해킹의 최종 목표는 데이터유출입니다.

고객정보, 개인정보, 기업의 핵심 자산이 대상입니다.

데이터유출 해킹의 목적은 돈이되는 비즈니스이기 때문입니다.

반대로 해킹 당한 기업 입장에서는 막대한 금전적 피혜와 기업에 부정적인 이미지가 확대됩니다.

과징금, 집단적 손해배상, 상황에 따라 형사 고발까지 될 수 있습니다.

 

우리는 어떻게 데이터유출을 탐지할 수 있을까요?

데이터 유출 방지(Data Loss Prevention)는 내부정보 유출방지, 정보유출방지 등으로 혼용되어 사용합니다. 보통 DLP로 축약하여 표시합니다.[1]

1) 데이터 유출 방지 소프트웨어는 메신저, 웹메일, 웹하드, 프린터, USB등 다양한 경로로 정보가 흘러나가는 것을 기록/통제하는 기술이다.

2) 사전통제 뿐만 아니라 유출사고 발생 후 기록을 토대로 유출자, 유출경로 등을 추적하는데 사용되기도 한다.

3) 데이터 유출은 해커의 해킹행위로 발생한다고 생각할 수 있으나 실제로는 내부자에 의한 데이터 유출이 81.4%에 이른다.

4) 데이터 유출 방지 기능은 내부자에 의한 정보유출 행위와

5) 해커 및 권한 없는 외부인의 PC 불법 접근 후 데이터를 유출하는 행위를 차단, 통제, 기록한다.

6) PC, 서버 등 단말에서 내부 데이터 유출을 통제하는 기술은 엔드포인트 DLP(Enpoint DLP)라고 불린다.

7) 사외망으로 통하는 네트워크 끝단에서 내부 데이터 유출을 통제하는 기술은 네트워크 DLP (Network DLP, NDLP)로 불린다.

8) 글로벌 IT 자문회사 가트너(Gartner)는 엔드포인트와 네트워크 구간을 모두 통제하는 솔루션을 Enterprise DLP로 명시하고 있다.

 

데이터 유출 방지 제품은 대상이 내부자 뿐만 아니라 외부자의 공격에 의한 데이터유출도 대응할 것으로 기대해 봅니다.

그럼, 해커는 어떻게 이와 같은 제품을 우회하여 데이터유출을 시도할까요?

 

웹은 놀랍고 매우 독특한 시스템입니다.

1) 고객의 정보를 받아 저장하고,

2) 또한 언제라도 고객 정보를 변경할 수 있으며,

3) 중요 데이터로 매우 민감한 데이터인 주민등록번호, 운전면호번호, 신용카드번호 등도 수시로 받아서 처리합니다.

4) 콜센터, 내부 관리자 등은 대량의 고객 정보도 온라인 상에서 처리합니다.

 

이렇게 처리되는 데이터는 브라우저와 웹 서버가 TLS 1.3 을 사용하여 고강도 암호화를 사용하고, 데이터베이스에 어떤 강력한 암호로 저장되어 있다 하더라도 최종 사용자 입장에서는 모든 데이터는 평문으로 보이기 때문에 문제될 것이 없습니다.

웹 서비스의 이러한 독특한 특징은 데이터유출 방지 제품이 효과적으로 운영되기에 장애 요소일 수 있습니다.

어떤 제품이 이와 같은 웹 환경에서 효과적으로 데이터유출 탐지를 진행할까요?

안타깝께도 잘 알려진 솔루션은 없습니다. 아니면 제가 잘 모르는 것일 수도 있습니다.

 

우리가 할 수 있는 다른 효과적인 대응은 웹의 응답 본문 (Resp-Body)을 분석하여 데이터유출 여부를 탐지하는 것입니다. 기본 원리로 돌아가 생각하면 브라우저의 요청으로 웹 서버의 데이터(정보)가 유출되는 것이므로 어떤 데이터가 포함되는지 실시간 분석한다면 이론적으로는 사실 완벽하게 탐지할 수 있습니다.

 

다음의 영상은 sqlmap 을 이용한 SQL인젝션 공격으로 다음의 민감 정보 탈취 공격입니다.

  1) 데이터베이스

  2) 테이블 이름

 

내부자 도움이 없다면 모든 SQL인젝션 공격자의 시작과 동일합니다.

이러한 데이터유출 공격에 프루라를 이용하여 실시간 데이터유출을 탐지하는

  1. 시연 영상

     2. 매뉴얼

 

참고 사이트

[1] 데이터유출방지, 위키백과, https://bit.ly/3fMOLpm

[2] 데이터유출 피해액 늘었다. Byline Network, https://byline.network/2020/07/30-89/