internet of thing with your future(공개용)Internet of thing with your future(공개용)
Internet of thing with your future(공개용)james yoo
 
이용자 입력단 보안솔루션 (Non-ActiveX 기반)
이용자 입력단 보안솔루션 (Non-ActiveX 기반) 이용자 입력단 보안솔루션 (Non-ActiveX 기반)
이용자 입력단 보안솔루션 (Non-ActiveX 기반) 시온시큐리티
 
TIPN(Trusted IP Network) 솔루션 적용 모델
TIPN(Trusted IP Network) 솔루션 적용 모델TIPN(Trusted IP Network) 솔루션 적용 모델
TIPN(Trusted IP Network) 솔루션 적용 모델모바일 컨버전스
 
한드림넷회사소개 V2 080926(최).Rev5
한드림넷회사소개 V2 080926(최).Rev5한드림넷회사소개 V2 080926(최).Rev5
한드림넷회사소개 V2 080926(최).Rev5Annie Hwang
 
Cloud security & apani
Cloud security & apaniCloud security & apani
Cloud security & apaniJaeWoo Wie
 
Piolink ti front 제안서
Piolink ti front 제안서Piolink ti front 제안서
Piolink ti front 제안서Yong-uk Choe
 
모바일컨버전스-Trusted IP Network(TIPN) 솔루션
모바일컨버전스-Trusted IP Network(TIPN) 솔루션모바일컨버전스-Trusted IP Network(TIPN) 솔루션
모바일컨버전스-Trusted IP Network(TIPN) 솔루션모바일 컨버전스
 
2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온시온시큐리티
 
Shield one sig_ssl_vpn_설정가이드(6.25gd)
Shield one sig_ssl_vpn_설정가이드(6.25gd)Shield one sig_ssl_vpn_설정가이드(6.25gd)
Shield one sig_ssl_vpn_설정가이드(6.25gd)PLUS-I
 

What's hot (20)

포티넷 차세대 utm
포티넷 차세대 utm 포티넷 차세대 utm
포티넷 차세대 utm
 
Trusted IP network solution
Trusted IP network solutionTrusted IP network solution
Trusted IP network solution
 
Trusted pass-간편하고 안전한 인증 솔루션
Trusted pass-간편하고 안전한 인증 솔루션Trusted pass-간편하고 안전한 인증 솔루션
Trusted pass-간편하고 안전한 인증 솔루션
 
NETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge DefenseNETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge Defense
 
Internet of thing with your future(공개용)
Internet of thing with your future(공개용)Internet of thing with your future(공개용)
Internet of thing with your future(공개용)
 
이용자 입력단 보안솔루션 (Non-ActiveX 기반)
이용자 입력단 보안솔루션 (Non-ActiveX 기반) 이용자 입력단 보안솔루션 (Non-ActiveX 기반)
이용자 입력단 보안솔루션 (Non-ActiveX 기반)
 
모바일컨버전스 회사소개서
모바일컨버전스 회사소개서모바일컨버전스 회사소개서
모바일컨버전스 회사소개서
 
201412 전산자산통합관리
201412 전산자산통합관리201412 전산자산통합관리
201412 전산자산통합관리
 
TIPN(Trusted IP Network) 솔루션 적용 모델
TIPN(Trusted IP Network) 솔루션 적용 모델TIPN(Trusted IP Network) 솔루션 적용 모델
TIPN(Trusted IP Network) 솔루션 적용 모델
 
2014 ps 제안서
2014 ps 제안서2014 ps 제안서
2014 ps 제안서
 
한드림넷회사소개 V2 080926(최).Rev5
한드림넷회사소개 V2 080926(최).Rev5한드림넷회사소개 V2 080926(최).Rev5
한드림넷회사소개 V2 080926(최).Rev5
 
화면 캡쳐 방지 솔루션
화면 캡쳐 방지 솔루션화면 캡쳐 방지 솔루션
화면 캡쳐 방지 솔루션
 
Cloud security & apani
Cloud security & apaniCloud security & apani
Cloud security & apani
 
Piolink ti front 제안서
Piolink ti front 제안서Piolink ti front 제안서
Piolink ti front 제안서
 
모바일컨버전스-Trusted IP Network(TIPN) 솔루션
모바일컨버전스-Trusted IP Network(TIPN) 솔루션모바일컨버전스-Trusted IP Network(TIPN) 솔루션
모바일컨버전스-Trusted IP Network(TIPN) 솔루션
 
Sotis 소개
Sotis 소개Sotis 소개
Sotis 소개
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온2014 키보드보안솔루션 시온
2014 키보드보안솔루션 시온
 
Shield one sig_ssl_vpn_설정가이드(6.25gd)
Shield one sig_ssl_vpn_설정가이드(6.25gd)Shield one sig_ssl_vpn_설정가이드(6.25gd)
Shield one sig_ssl_vpn_설정가이드(6.25gd)
 
2014 pc방화벽 시온
2014 pc방화벽 시온2014 pc방화벽 시온
2014 pc방화벽 시온
 

Similar to 기업 단말 관리의 이상과 현실

OVNC 2015-SDN을 이용한 IoT 환경 단말보안
OVNC 2015-SDN을 이용한 IoT 환경 단말보안OVNC 2015-SDN을 이용한 IoT 환경 단말보안
OVNC 2015-SDN을 이용한 IoT 환경 단말보안NAIM Networks, Inc.
 
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응INSIGHT FORENSIC
 
Cisco Meraki Wireless WiFi Network (Korean)
Cisco Meraki Wireless WiFi Network (Korean)Cisco Meraki Wireless WiFi Network (Korean)
Cisco Meraki Wireless WiFi Network (Korean)JAE PIL KO
 
Apani 소개자료 20110713
Apani 소개자료 20110713Apani 소개자료 20110713
Apani 소개자료 20110713JaeWoo Wie
 
사물인터넷(Internet of Things) 시대의 공개SW
사물인터넷(Internet of Things) 시대의 공개SW사물인터넷(Internet of Things) 시대의 공개SW
사물인터넷(Internet of Things) 시대의 공개SW정명훈 Jerry Jeong
 
Internet of thing with your future(공개용)
Internet of thing with your future(공개용)Internet of thing with your future(공개용)
Internet of thing with your future(공개용)james yoo
 
국내외 Io t 기술 표준
국내외 Io t 기술 표준국내외 Io t 기술 표준
국내외 Io t 기술 표준남억 김
 
Trusted key 소개서 2016 11_22
Trusted key 소개서 2016 11_22Trusted key 소개서 2016 11_22
Trusted key 소개서 2016 11_22Wonil Seo
 
ShieldOne UTM + 무선AP 소개서 v1.0
ShieldOne UTM + 무선AP 소개서 v1.0ShieldOne UTM + 무선AP 소개서 v1.0
ShieldOne UTM + 무선AP 소개서 v1.0PLUS-i_dev
 
ShieldOne UTM + 무선AP 소개서 v1.0
ShieldOne UTM + 무선AP 소개서 v1.0ShieldOne UTM + 무선AP 소개서 v1.0
ShieldOne UTM + 무선AP 소개서 v1.0PLUS-i_dev
 
에어큐브
에어큐브에어큐브
에어큐브tistrue
 
20150811 데브기어 사물인터넷 실제 구현하기 DeepDive!
20150811 데브기어 사물인터넷 실제 구현하기 DeepDive!20150811 데브기어 사물인터넷 실제 구현하기 DeepDive!
20150811 데브기어 사물인터넷 실제 구현하기 DeepDive!Devgear
 
사물인터넷 실제 구현하기 DeepDive
사물인터넷 실제 구현하기 DeepDive사물인터넷 실제 구현하기 DeepDive
사물인터넷 실제 구현하기 DeepDiveDevgear
 
정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드Logpresso
 
VMWARE SDDC 위한 네트워크 가상화 기술 krnet2015 이문원
VMWARE SDDC 위한 네트워크 가상화 기술 krnet2015 이문원VMWARE SDDC 위한 네트워크 가상화 기술 krnet2015 이문원
VMWARE SDDC 위한 네트워크 가상화 기술 krnet2015 이문원MunWon (MW) Lee
 
IoT era and convergence security sangsujeon
IoT era and convergence security sangsujeonIoT era and convergence security sangsujeon
IoT era and convergence security sangsujeonSangSu Jeon
 
Mqtt 소개
Mqtt 소개Mqtt 소개
Mqtt 소개Junho Lee
 
사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립
사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립
사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립Hakyong Kim
 
IBM 보안솔루션_보안관제탑, 큐레이더!
IBM 보안솔루션_보안관제탑, 큐레이더! IBM 보안솔루션_보안관제탑, 큐레이더!
IBM 보안솔루션_보안관제탑, 큐레이더! 은옥 조
 

Similar to 기업 단말 관리의 이상과 현실 (20)

OVNC 2015-SDN을 이용한 IoT 환경 단말보안
OVNC 2015-SDN을 이용한 IoT 환경 단말보안OVNC 2015-SDN을 이용한 IoT 환경 단말보안
OVNC 2015-SDN을 이용한 IoT 환경 단말보안
 
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
(Fios#03) 2. 네트워크 가상화 환경에서의 침해대응
 
Cisco Meraki Wireless WiFi Network (Korean)
Cisco Meraki Wireless WiFi Network (Korean)Cisco Meraki Wireless WiFi Network (Korean)
Cisco Meraki Wireless WiFi Network (Korean)
 
Apani 소개자료 20110713
Apani 소개자료 20110713Apani 소개자료 20110713
Apani 소개자료 20110713
 
사물인터넷(Internet of Things) 시대의 공개SW
사물인터넷(Internet of Things) 시대의 공개SW사물인터넷(Internet of Things) 시대의 공개SW
사물인터넷(Internet of Things) 시대의 공개SW
 
Internet of thing with your future(공개용)
Internet of thing with your future(공개용)Internet of thing with your future(공개용)
Internet of thing with your future(공개용)
 
국내외 Io t 기술 표준
국내외 Io t 기술 표준국내외 Io t 기술 표준
국내외 Io t 기술 표준
 
Trusted key 소개서 2016 11_22
Trusted key 소개서 2016 11_22Trusted key 소개서 2016 11_22
Trusted key 소개서 2016 11_22
 
ShieldOne UTM + 무선AP 소개서 v1.0
ShieldOne UTM + 무선AP 소개서 v1.0ShieldOne UTM + 무선AP 소개서 v1.0
ShieldOne UTM + 무선AP 소개서 v1.0
 
ShieldOne UTM + 무선AP 소개서 v1.0
ShieldOne UTM + 무선AP 소개서 v1.0ShieldOne UTM + 무선AP 소개서 v1.0
ShieldOne UTM + 무선AP 소개서 v1.0
 
에어큐브
에어큐브에어큐브
에어큐브
 
20150811 데브기어 사물인터넷 실제 구현하기 DeepDive!
20150811 데브기어 사물인터넷 실제 구현하기 DeepDive!20150811 데브기어 사물인터넷 실제 구현하기 DeepDive!
20150811 데브기어 사물인터넷 실제 구현하기 DeepDive!
 
사물인터넷 실제 구현하기 DeepDive
사물인터넷 실제 구현하기 DeepDive사물인터넷 실제 구현하기 DeepDive
사물인터넷 실제 구현하기 DeepDive
 
정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드정보보호통합플랫폼 기술 트렌드
정보보호통합플랫폼 기술 트렌드
 
VMWARE SDDC 위한 네트워크 가상화 기술 krnet2015 이문원
VMWARE SDDC 위한 네트워크 가상화 기술 krnet2015 이문원VMWARE SDDC 위한 네트워크 가상화 기술 krnet2015 이문원
VMWARE SDDC 위한 네트워크 가상화 기술 krnet2015 이문원
 
IoT era and convergence security sangsujeon
IoT era and convergence security sangsujeonIoT era and convergence security sangsujeon
IoT era and convergence security sangsujeon
 
Mqtt 소개
Mqtt 소개Mqtt 소개
Mqtt 소개
 
사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립
사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립
사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립
 
IBM 보안솔루션_보안관제탑, 큐레이더!
IBM 보안솔루션_보안관제탑, 큐레이더! IBM 보안솔루션_보안관제탑, 큐레이더!
IBM 보안솔루션_보안관제탑, 큐레이더!
 
[6차]WiFi의 현재와 미래(151120)
[6차]WiFi의 현재와 미래(151120)[6차]WiFi의 현재와 미래(151120)
[6차]WiFi의 현재와 미래(151120)
 

기업 단말 관리의 이상과 현실

  • 1. 기업 단말 관리의 이상과 현실 지니네트웍스(주) 김계연
  • 2. 김계연 • 공개소프트웨어, 프리랜서 프로그래머 • PC통신 에뮬레이터 신세대 개발 • 한글과컴퓨터, 두산정보통신 • 한컴네트, 인터피아 ISP 운영 및 개발 • Yahoo! Korea • Chief Engineer, Yahoo Korea 서비스 런칭 • 어울림정보기술 • 연구소장, SecureWorks Firewall / VPN 개발 • 지니네트웍스 • 연구소장, Genian NAC / GPI 개발 • Technology • C/C++, Network, Security, Application Lifecycle Management
  • 3. 환경적 변화 • 단말의 재정의 • IT기능이 포함된 사내의 모든 자원 • BYOD - 스마트폰, 테블릿 증가 • IoT - 비 IT기기의 IT기기화, 다양한 Things에 대한 전문지식 필요 • Mobility 환경 • 무선랜 필요성 증대 • Static IP 시대의 종말 • 다양한 운영체제 • Android, iOS, OSX, Tigen, WindowsPhone, BlackBerry… • 지능화 고도화된 공격 • IoT형 공격 - 비 IT기기를 통한 공격 (전기주전자, 전자담배), Denial of Power • 전력공급이 가능한 모든 자원에 대한 관리필요 • East - West 공격 증가
  • 4. 단말기반 보안의 한계 • 다양한 운영체제 지원의 어려움 • 윈도우즈 위주의 단말보안: 윈도우즈 점유율 하락 • 운영체제간 구현방식 보안수준의 차이 • 모든 운영체제 지원 현실적 한계 • 사용자권한의 변화 • 슈퍼유저 권한 미소유: Active Directory, iOS, Android • 전통적 보안기능 불필요: iOS의 App간 독립, KNOX - Sandbox • 보안기능 제공 제한적 • 중앙관리 부재 • IT관리자 확인없는 운영체제 패치 • 새로운 IT 트랜드 지원의 어려움 • 클라우드, 가상화, IoT
  • 5. 단말보안의 새로운 흐름 • 단말에 대한 가시성 • BYOD, IoT 단말에 대한 식별 - 사용자, 플렛폼, 타입, 연결방식 • 단말+네트워크 융합보안 • 단말 소프트웨어 기반 분석 및 제어의 한계 • 단말, 네트워크 독자적인 보안시스템에서 융합형 보안시스템으로 전환 • 단말에서는 정보수집, 제어는 네트워크에서 • 다양한 운영체제 지원에 적합 • 사람 및 프로세스 중심 • 시스템 위주의 단말보안에서 사람중심, 프로세스중심의 보안으로 전환 • 사용자 보안인식 향상이 가장 중요
  • 6. 단말 정보수집 • 에이전트기반 정보수집 • 전통적인 설치형 에이전트기반 정보수집 • 하드웨어, 소프트웨어, 연결장치, 프로세스, 사용자, 보안설정 • 네트워크기반 정보수집 • 플렛폼 비종속 • Active / Passive • Wired / Wireless • 사용자, 어플리케이션, 컨텍스트(트레픽, 첨부파일) • 표준기반 정보수집 • Active Directory • WMI: Windows Management Interface • iOS MDM Profile • 보안시스템 연계 • 기존 보안시스템에서 수집된 정보를 NAC/SIEM등에 제공하여 통제 및 모니터링
  • 7. 제어 통제 방법의 변화 • 동적 단말 제어 • 고정된 보안정책으로 통제불가 • 식별기반, 관리자 인가, IT시스템 연계 • Multi-layer Enforcement • 에이전트: 사용자알람, 장치차단, 운영체제 설정 • 네트워크: Filtering, Poisoning, Terminating • 인증: 802.1x, MAC Authentication Bypass • 연동: Firewall, UTM, VPN, 기타보안제품 • 기존 네트워크기반 제어의 한계 • Inline Firewall, Connection Reset: 경계망 제어의 한계 • Switch ACL: 동적제어의 어려움, Stateless • 802.1x, MAB, VLAN Steering: 서비스별 제어 불가 • SDN (Software Defined Networking) • End to End 접근제어에 가장 적합 • OpenFlow, OpFlex, OnePK, VMWare NSX, OpenStack Neutron
  • 8. Software Defined Networking (SDN) • 네트워킹에서 전송과 제어를 분리 • Control Plain: 패킷의 흐름경로를 판단하는 Software • Data Plain: Control Plain에 의해서 결정된 흐름경로에 따라 패킷을 전달 • 고성능 방화벽/L4 Switch에서 이미사용 (Fast Path / Slow Path) • 네트워크 자동화 • 네트워크 확장, 변경에 대한 자동대응 • 새로운 서비스에 대한 대응력 강화 • 사용자가 스스로 프로그래밍 • 비용절감 • 어플리케이션 성능 확장과 
 데이터 플레인 성능확장을 분리 • 밴더 종속성 탈피
  • 9. 단말보안과 SDN • SDN을 통한 단말 Access Control • 비인가 단말에 대한 차단 또는 서비스제한 • End to End Firewall • SDN을 통한 Deep Packet Inspection • DPI가 필요한 특정한 단말, 서비스에 대한 패킷만 모니터링 • L4 Switch / Smart TAP 역할 대체 • Pure SDN • 네트워크 기능 전체를 SDN화 • 가상네트워크, L2 Edge 네트워크 • Hybrid SDN • 일반 네트워크 기능은 기존대로 유지, ACL을 SDN으로 구현 • 네트워크 안정성 유지, 장애시 빠른대처
  • 10. SDN 기반 단말보안의 미래 • SDN on Edge Network • 아직은 고가의 SDN Switch. 저렴한 Whitebox Switch필요 • 세션기반 제어를 위한 Flow Table 한계 • WAN 환경을 위한 Low Latency SDN 콘트롤러 필요. • NFV (Network Function Virtualization) • 전용 Network Appliance 대체 • Software Defined Security시대 도래 • NFaaS (Network Function as a Service) • 임대형 보안서비스 • 가상화, 클라우드 환경 IT보안의 새로운 페러다임 • ON.LAB ONOS (Open Network Operating System)
  • 11. 무선 네트워크 환경 • BYOD, IoT 환경으로 인한 무선랜 요구 증대 • Tablet / eBook Reader등 WiFi Only 장비 증가 • 보안 이슈로 인한 무선랜 서비스 미제공 • Rouge AP 증가 • 개인적으로 무선랜 AP설치 • 노트북, USB무선랜 카드를 이용한 SoftAP 증가 • 무선기반 공격 증가 • Open AP를 대상으로한 공격: 스마트폰 App, 전기주전자, 드론 • SSID Spoofing, 공개 AP 가장 (iptime, SK, olleh, U+…) • BYON (Bring Your Own Network) • IoT로 인한 개인 네트워크 증가 • 개인 Hotspot, 테더링, Bluetooth • 무선네트워크 가시성 확보 필요
  • 12. 무선랜 보안시스템 • 무선 네트워크 보안시스템 필요 • WIPS: 무선네트워크 가용성 보장 • WNAC: 무선네트워크 접근제어 • 고가의 무선보안 시스템, 무선제어의 위험 • 보안센서 설치의 어려움 • 에이전트 기반 무선 보안시스템 필요 • 사용자의 PC를 무선보안시스템 센서로 활용 • 에이전트 / 유선 네트워크 기반 제어 • SoftAP 감지 • 낮은 도입비용, 높은 효율 • 위치기반 보안 • 물리적 위치추적, 분실방지 • Geo Fencing • WiFi, GPS, BLE(Bluetooth Low Energy)
  • 13. 사람 중심 보안 • 사회공학적 공격 • 보안시스템으로는 문제를 해결할 수 없음. • 보안 자동화의 함정 • 보안을 보안 담당자의 일로 인식 • 책임의 주체: 보안담당자 vs 사용자 • 보안진단 • 자가진단: 사용자 스스로 점검, 사용자 스스로 문제 해결 • 불시진단: 불특정 시점에 자동점검하여 준수상태 확인 • Compliance: 사이버보안 진단의날, 정보통신 기반시설 점검, ISMS… • 보안인지 • 보안공지: 보안서약, 사용자동의, 보안알림 • 보안평가: 보안지식, 규정인지확인등 • 보안포털: 사용자 보안수준확인(기업/조직), 경쟁심 유발
  • 14. Better Together • 보안제품간의 밀접한 연계 필요 • 수집시스템 - 제어시스템 • 보안시스템 - 관리시스템 • 일반 IT 시스템 - 보안시스템 • 보안 Eco System 구축 • API • SOAP/REST등 표준화된 연동방법 공개 • 제약없는 공개 • 보안제품 구매시 확인필요 (API제공여부, 라이센스) • Geni Networks with Palo Alto Networks • Geni: IP-User, Group 정보 제공 • Palo Alto: Reported Node 정보 제공