은행 - 쿼드마이너

배경

이 은행은 여러 지역과 데이터센터에 걸쳐 있는 대규모 네트워크 인프라를 갖춘 주요 금융 기관입니다. 이 은행은 본사, 지점, 사무소, 데이터 센터, 고객 서비스 네트워크 간에 수많은 트랜잭션이 발생하기 때문에 네트워크 환경이 복잡합니다. 은행의 네트워크 인프라는 고객에게 안정적이고 효율적인 뱅킹 서비스를 제공해야 하기 때문에 은행 운영에 매우 중요합니다.

국내 최상위 규모의 이 은행은 네트워크 인프라 보안과 무결성을 보장하기 위해 ㈜쿼드마이너의 NDR 솔루션을 도입했습니다. NDR 솔루션은 진화된 위협 탐지 및 대응 기능을 제공하여 잠재적인 보안 위협이 피해를 일으키기 전에 선제적으로 식별하고 대응할 수 있도록 지원합니다. 이 은행은 멀웨어 감염과 랜섬웨어 공격을 비롯한 사이버 공격의 지속적인 위협에 직면해 있었으며, 이로 인해 막대한 재정적 손실과 평판 손상이 발생할 수 있었습니다. 이 은행은 이전에 인터넷 네트워크를 보호하기 위해 경계 보안 솔루션에 의존해 왔지만 끊임없이 진화하는 위협 환경으로부터 보호하기에 충분하지 않았습니다.

이 은행의 네트워크 인프라의 복잡성을 고려할 때 NDR 솔루션은 모든 지점과 데이터 센터의 네트워크 트래픽을 모니터링하고 분석할 수 있어야 합니다. 이를 위해서는 네트워크의 다양한 지점에 센서와 프로브를 배치하여 실시간으로 트래픽을 캡처하고 분석해야 합니다.

도전

이 은행이 직면한 주요 과제 중 하나는 악성 코드 및 랜섬웨어 공격에 대응하기 위해 EPP/EDR 보안 시스템과 다양한 시스템을 통한 파일 송수신 상에서의 모든 파일들을 빠짐없이 검역해야 한다는 것이었습니다. 그러나 조직화된 랜섬웨어 공격은 피싱 이메일, 드라이브 바이 다운로드, 워터링홀 공격 등 다양한 형태로 발생하기 때문에 완전한 탐지 및 예방이 어렵습니다.

효과적인 EPP/EDR 시스템이 구축되어 있고 통합파일 검역소를 갖추고 있지만 네트워크 관점에서 볼 때 EPP/EDR 등의 에이전트가 설치되지 않는 시스템에 의한 감염 위협과 같이 사각지역 해소를 위한 전방위적인 통합파일검역소의 기능 강화가 필요했습니다. IoT 디바이스와 서버를 비롯한 많은 디바이스에 에이전트가 설치되어 있지 않아 악성 코드 감염에 취약한 상태였습니다. 이러한 사각지대는 은행의 보안 방어에 틈을 만들어 사이버 범죄자들이 악용할 수 있었습니다.

마지막으로, 이 은행은 경계 보안 솔루션은 막강하지만, 내부망 즉, 내부 시스템간의 데이터 및 파일 유통을 악용한 공격에 취약하게 만들 수 있었습니다. 경계 보안은 중요하지만 정교한 사이버 공격에 대한 완벽한 보호 기능을 제공할 수는 없습니다. 또한 이 은행이 도입한 다양한 보안 솔루션들은 보안 이벤트 정보를 시스템 로그나 플로우 분석 데이터 형태로 제공했습니다. 이러한 정보는 여전히 공격의 대상이 된 시스템에서의 공격의 유효성과 영향도를 조사사해야 함에 따라 전체적인 대응이 지연 됩니다. 직면한 위협에 대한 구체적인 증거가 부족하여 신속하게 분석하고 대응할 수 없었습니다. 이 문제를 해결하기 위해 이 은행은 은행 내부 네트워크 내를 포함한 모든 시스템과 디바이스에서 위협을 탐지하고 대응할 수 있는 종합적인 보안 솔루션이 필요했습니다.

솔루션

이 은행을 위한 ㈜쿼드마이너 NDR 솔루션에는 네트워크 보안 태세를 강화하는 데 도움이 되는 몇 가지 주요 기능이 포함되어 있습니다. 이 솔루션은 코어 스위치와 백본 스위치에서 남-북 및 동-서 트래픽을 미러링하도록 설계되었습니다. 이를 통해 모든 네트워크 트래픽에 대한 포괄적인 가시성을 확보할 수 있었으며, 이는 잠재적인 보안 위협을 탐지하고 대응하는 데 매우 중요한 역할을 합니다.

트래픽 미러링을 관리하기 위해 이 솔루션은 네트워크 패킷 브로커(NPB)를 활용하여 패킷 중복을 제거하고 세션 기반 미러링 트래픽 부하 분산을 수행했습니다. 이를 통해 네트워크 보안 도구가 관리 가능하고 균형 잡힌 미러링 트래픽 부하를 수신하여 네트워크 성능에 영향을 줄 수 있는 병목 현상을 방지할 수 있었습니다.

이 솔루션에는 전체 패킷 캡처 데이터로 트래픽을 전체적으로 검사하여 네트워크 통신 간의 모든 파일을 추출하는 데 사용되는 네트워크 블랙박스도 포함되었습니다. 이 기능을 통해 은행은 파일에 대한 위협을 실시간으로 확인하여 악의적인 활동을 신속하게 식별하고 대응할 수 있었습니다.

마지막으로, 네트워크 블랙박스를 통해 네트워크 상에서 유통되는 모든 파일들을 추출하여 구현된 통합파일검역소에 추출한 파일에 대한 검역 요청과 파일 유통 기록을 추적하는 로그등을 통합하였습니다.

결과

이 은행은 ㈜쿼드마이너의 NDR 솔루션을 도입하여 다양한 경로를 통해 수집된 파일 및 네트워크 블랙박스에서 추출된 파일에 대한 통합 파일 검역 기능 강화, 그리고 경계망 보안 장비들에서 발생된 보안 위협 이벤트들에 대한 상세한 정보를 제공함에 따라 은행내의 사각지역을 해소하고 포괄적인 위협 대응 체계를 구축하였습니다.

방대하고 복잡한 네트워크 환경내에서의 대외 및 대내 사각지역을 해소한 포괄적인 위협 대응체계 구축을 통해 조직화된 랜섬웨어 공격에 대한 내성을 강화하고 외부-내부 및 내부-내부간 네트워크 통신 체계상에서 발생된 보안 이벤트들에 대한 즉각적인 위협의 유효성 및 영향도 판단 기능을 갖춤에 따라 보다 신속하게 보안 위협에 대응하고 예방할 수 있게 되었습니다.

은행

은행 사례 연구: 악성 코드 방지를 위한 네트워크 트래픽 조사 시스템 구축

배경

도전

솔루션

결과