your name here

[2025-11-27] DLP

🦥 본문

정의

Data Loss Prevention. 데이터 손실을 방지해주는 기술. 데이터 유출을 감시하고 차단하여 보호한다.

종류

Network DLP

이메일이나 메신저 등 네트워크 상의 정보 유출을 방지.

  • 장점 : 해당 네트워크를 사용하고 있는 한 모든 시스템, 서버 등에서 발생하는 데이터 손실을 방지. 기기 버전의 호환성도 좋음
  • 단점 : 네트워크 오류 발생 가능성. 외부 저장 장치나 외부 네트워크를 사용하면 데이터를 보호할 수 없음

Endpoint DLP

해당 Endpoint의 시스템 자체를 보호하여 정보 유출을 방지

  • 장점 : 네트워크 우회를 막음.
  • 단점 : DLP 프로그램을 꺼버리면 쉽게 유출 가능하며, 호환 불가능한 버전이 있을 경우 사용이 어려움.

데이터 손실

유형

  • 데이터 침해 : 무단 액세스
  • 데이터 누출 : 실수로 대중에게 노출
  • 데이터 유출 : 데이터를 훔치는 것.

원인

  • 이메일이나 인스턴스 메시징을 통해 네트워크에서 빠져나감
  • 외장 하드 드라이브에 복사
  • 공용 클라우드에 업로드
  • 피싱이나 멀웨어 같은 공격에 의해 액세스 획득 또는 데이터 파괴
  • LLM 같은 AI 도구에 업로드

데이터 감지

  • 데이터 지문 : 특정 파일을 식별할 수 잇는 디지털 지문. 발신하는 데이터의 지문을 스캔하여 기밀 파일의 지문과 일치하는 지문을 확인
  • 키워드 일치 : 기밀로 유지하는 문서나 파일의 특정 키워드를 탐지하고 차단
  • 패턴 일치 : 보호되는 데이터 범주에 들어갈 가능성에 따라 텍스트를 분류. 예를 들어 16자리 숫자는 카드 번호일 확률이 높은 것으로 분류하고 보호
  • 파일 일치 : 네트워크로 송출되는 파일의 해시를 보호되는 파일의 해시와 비교
  • 정확한 데이터 일치 : 특정 정보가 포함된 데이터 세트와 비교하여 데이터를 확인

프로젝트

프록시 서버를 구축하여 해당 패킷을 Zeek로 미러링. kafka를 통해서 autoencoder에 전달을 하든, rule-based로 하든, 검사를 한 후, 통과를 하면 포워딩을 하고 데이터 손실 감지 시에는 TCP RST를 보내거나 HTTP 메시지를 보내 연결을 차단

  • Request

    규칙 ID 조건 (Condition) 구현 (Action)
    R-101 제목에 [기밀] 키워드 포함 AND 외부 도메인 수신자 포함 키워드 발견 시 외부 도메인(허용되지 않은 메일 도메인) 검사
    규칙 ID 조건 (Condition) 조치 (Action)
    R-201 파일에 "소스 코드" 분류 태그 포함 AND 개인용 웹 저장소(GitHub Personal, Pastebin 등)로 업로드 시도 소스 코드 나온 경우 github와 허용된 회사 를 통해 확인. POST이거나 git-receivepack인 데 개인용이다
    R-202 HTTPS 트래픽 내에서 대량(예: 10MB 이상)의 비정형 데이터 전송 AND 내용에 키워드 사전 일치 키워드 발견과 파일 크기

    업로드나 파일 전송, 개인 클라우드에 접근 X

  • Reponse

    규칙 ID 조건 (Condition) 조치 (Action)
    P-101 웹 서버 응답 내에 미암호화된 사용자 비밀번호 해시값 포함 민감 정보 마스킹 처리하여 사용자에게 전송
    P-102 API 응답 (JSON, XML)요청된 것보다 과도한 PII 목록 포함 (예: 1명 요청했으나 100명 정보 포함) 응답 차단API 응답 데이터 조정
    P-103 웹 애플리케이션 오류 페이지SQL 구문 오류 또는 데이터베이스 경로 노출 오류 메시지를 일반적인 메시지로 대체관리자에게 상세 오류 보고
    규칙 ID 조건 (Condition) 조치 (Action)
    P-201 비인가 사용자(권한 Level 1)데이터베이스(DB)에서 고객 정보 1,000건 이상 질의한 결과 응답 응답 차단사용자 계정 잠금
    P-202 응답 내에 고객 신용카드 번호 패턴 포함 신용카드 번호의 마지막 4자리만 표시하도록 데이터 마스킹 적용
    규칙 ID 조건 (Condition) 조치 (Action)
    P-301 클라우드 저장소(S3 버킷 등)의 응답Public(공개) 접근 설정된 민감 파일 목록 포함 관리자에게 즉시 경고접근 권한 강제 변경
    P-302 공유 링크를 통해 내부 전용 문서 다운로드 시도 (링크의 유효성을 초과했을 경우) 다운로드 차단링크 만료 알림

Categories:

Updated:

Leave a comment

You may also enjoy

[2026-01-29] SketchFeature

High-Quality Per-Flow Feature Extractor Towards Security-Aware Data Plane High-Quality Per-Flow Feature Extractor Towards Security-Aware Data Plane