다층 방어 보안 체계 구축
지능적이고 지속적인 내부 위협 차단
공격자들은 다양한 경로와 고도화된 기법으로 내부 네트워크에 침투한 뒤,
악성코드를 감염시키고, 공격 대상을 탐색하며, 내부 확산을 통해 최종 목적을 달성합니다.
파이오링크 TiFRONT 보안스위치는 다양한 보안 엔진을 활용해 내부 네트워크에
다층 방어 보안 체계를 구축함으로써 침해 확산을 능동적이고 선제적으로 대응합니다.
- TiMatrix
유해 트래픽 차단 엔진
-
TiMatrix 엔진 더 알아보기
Frequency Matrix 기반의 독자적인 보안 알고리즘 적용
관리자 개입 없이 자동으로 유해 트래픽만 선별 차단
시그니처 없이 제로데이 위협 대응
보안 기능 수행시에도 최대 회선 성능 유지
- vCAT
웜 확산 차단 엔진 -
vCAT 엔진 더 알아보기
Profile 업데이트를 통한 신규 공격 탐지·차단
내부 감염된 장치의 측면 이동 접근 시 자동 차단 및 보고
포렌식에 필요한 데이터 제공
웜 확산 공격 탐지 및 차단
- CTI
위협 사이트 차단 엔진 -
파이오링크 사이버위협분석팀과 다양한 위협 탐지 채널에서 수집한 데이터 활용
위협 예방과 신속한 정책 수립이 가능한 심층 분석 자료 제공
공격자의 C2 서버와 통신하는 IP를 식별해 차단
유해트래픽 차단 엔진
네트워크 트래픽이 급증함에 따라 스위치는 복잡한 트래픽을 빠르고 안정적으로 처리하는 기능이 필수적입니다. TiMatrix는 TiFRONT 보안 서비스의 핵심으로, 사용자 단말에서 발생하는 유해 트래픽을 선별적으로 탐지 및 차단합니다. 스위칭과 보안 엔진이 물리적·논리적으로 분리된 구조로 트래픽 지연 없이 보안 서비스를 제공합니다. TiMatrix는 내부망에서 발생하는 유해 트래픽을 탐지 및 제어하여, 외부로 유출되는 악성 트래픽으로 인한 추가 피해를 방지하고 네트워크 안전성을 확보합니다.
- 유해 트래픽 선별 차단
-
유해 트래픽만 선별적으로 차단하고 정상 트래픽은 영향을 받지 않아, 업무 연속성을 보장합니다
(Protocol Anomaly, Flooding, Scanning, Spoofing, SMB 등)
- 주요 공격 유형 대응
- 랜섬웨어, 악성코드의 내부 확산 을 차단하고, 내부 감염 단말에서 발생하는 DoS/DDoS 트래픽을 제어하여 네트워크를 보호합니다
- L2~L4 패킷 정보 종합 분석
- MAC 주소, IP 주소, 프로토콜 및 서비스 포트, Interval, Count 등의 기본 정보와 패킷 간 메타정보 등을 종합적으로 분석하여 정확하고 세밀한 보안을 제공합니다.
- 제로데이 위협 대응
- 시그니처를 사용하지 않고 Frequency Matrix 모델 기반, 트래픽 및 메타 데이터를 분석하여 새로운 보안 위협에 즉시 대응합니다.
웜 확산 차단 엔진
TiFRONT 보안스위치 내에 실제 시스템처럼 위장된 vTrap(가상 호스트)을 네트워크에 설정해
두고, 이에 대한 스캔 시도나 접근을 모니터링하여 악의적인 활동을 탐지합니다.
공격자는 vTrap에 대한 존재를 알지 못하므로 이에 대한 접근 시도를 이상 행위로 간주하여
자동으로 차단하고 보고합니다. 이는 네트워크 내부 발생 위협을 빠르게 격리하고 확산을
저지하는데 핵심적인 역할을 합니다.
vTrap(가상호스트로 멀웨어 접근 유도) + vCAT(멀웨어 감지·식별·차단)
vCAT은 vTrap(가상호스트)으로 멀웨어를 유인·분석하여 접근한 호스트를 즉시 격리합니다.
이 프로세스를 통해 악성코드의 내부 확산을 선제적으로 차단하여 네트워크를 안전하게 보호합니다.
-
Fake Response
멀웨어가 접근을 시도할 때, vTrap(가상 호스트)으로 응답하는 역할을 수행합니다.
공격자는 vTrap에 대한 존재를 알지 못하므로 실제 호스트로 인식하게끔 접근을 유도합니다. -
Worm Detection
vCAT은 능동형 보안엔진으로서 vTrap으로 유인된 공격 유형을 식별하고 분석합니다.
멀웨어가 vTrap에 접근하는 과정에서 발생 하는 패킷을 저장한 뒤, 패킷의 패턴을 분석해 멀웨어의 종류와 행위 특성을 구분합니다. #취득한 멀웨어 정보 분석 #패킷의 패턴 분석 -
Worm Definition
프로파일이란 스위치에서 다양한 위협 유형을 식별하고 분석할 수 있도록 사전에 정의된 탐지 기준의 집합입니다. 업데이트되는 멀웨어 데이터베이스는 신·변종 멀웨어 등 새로운 위협 유형을 감지하고 분석하는데 중요한 역할을 수행합니다. #멀웨어 데이터베이스 ‘프로파일’ #지능형·미확인 공격 대응
-
Infected Host Block
vTrap(가상 호스트)에 접근한 즉시 해당 호스트(IP)는 네트워크에서 격리돼 피해 확산을 방지합니다.
내부자 역시 vTrap에 접근할 경우 즉시 차단하는데, 이는 네트워크 내 모든 접근을 의심하고 검증하라는 제로트러스트 보안 모델을 준수합니다. #실시간 탐지 및 차단 #내부 확산 차단 #제로트러스트 모델 구현
사이버 공격의 5단계
- 01침투 시도
- 02감염 성공
- 03침투 시도
- 04내부 정찰
- 05목적 달성
사이버 공격 과정
사이버 공격은 일반적으로 5단계의 과정을 거치며, 각 단계는 ‘침투 시도, 감염 성공, 내부 정찰, 내부 확산, 목적 달성’으로 구성됩니다
vCAT 웜 확산 차단 엔진 보안 기능의 특징
-
임계치 기반 한계를 극복
임계치와 무관한 탐지 : vTrap(가상 호스트)은 실제 존재하는 시스템으로 착각하도록 정교하게 위장된 미끼로 설정, 이 주소로의 접근 자체를 ‘비정상’으로 간주해 임계치와 상관없이 탐지 가능
저강도·분산 공격도 포착 : 공격자가 임계치 미만으로 천천히 스캔해도 vTrap에 한 번이라도 접근하면 즉시 탐지 및 차단이 가능
동작 패턴 분석·탐지 : vTrap으로 유인된 패킷의 실제 동작 패턴, 악성코드 여부까지 분석해 탐지
-
지능형·미확인 공격 대응
미확인·신종 위협 탐지 및 학습 : 기존에 없는 새로운 공격 패턴도 vTrap에서 수집·분석해 위협 DB를 자동 업데이트 → 공격자가 사용하는 새로운 툴, 미확인 악성코드도 빠르게 식별
공격자 행위 기반 탐지 : 임계치나 룰에 의존하지 않고, 공격자가 실제로 어떤 행동을 했는지(스캔, 침투, 악성코드 전송 등) 기반으로 탐지
공격자 프로파일링 및 선제적 방어 : 반복적으로 vTrap에 접근하는 공격자를 식별, 내부 위협자나 장기 침투 시도도 조기 경고
-
실시간·적응형 방어
실시간 탐지 및 차단 : vTrap(가상 호스트)에 접근한 즉시 해당 호스트를 네트워크에서 격리해 피해 확산 방지
공격 트렌드 분석 및 대응 전략 강화 : vTrap에서 수집한 공격 데이터로 보안 정책 및 TiMatrix 보안 엔진의 임계치를 조정
-
내부자 위협, 제로트러스트 강화
내부 네트워크 위협 탐지 : 내부 사용자가 vTrap에 접근할 경우, 내부자 위협이나 감염된 PC의 이상 행위도 즉시 탐지
제로트러스트 환경 구현 : 네트워크 내 모든 접근을 의심하고 검증하는 제로트러스트 보안 모델을 준수
다층 방어 체계 구축
TiMatrix와 vCAT, 두 보안 엔진의 매커니즘으로 행위 분석 기반 실시간 위협을 감시하고,
타깃형 공격을 선제적으로 방어하며, 침입 데이터 분석을 통한 사후 분석까지 지원하는 종합적인 보안 환경을 구현합니다.
| TiMatrix 보안엔진 (유해 트래픽 차단) |
vCAT 보안엔진 (웜 확산 차단) |
|
|---|---|---|
| 보안엔진 매커니즘 |
행위 분석 기반으로 유해트래픽만 선별적으로 탐지·차단 새로운 위협도 탐지·차단 가능 스위치 성능에 영향을 주지 않으면서도 실시간으로 위협을 탐지 및 차단하고 자동으로 해제 조직의 네트워크 환경에 맞도록 보안 등급과 임계치를 설정하여 오탐을 최소화 |
공격자가 실제 시스템으로 착각하도록 설계된 vTrap(가상 호스트)를 배치하여 타깃형 공격을 유도 공격자의 의도를 분석하거나 초기 침입 시도를 탐지 알려지지 않은 취약점을 악용한 공격에 대해서도 초기 징후 포착 가능 제로데이 및 타깃형 공격에 대한 선제적 방어 |
| 공격 유형 대응 | Procotol Anomaly, Flood, Scanning, Spoofing 공격 대응 |
침입 시도 데이터를 분석하여 타깃형 공격에 대한 프로파일링 제공 (WannaCry, Lockbit, NetPetya 등) |
| TiMatrix 보안엔진 (유해 트래픽 차단) |
|---|
| 보안엔진 매커니즘 |
|
행위 분석 기반으로 유해트래픽만 선별적으로 탐지·차단 새로운 위협도 탐지·차단 가능 스위치 성능에 영향을 주지 않으면서도 실시간으로 위협을 탐지 및 차단하고 자동으로 해제 조직의 네트워크 환경에 맞도록 보안 등급과 임계치를 설정하여 오탐을 최소화 |
| 공격 유형 대응 |
Procotol Anomaly, Flood, Scanning, Spoofing 공격 대응 |
| vCAT 보안엔진 (웜 확산 차단) |
|---|
| 보안엔진 매커니즘 |
|
행위 분석 기반으로 유해트래픽만 선별적으로 탐지(차단) 새로운 위협도 탐지(차단) 가능 스위치 성능에 영향을 주지 않으면서도 실시간으로 위협을 탐지(차단)하고 자동으로 해제 조직의 네트워크 환경에 맞도록 보안 등급과 임계치를 설정하여 오탐을 최소화 |
| 공격 유형 대응 |
침입 시도 데이터를 분석하여 타깃형 공격에 대한 프로파일링 제공 (WannaCry, Lockbit, NetPetya 등) |
TiFRONT 보안스위치종합적 위협 탐지 대응 : 행위 기반으로 네트워크 전반의 이상 활동을 실시간으로 감시 + 타깃형 공격을 선제적으로 방어
사전 예방&사후 분석 : 임계치 기반으로 실시간 공격 방어 + 침입 시도 데이터 분석을 통한 사전 예방과 사후 분석 지원
효율성 : 네트워크 스위치 기반으로 최소 비용으로 최대 보안 효과를 제공
