[보안장비 운영] 보안 솔루션/장비 종류 및 특징

네트워크 보안

⊕ 물리적 네트워크 구간 (접근 통제 관점의 구분)

• 인터넷 구간 : 인터넷으로부터 직접 접근이 가능한 구간
• DMZ 구간 : 인터넷과 내부망 사이에 위치한 중간지점. 침입통제시스템 등으로 접근통제를 수행하면서 인터넷구간으로부터의 접근과 내부망 접근을 허용하는 구간
• 내부망: 물리적으로 인터넷으로부터 분리된 망이거나 접근통제시스템을 통해 인터넷으로부터의 직접 접근을 차단/통제하는구간

 

⊕ 네트워크 보안장비 설치 모드

• 인라인 모드
  • 물리적 네트워크 경로상에 설치되어 연결된 네트워크를 통과하는 모든 트래픽(실제패킷)이 거쳐가도록 하는 모드 
  • 일반적으로 패킷 차단 목적의 장비(Anti-DDoS System, Firewall, IPS 등)에 적용하는 모드
  • (장점) 실제 패킷을 탐지하고 차단까지 한다.
  • (단점) 장비에 장애가 발생할 경우 전체 네트워크 장애로 확산될 수 있는 위험성이 있다. -> 가용성에 위험
• 미러링 모드
  • 미러링 장비를 통해(ex. TAB(Test Access Port) 복제된 패킷을 받아 탐지하는 모드 (=미러 모드, out-of-path 모드)
    • TAB(Test Access Port: 설치된 네트워크 경로상 통과하는 모든 트래픽을 복제하여 모니터링 장비로 전달해주는 네트워크 미러링 장비)
  • 일반적으로 패킷 차단 기능이 없는 탐지 목적의 장비(IDS, Anti-APT System, Network Forensic 등)에 적용하는 모드
  • (장점) 네트워크 경로를 벗어난 곳에 위치해 전체 네트워크 가용성에 영향을 주지 않으면서 패킷을 탐지할 수 있다.
  • (단점) 복제된 패킷을 탐지하는 것이라 실제 패킷을 차단하기 어렵다.
  • 미러링모드로 설치된 보안장비라도 별도의 차단장비와 연계하여 차단하는 방식을 지원하는 경우도 있으며, 탐지 트래픽이 TCP 통신인 경우에는 "TCP Reset 방식(*양쪽에 RST 보냄)"을 통해 공격 행위로 탐지된 TCP 연결의 중단을 지원하는 경우가 일반적이다.

• (장비)웹방화벽(WAF:Web Application Firewall) : 일반적인 네트워크 방화벽과는 달리 웹 애플리케이션 공격에 대응하기 위해 웹 컨텐츠를 분석하고 탐지 및 차단할 수 있는 기능이 있는 보안장비
  • (기능 예시) 웹 컨텐츠에 포함된 다양한 기법으로 난독화된 스크립트를 해제하여 분석할 수 있는 기능
  • (기능 예시) SQL 인젝션, XSS 등 다양한 웹 공격에서 사용되는 요청 파라미터 패턴을 분석할 수 있는 기능
  • 직접적인 웹 공격 대응 이외에도 정보 유출 방지, 부정 로그인 방지, 웹사이트 위변조 방지 등으로 활용한다.
  • (장비 예시) KISA의 캐슬, AQTRONIX사의 Webnight, TrustWave사의 ModSecurity 등
• (장비)네트워크(시스템)방화벽(Firewall) : 네트워크 계층의 IP 주소, 전송 계층의 Port 번호, 프로토콜 등을 기반으로 방화벽 룰셋(필터링 정책)에 따라 패킷 필터링을 수행하는 보안장비
  • 방화벽은 서로 다른 보안 레벨의 네트워크 경로 사이에 위치한다 
    • ex) 인터넷 구간과 DMZ 사이, DMZ 구간과 내부망 사이, 내부망 내 서로 다른 서버존(개발/검증/운영) 사이에 위치
    • 고가용성(HA:High Availiability) 환경 구축을 위해 Active-Standby 또는 Active-Active 방식의 이중화 구성으로 설치
  • 최근에는 차세대 방화벽(NGFW: Next Generation Firewall)이라 불리는 다양한 기능을 가진 방화벽 제품들이 출시되고 있지만 전통적인 방화벽의 기본 기능은 IP/Port 기반의 패킷 필터링이다.
  • 이스라엘 보안업체 "체크포인트"에서 방화벽에 "상태 검사 기능(Stateful Inspection)" 기능을 최초로 개발하였고(90년대 초) 이후 대부분 방화벽에서 해당 기능을 지원 
    • 연결상태에 있는 패킷에 대해서는 모두 허용, 방화벽 룰셋에서 허용하는 연결을 가장하여 접근하는 패킷에 대해선 모두 차단
    • 성능상 장점 + 보안상의 장점
• (장비)침입탐지시스템(IDS:Intrsion Detection System) : 사전에 등록한 알려진 공격 패턴, 임계치 등에 따라 공격을 탐지하는 보안 장비
  • 차단 목적이 아닌 탐지 목적의 장비. 
  • NIDS(Network based IDS)인 경우 일반적으로 미러링모드(복제된 트레픽을 받음)로 설치한다.
  • 침입 탐지 방식에 따른 구분
    • 오용탐지(Misuse Detection) :사전에 등록한 알려진 공격 패턴을 기반으로 공격 행위를 탐지하는 방식
      • 지식 기반 탐지, 시그니처 기반 탐지라고도 함.
      • (장점) 알려진 공격 패턴을 기반으로 탐지해 오탐률(false postive rate)이 낮다.
      • (단점) 알려지지 않은 새로운 공격에 대해서는 탐지할 수 없으므로 미탐률(false negative rate)이 높다. 
        • 오탐보다는 미탐이 발생하는 상황이 더 심각해 이를 줄이는 것이 매우 중요
    • 이상탐지(Anomaly Detection): 정상적이고 평균적인 상태를 기준으로 이를 벗어난 행위를 공격 행위로 탐지하는 방식
      • 행위 기반 탐지, 통계기반 탐지라고도 함.
      • 정량적,통계적 분석을 통해 설정한 임계치 기반으로 탐지하는 방식
      • (장점) 알려지지 않은 새로운 공격도 탐지할 수 있으므로 상대적으로 미탐률이 낮다.
      • (단점) 정상과 공격 구분의 임계치 설정이 어려워 상대적으로 오탐률이 높다.
  • 탐지할 데이터의 수집원(source)에 따른 구분
    • 호스트 기반 IDS(HIDS:Host based IDS) : 호스트에 설치되어 호스트 정보를 수집해 탐지활동을 수행하는 IDS
      
      • (ex) 트립와이어 : 호스트 파일의 무결성을 검사하는 오픈소스 HIDS
    • 네트워크 기반 IDS(NIDS:Network based IDS) : 네트워크 트래픽을 수집해 탐지활동을 수행하는 IDS
      • (ex) Snort :오픈소스 NIDS
      • (ex) 수리카타(Suricata) : 스노트의 단일 스레드 방식에서 벗어나 대용량 트래픽을 실시간으로 처리할 수 있도록 멀티 코어/멀티 스레드를 지원하며 기존 스노트와도 완벽하게 호환하는 장점을 가진 OISF 단체에서 오픈소스 프로젝트로 개발한 IDS/IPS (2010년 발표)
  • NIDS 설치 위치에 따른 장단점
    • (Internet - 이위치 - 라우터 - 방화벽 - DMZ- 내부망) : 라우터를 통과하기 전 모든 트래픽을 탐지할 수 있는 위치 
      • (장점) 인터넷에서 접근하는 모든 트래픽 탐지 가능
      • (단점) 라우터의 필터링(ACL) 이전에 탐지해 공격행위로 탐지한 트래픽이 내부 네트워크로 유입된 트래픽인지 판단하기 어렵고 많은 트래픽으로 성능성 문제발생
    • (Internet - 라우터 - 이위치 - 방화벽 - DMZ- 내부망) : 라우터를 통과한 모든 트래픽 탐지할 수 있는 위치
      • (장점) 라우터의 필터링(ACL)을 통과하여 실제 내부 네트워크로 유입된 트래픽만을 효율적으로 탐지
      • 내부 방화벽 앞단에서 탐지해 공격 행위로 탐지한 트래픽이 방화벽을 통과한 트래픽인지 판단하기 어렵고, 방화벽 뒷단의 보호구간(DMZ) 내에서 발생하는 트래픽에 대해서는 탐지할 수 없다.
    • * (Internet -라우터 - 방화벽 - 이위치 - DMZ- 내부망) : (우선순위 1순위) 내부 방화벽을 통과한 모든 트래픽을 탐지할 수 있는 위치
      • (장점) 방화벽의 패킷 필터링을 거쳐 보호구간 내 공개 서버들에 접근한 트래픽만을 효율적으로 탐지할 수 있고 보호구간 내에서 발생하는 트래픽에 대해서 탐지가 가능
      • (단점) 인터넷에서 유입되는 모든 트래픽에 대한 공격여부는 알 수 없다.
• (장비)침입방지(차단)시스템(IPS:Intrsion Prevention System) : 사전에 등록한 알려진 공격패턴, 임계치 등에 따라 공격을 탐지하고 차단하는 보안장비
  • 탐지 + 차단 수행 장비이므로 일반적으로 공격 행위로 탐지된 패킷의 실시간 차단을 위해 인라인 모드로 설치
• (장비)디도스차단시스템(Anti-DDoS System) : 일반적으로 디도스 공격(특히 Flooding 계열 공격)으로부터 다른 장비들을 보호하기 위해 네트워크 구성상 가장 상단에 위치하는 보안장비
• (장비)APT 대응시스템(Anti-APT System) : 네트워크 트래픽을 통해 유입되는 실행파일, 문서파일 등을 추출, 조회(이미 알려진 악성파일인지 여부 확인) 및 가상머신 기반의 샌드박스(Sendbox) 환경에서 해당 파일을 직접 실행하여 악성 여부를 판단하는 행위 기반 분석 보안 장비
  • 샌드박스 환경 : 외부로부터 받은 파일을 바로 실행하지 않고, 보호된 영역에서 실행시켜 외부로부터 들어오는 파일과 프로그램이 내부 시스템에 악영향을 주는 것을 미연에 방지하는 기술
  • 일반적으로 엔드포인트 솔루션과 함께 제공하여 가상머신을 통한 분석이 완료될 때까지 엔드포인트의 파일 실행을 보류하거나 악성 파일로 판단될 경우 파일 삭제 등의 기능 수행
• (장비)네트워크포렌식 장비(Network Forensic) : 설치된 네트워크 구간을 통과하는 모든 트래픽을 수집,분석할 수 있는 장비
  • 수집한 트래픽은 침해사고 분석 및 내부 감사 등의 목적으로 활용. 대용량의 스토리지가 필요하다.
• (솔루션)무선침입방지시스템(WIPS:Wireless Instrusion Prevention System) : 인가되지 않은 무선 단말기의 접속을 자동으로 탐지/차단하고 보안에 취약한 무선공유기(AP)를 탐지하는 솔루션
  
  • 유선 방화벽(Firewall)과 유사하게 외부 공격으로부터 내부 시스템을 보호하기 위해 무선랜 환경에서의 보안 위협을 탐지/대응
• (솔루션)네트워크접근제어(NAC:Network Access Control) : 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션
  • 과거 IP 관리 시스템에서 네트워크에 대한 통제기능을 더욱 강화한 보안솔루션
  • 네트워크 제어 및 통제 기능을 통해 내부 네트워크가 바이러스나 웜 등의 보안 위협으로부터 안전한 단말기들로 이루어질 수 있도록 강제하는 역할을 함.
  • 일반적인 제어 방식을 살펴보면 먼저 접속하는 단말기와 사용자가 정상적인 단말기와 사용자인지를 인증하는 절차를 거치고 인증 성공 후에는 바로 접속이 허용되는 것이 아니라 백신 등 단말기 보안 프로그램이 정상적으로 설치 및 동작하는지 무결성 검증 후 최종적으로 접근 허용
  • 대표적인 오픈소스 NAC 솔루션 : PacketFence, FreeNAC
• (솔루션)통합보안시스템(UTM:Unified Threat Management) : 다양한 보안기능을 하나의 장비로 통합해 제공하는 보안솔루션
  • (장점) 단일 장비로 다양한 보안기능을 수행해 경제성과 보안관리 및 운영을 편리하게 할 수 있음
  • (단점) 장애 발생 시 모든 보안 기능에 영향을 미침
• 가상사설망(VPN:Virtual Private Network)

 

시스템(단말) 보안

• 바이러스 백신(Anti-Virus)
• (솔루션)엔드포인트 탐지 및 대응 솔루션(EDR:Endpoint Detection and Response) : PC,모바일, 서버 등 엔드포인트에서 발생하느 악성 행위를 실시간으로 감지하고 분석/대응해 피해확산을 막는 솔루션
  • 최근 악성코드는 안티바이러스 솔루션(백신) 및 APT 대응 솔루션의 탐지를 다양한 방식으로 우회하고 엔드포인트(PC,모바일, 서버 등)에서 대량의 정보를 탈취하거나 랜섬웨어를 실행하는 등 나날이 지능화된 방식으로 진화하고 있다. 이를 효과적으로 탐지하고 대응하기 위한 목적으로 나온 솔루션임
  • (행위기반탐지) 기존 안티바이러스 제품(백신)은 알려진 패턴을 기반으로 탐지하는 반면, EDR 솔루션은 엔드포인트에서 실행되는 프로세스 기반의 모든 행위를 지속적으로 모니터링, 이를 기반으로 탐지하여 알려진 악성 행위 뿐만 아니라 알려지지 않은 악성행위에 대해서도 사전 대응 가능 (APT 대응 솔루션의 경우 행위기반탐지지만 가상머신환경에서 정보 수집)
  • (가시성) 엔드포인트에서 발생하는 악성 행위에 대한 분석을 위해 프로세스, 레지스트리, 파일, 사용자 등 다양한 영역의 정보를 분석하고 이상 행위를 관리자에게 보고
  • 엔드포인트에 대한 직접적인 대응을 할 수 있는 기능 제공
• 시스템접근통제(PC 방화벽 포함)
• (솔루션)스팸차단솔루션(Anti-Spam Solution) : 메일서버 앞단에 위치하여 프록시 메일 서버로 동작하며 스팸메일 차단기능뿐만 아니라 메일에 대한 바이러스 검사, 내부에서 외부로 전송되는 메일에 대한 본문 검색기능을 통한 내부정보 유출방지 등의 확장 기능이 있음
  • 스팸 : 이메일/휴대폰 등 정보통신서비스를 이용하는 이용자에게 본인이 원치 않음에도 불구하고 일방적으로 전송되는 영리목적의 광고성정보
• (솔루션)보안운영체제(Secure OS) : 운영체제에 내재한 결함으로 인해 발생할 수 있는 각종 해킹으로부터 보호하기 위해 보안 기능이 통합된 보안 커널을 추가로 인식한 운영체제
  • 기본적으로 열려 있는 취약 서비스를 모두 차단하여 계정 관리 및 서비스 관리에 있어 좀 더 나은 보안체계를 가지고 운영될 수 있도록 함.

 

컨텐츠/정보유출방지 보안

• DB보안(접근통제)/DB암호
• 보안USB(Security USB) :보안 기능(사용자 식별/인증, 지정데이터 암/복호화, 데이터복제방지, 분실 시 삭제 등) 갖춘 USB
• (솔루션)디지털저작권관리(DRM:Digital Rights Management) : 디지털 컨텐츠 저작권 보호를 위해 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하고 이를 의도한 용도로만 사용하도록 제어하는데 사용되는 모든 기술
  • 특정 자료를 저작권자가 의도한 용도로만 사용하도록 제한하는데 사용되는 모든 기술을 지칭. 복사방지, 기술보호장치도 그일부
  • 목적에 따른 구분
    • (디지털 저작물에 대한 보호와 관리를 위한 솔루션) MP3, E-book과 같은 저작물. 파일 자체에 암호를 걸어 권한없으면 사용 못하게 함
    • (기업에서 사용하는 문서 보안 솔루션(문서DRM)) 문서 저장 시, 암호화하여 저장하게 함으로써 권한이 없는 다른 사용자가 문서를 읽지 못하도록 함.
• 네트워크/단말 정보유출방지(DLP:Data Loss/Leakage Preventation) : 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션
  • 외부로 정보가 유출될 수 있는 통로/채널은 USB와 같은 이동식 저장매체, 출력물 등 다양하게 존재하며 이러한 채널을 통한 유출 방지를 위해 정보 흐름에 대한 모니터링과 실시간 차단 기능제공
  • (네트워크DLP) 메일,메신저,웹메일,웹하드,웹게시판,P2P 등 네트워크를 통하여 정보가 유출되는 것을 모니터링/통제
  • (단말DLP) PC와 같은 단말기에서 USB 등의 이동식 저장 매체와 출력물 등을 통해 유출되는 것을 방지하는 역할

 

보안관리(관제)
보호해야 할 정보자산에 대해 내/외부 위협으로부터 보호하는 역할
정보 수집 > 모니터링 및 분석 > 대응(조치) > 보고

• (솔루션)* 전사적 보안관리 시스템(ESM:Enterprise Security Management) : 다양한 보안장비에서 발생하는 보안정보(로그,이벤트 등)를 통합적으로 수집 및 관리하여 불법적인 행위에 대응할 수 있도록 하는 통합 보안 관리(관제) 시스템
  • 다양해지는 보안 위협으로 인해 단일 보안장비로는 위협에 대응하기 어려워 다양한 보안장비를 도입하게 되고 그에따른 관리의 어려움이 발생함에 따라 필요해짐
  • UTM과의 차이: ESM의 경우 로그 수집 후 판단한다.UTM은 안그래
  • 침입차단시스템(Firewall), 침입탐지/방지시스템(IDS/IPS), 가상사설망(VPN), 웹방화벽(WAF) 등 다양한 보안장비에서 발생하는 로그, 보안이벤트를 취합하고 이들 간에 상호연관분석을 함으로써 실시간 보안위협을 파악하고 대응하는 역할
    • 상호연관분석(Corelation) : 동종 또는 이기종의 여러 보안솔루션에서 발생하는 로그,에벤트 패턴 간 연관성을 분석하는 것. 보다 정확한 판단과 대응을 가능하게함.
  • 솔루션별 보안정책의 일관성 확보
  • 구성요소
    • ESM 에이전트 : 관리 대상 보안장비에 설치되어 사전에 정의된 규칙에 따라 로그 및 이벤트 데이터를 수집해 ESM 매니저로 전달
    • ESM 매니저 (or 엔진) : ESM 에이전트를 통해 수집된 데이터를 저장, 분석하여 그 결과를 ESM 콘솔로 전달
    • ESM 콘솔 : ESM 매니저에 의해 전달된 정보의 시각적 전달, 상황 판단 및 리포팅 기능 제공. ESM 매니자와 함께 에이전트에 대한 제어/통제 수행
• (솔루션)보안정보 및 이벤트관리 시스템(SIEM:Security Information & Event Management) : 보안장비뿐만 아니라 각종 서버 장비, 네트워크 장비, 애플리케이션 등 다양한 범위에서 발생하는 로그와 이벤트를 수집해 빅데이터 기반의 상관관계 분석을 통해 위협을 사전에 차단하는 통합보안관제 솔루션
  • ESM에 진화된 형태
  • 주요기능
    • 데이터통합: 다양한 보안장비/애플리케이션 등에서 발생하는 데이터를 수집하여 통합 분석
      • 로그 수집 : 관제대상시스템에 설치된 에이전트를 이용해 로그수집
      • 로그 변환 : 다양한 로그 표현 방식을 표준 포맷으로 변환
    • 상관관계분석 : 수집한 데이터를 유용한 정보를 만들기 위해 다양한 상관관계 분석기능 제공
      • 로그 분류 : 이벤트 발생 누적 횟수 등 유사한 정보를 기준으로 그룹핑하여 한 개의 정보로 취합하는 과정
      • 로그 분석 : 표준 포맷으로 변환된 로그 중 타임스탬프,IP 주소, 이벤트 구성 규칙을 기준으로 여러개의 로그의 연관성을 분석하는 과정
    • 알림 : 이벤트를 관리자에게 자동으로 알림
    • 대시보드
• (솔루션)보안 오케스트레이션, 자동화 및 대응 시스템(SOAR:Security Orchestration, Automation and Response) : 보안 위협에 대한 자동화된 분석과 분석의 정확도를 높이고 대응 시간을 단축하기 위한 솔루션. 자동화된 통합보안관제 솔루션이라고 함.
  • 등장배경: 숙련된 보안 전문가의 부족 상황에서 지속해서 증가하는 보안 위협에 효과적으로 대응하기 위해선 분석과 대응에 자동화된 프로세스 필요 
  • 가트너 정의 : SOAR는 SOA,SIRP,TIP을 폭넓게 포함하는 개념으로 보안운영에 있어 유입되는 위협에 대해 대응 수준을 자동으로 분류, 표준화 된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 대응 플랫폼
  • 주요 기능
    • SIRP(Security Incident Response Platform) : 보안 사고 대응 플랫폼
      • 다양한 보안 이벤트 유형별로 업무 특성에 맞는 업무프로세스를 정의하는 기능
      • 보안운영센터(SOC:Security Operation Center)의 단순하고 반복적인 업무를 자동화함으로써 업무처리시간 단축
      • ex) 업무 PC에서 악성코드 전파 행위 발생 > PC 담당자에게 작업할당 > PC 격리 및 사용자 연락, 분석/조치 등의 일련의 업무 프로세스 정의
    • SOA(Security Orchestration and Automation) : 보안 오케스트레이션 및 자동화
      • 다양한 it, 보안 시스템을 통합하고 자동화 하는 기능. SIRP 에서 정의한 업무 프로세스의 실행 지원
      • ex) PC 격리를 위해 NAC 솔루션 연동, 사용자 연락을 위해 SMS 서버 연동, PC 분석 및 대응을 위해 엔드포인트 보안 솔루션(백신/EDR)등 연돛
    • TIP(Threat Itelligence Platform) : 위협 인텔리전스 플랫폼
      • 보안 위협을 판단하기 위해 다양한 내/외부 위협 인텔리전스를 활용하는 기능. 보안 분석가의 판단을 보조하는 역할
      • ex) 탐지한 의심 파일의 악성 여부 판단을 위해 외부 위협 인텔리전스(eg. VirusTotal 등) 정보 확용
  • 위협 인텔리전스(TI:Threate Intelligence) 서비스 : 과거에 겪었던 위협 정보를 수집,분석,활용하여 생성해내는 증거기반정보
    • SIEM, SOAR 등 보안관제 솔루션과 연계하여 위협에 대한 분석과 대응을 효과적으로 수행할 수 있도록 지원
    • 사이버 위협 인텔리전스(CTI:Cyber Threat Intelligence) 라고도 하며 외부 위협 동향에 대해 쉽게 파악하고 알려지지 않은 위혐, 지능형 지속 위협(APT)과 같은 공격에도 효과적으로 대응
    • (가트너 정의) 현존하거나 발생할 수 있는 위협에 대한 대응을 결정하는 데 사용할 수 있도록 해당 위혐에 대한 맥락,메커니즘,지표,예상 결과 및 실행 가능한 조언등을 포함하는 증거기반지식
    • (아이사이트 파트너스 정의) 사이버 위협의 공격자와 그 동기, 의도, 방법에 대한 지식으로 이 지식은 다양한 경로로 수집, 분석, 전파되어 보안 조직 및 운영 조직의 각 직급 담당자가 기업의 주요 자산을 보호하는데 기여한다.
    • (KISA 정의) 악성코드 정보, 명령 제어 서버(C&C) 정보, 취약점 및 침해사고 분석 정보 등 사이버 위협 정보를 체계적으로 수집하고 종합적으로 연관 분석해 관계기관 간 자동화한 정보공유를 목적으로 하는 예방 대응 시스템
• 협관리시스템(TMS:Threat Management System)
• (솔루션)패치관리시스템(PMS:Patch Management System) : 기업 네트워크에 접속하는 사용자 PC의 운영체제와 각종 애플리케이션에 대한 패치를 기업 보안 정책에 따라 자동으로 설치,업그레이드 함으로써 공격으로부터 기업의 IT 환경을 효과적으로 보호해주는 솔루션 
  • 구성 요소
    • PMS 서버 : 패치를 배포하고 기업 보안정책에 따라 이를 위반한 사용자 PC를 인식하고 이들에게 강제적으로 정책에 맞는 수준의 보안을 저굥ㅇ하는 역할 
    • PMS 에이전트 : 서버로부터 패치를 적용하고 사용자 PC 상태를 점검해 보안정책위반여부 정보를 서버에 제공
• 자산관리시스템(RMS)
• 백업/복구 관리 시스템
• 취약점분석시스템
• 디지털포렌식시스템(Digital Forensic System)

인증 및 암호

• 보안 스마트카드
• 하드웨어보안모듈(HSM:Hardware Security Module) : 암호화된 데이터를 보호하는 암호화 키/디지털 키에 대한 안전한 저장/관리 및 고속의 암호화 처리를 할 수 있는 전용의 하드웨어 장비
  • 일반적으로 플러그인 카드 또는 컴퓨터나 네트워크 서버에 직접 연결되는 외부 장치 형태로 제공되며, 최근에는 클라우드 환경에서 안전한 암호화 서비스를 제공하는 "클라우드 HSM" 서비스에 대한 관심도 증가하고 있다.
• 일회용비밀번호(OTP:One Time Password)
• 공개키기반구조(PKI:Public Key Infrastructure)
• (솔루션)싱글사인온(SSO:Single SIgn On) : 한번의 사용자 인증으로 여러 시스템에 접근할 수 있는 통합인증 솔루션
  • 단일 인증을 통해 여러 시스템에 접근함으로써 사용자 편의성 증대
• (솔루션)통합접근관리(EAM:Extranet Access Management) : 모든 사용자에 대한 통합 인증(SSO)와 사용자별 그룹별 접근 권한 통제를 담당하는 권한관리 솔루션
  • SSO+접근권한통제
• (솔루션)통합계정관리(IAM:Identity and Access Management) : EAM을 보다 포괄적으로 확장한 솔루션
  • 통합계정관리, 통합인증관리, 계정관리 솔루션 등으로 불린다.
  • 조직이 필요로 하는 보안 정책을 수립하고 자동으로 사용자에게 계정을 만들어 주며, 사용자는 자신의 위치와 직무에 따라 적절한 계정 및 권한을 부여받을 수 있을 뿐만 아니라 사용자 정보의 변경과 삭제도 실시간으로 반영 가능