티스토리 뷰
[Case Study-Fireeye APT] 법무법인(유) 율촌, APT방어 솔루션 도입으로 비즈니스 커뮤니케이션의 안전성 확보
doubleten 2018. 11. 9. 08:38https://www.fireeye.kr/content/dam/fireeye-www/regional/ko_KR/customers/pdfs/cs-yulchon-law-firm.pdf
법무법인(유) 율촌, APT방어 솔루션 도입으로 비즈니스 커뮤니케이션의 안전성 확보
비즈니스 도전과제
율촌은 기업의 빠른 성장과 더불어 국내 및 세계시장에서 기업의 영향력이 증대됨에 따라 고객 정보를 안전하게 보호해야 하는 과제에 직면하게 되었다. 특히, 로펌은 업무 상 고객의 개인정보뿐 아니라 법무, 조세 및 소송 그리고 지적재산권 등 민감한 정보를 다루고 있어 APT 공격 그룹 표적 대상이 될 가능성이 높았기에 이에 대한 경각심이 더욱 고조되는 상황이었다. 그 중에서도 이메일과 웹은 율촌의 비즈니스 상에서 주요 커뮤니케이션 수단으로, 보안 사고 시 민감한 정보가 유출될 수 있는 위험성이 높아 더욱 강력한 보안책이 필요하다고 판단하였다. 따라서 최근의 해킹 사고가 대부분 APT 공격이라는 것을 감안해, APT에 대한 체계적인 대응 프로세스 수립하고 강력한 APT 방어 솔루션 도입을 결정하였다.
회사 소 개
법무법인(유) 율촌은 1997년 법인 설립 이래 국내 대형 로펌 가운데 초고속 성장을 기록하고 있는 로펌으로 현재 변호사/회계사/변리사/세무사/관세사 등 410명의 전문가와 270명의 staff 직원 등 총 680명이 근무하는 대형 로펌으로, 업계 순위 4위 안에 랭크되어 있습니다.
현재 율촌은 기업법무 및 금융 그룹, 공정거래 그룹, 조세 그룹, 송무 그룹, 지적재산권 그룹, 부동산 건설 그룹, 노동 그룹 등으로 나뉘어 있고, 다양한 전문팀을 운영하며 법률 서비스를 제공하고 있습니다. 율촌은 현재 서울에 본사를 두고 있으며 러시아·미얀마·중국·베트남 등 해외
5개 지역에 현지 사무소를 두어 해외에서 활동하는 우리 기업들과 현지 기업들을 지원하고 있습니다. 율촌은 2015,16년 연속으로 영국 경제지 파이낸셜타임즈(FT) 로부터 ‘가장 혁신적인 한국의 로펌상’ 을 수상하였으며, 2016년에는 세계적 법률전문지 ‘아메리칸 로이어’가
선정한 ‘올해의 아시아 로펌’ 을 수상하는 쾌거를 이루며 다양한 언론매체로부터 그 실력을 인정받고 있습니다.
“법무법인(유) 율촌은 국내 법조계를 선도하는 로펌으로 고객과 비즈니스에 대한 보다 안정된 보안 환경을 구축하기 위해 프로젝트를 진행하게 되었습니다. 전 세계 1위 APT 방어 솔루션 업체인 파이어아이는 APT 방어에 특화돼있다는 점에서 신뢰를 가지게 되었으며, 도입 결과
기대 이상의 보안 강화 효과를 가져올 수 있었습니다.
율촌은 APT 공격 대상의 예외일 수 없는 로펌의 보안 취약점을 최소화하고 보안 인프라를 강화하는 것을 최우선 과제로 삼아, 보안 측면에서도 안정된 비즈니스와 고객 서비스 환경 제공을 위해 노력할 것입니다.”
— 김정훈. 법무법인(유) 율촌 정보전산팀 대리
© 2016 FireEye, Inc. All rights reserved. FireEye is a registered trademark of FireEye, Inc.
All other brands, products, or service names are or may be trademarks
or service marks of their respective owners. DS.AIP.EN-US.042016
FireEye, Inc.
1440 McCarthy Blvd. Milpitas, CA 95035
408.321.6300 / 877.FIREEYE (347.3393) / info@FireEye.com
www.FireEye.com
파이어아이에 대한 보다 자세한 정보는 홈페이지를 통해 찾아보실 수 있습니다.
www.FireEye.kr
법무법인(유) 율 촌, A P T 방 어 솔 루 션 도 입으 로 비 즈니스 커 뮤니케이션의 안 전성 확 보
기술 요구사항
율촌은 기존 시그니처 방식의 보안 솔루션으로는 지능적으로 진화하고 있는 사이버 위협에 대응하는데 한계가 있음을 경험했으며,
알려지지 않은 공격 및 제로데이 공격을 효과적으로 탐지하고 대응할 수 있는 솔루션이 필요했다. 실질적으로 위협이 되는 사이버
공격을 식별할 수 있는 가시성을 제공하여 보안 운영에 핵심적인 역할을 수행할 수 있어야 했으며, 구축 과정과 운영 중에 무중단 서비스가
요구됐다.
솔루션
율촌은 구축 전 1개월 간 여러 APT 방어 솔루션에 대한 POC(proofs-of-concept, 개념검증)를 실시한 결과, 시그니처를 기반으로 하는 경쟁 APT 방어 솔루션의 경우 파이어아이 제품과 비교해서 알려지지 않거나 제로데이 악성코드을 탐지하는데 있어 오탐·과탐·미탐이
자주 발생하는 등 탐지 역량이 부족하다고 판단했다. 그리고 보안 위협에 대한 대응이 늦어서 알려지지 않은 APT 공격을 효과적으로
방어하기에 부족함을 느꼈으며, 보안 관리자가 보안 위협에 대해서 정확히 판단할 수 있는 근거 역시 충분히 제공해주지 못했다. 반면,
파이어아이는 자체 개발한 샌드박스 기술을 이용한 멀티플로우 기반 분석으로 알려지지 않은 공격에 대해 높은 탐지율을 기록하며,
탐지 역량에 대해 높은 평가를 받았다. 전세계 점유율 1위인 APT 방어 솔루션으로서 이미 검증된 신뢰성과 보안 위협에 최상으로 대응할
수 있는 지원 체계를 제공한다는 점 역시 주요 선택 요인이었다. 그리하여, 율촌은 파이어아이 이메일 보안 제품 EX시리즈와 네트워크 보안
제품 NX시리즈를 최종 솔루션으로 도입하기로 결정했다.
도입효과
율촌은 파이어아이 EX제품의 가상머신 기술 통해 모든 이메일 내 첨부 파일을 분석하고 지능형 표적 공격에 사용하는 스피어 피싱
이메일을 탐지 및 방어하고 있다. 또한, EX 제품을 NX제품과 연계해 율촌의 시스템으로 수신되는 이메일 내 포함된 악성 URL를
효과적으로 차단하고 있다. 이렇듯 이메일에 대한 보안 수준을 한층 끌어올림으로써 율촌은 핵심 커뮤니케이션 수단인 이메일을 APT
공격으로부터 안전하게 보호할 수 있게 됐다. 또 다른 주요 커뮤니케이션 통로인 네트워크 보안을 위해 율촌은 파이어아이 NX제품을
이용하여 네트워크 상으로 유입되는 악성 파일과 악성 통신, 취약점 공격을 탐지하고 차단하고 있다. 파이어아이의 독자적인 기술인
다중 경로 가상 실행(MVX) 엔진은 네트워크 단에서 알려졌거나 알려지지 않은 모든 공격을 신속히 탐지하고 정확한 경보를 제공해 율촌의
네트워크 보안을 더욱 강화시켰다.
또한, 율촌은 파이어아이 솔루션 도입으로 실제 위협이 될 수 있는 악성 행위를 판별해 공격자들의 공격전술이나 방법, 절차를 빠르게
이해하고 식별할 수 있게 됐다. 그리하여 율촌 정보전산팀은 자사의 보안 현황을 정확히 진단하고 이에 대한 효과적인 해결책을 제시하고 있다.
운영적인 측면에서 파이어아이 솔루션은 한번 분석된 시그니처를 제품에 자동으로 적용하기 때문에, 율촌은 내부 관리자가 보안정책을
수정할 필요 없이 효율적으로 보안 시스템을 운영하고 있다. 이처럼 효율적인 보안 운영이 가능해짐에 따라, 율촌은 보안 위협 탐지 후의
분석과 대응을 위한 시간과 노력을 최소화하는 등 간접운영비를 줄일 수 있었으며, 그 결과 총 소유 비용(TCO, Total Cost of Ownership)을
절감했다.
결과적으로, 율촌은 파이어아이 제품 도입 이후 기존 보안 솔루션을 통과했던 악성 이메일과 악성 네트워크 패킷 등 알려지지 않은, 제로데이 위협으로부터 사전에 대응할 수 있는 역량을 갖추었다. 이렇듯 한층 강화된 보안 역량으로 율촌은 고객의 민감한 비즈니스 정보를 안전하게 보호하며 정보보안 영역에서도 고객의 신뢰를 받을 수 있는 로펌으로 거듭날 수 있었다.
APT 방어 솔루션 구축 파트너인 아이센트는 파이어아이 APT 방어 솔루션 구축의 많은 경험을 가지고 있어서 사전 POV(가치검증)을
통해 제품의 가치를 제안하고, 안정적인 구축을 위한 요구사항을 충분히 반영하여 구축 계획을 세워서 내부 인프라에 자연스럽게 설치가
되도록 지원했다. 1개월간의 사전 협의 과정을 통해 구축 과정에서 서비스 무중단과 운용 시 무중단 서비스가 가능하도록 최적화하는 방법을
적용했으며, 일정 모니터링 기간을 두어 실제 발생하는 위협 이벤트에 대한 대응 방안과 교육을 통해 직접 운영할 수 있는 체계로 빠르게
전환했다.