135-010 서울시 강남구 논현동 57-38번지 원영빌딩 3~4층

TEL 02-3476-4200 FAX 02-3476-4215

www.kornicglory.co.kr

2016.07

TESS 제품군 소개자료

2

I . 차세대 보안관제 체계 필요성

1. 추진배경 및 필요성

2. 국내 주요보안 사고 및 취약점 보고

3. 보안 솔루션 & 사이버 공격 흐름

4. 국내 통합보안관리 시스템의 문제점

5. 보안관제서비스 시장동향

신/변종 보안위협에 대한 효율적 수집/탐지/차단을 통한 사전예방 활동으로 안정적인 서비스 제공

CTI - Cyber Threat Intelligence

방화벽 PROXY

PC보안

문서보안

출력물

메일보안

출입관리

차량관리

IT인프라 통합과 대형화 > 빅데이터(Big-Data) 기반 분석 = 필수

※ Big-Data란, 수 TB ~ 수 PB 수준의 데이터로 기존 방식으로 저장 또는 분석이 어려운 정도의 큰 규모의 자료를 의미한다

A사 Proxy 1년 40TB 1,080억건

B사 방화벽 1년 14TB 800억건

C사 PC보안 1년 6TB 240억건

분석 한계 & 관리 한계

정보유출의 87%가 로그를 남김

[美] Verizon Business Risk Team

로그는 알고 있다 !

보안관리

산재된 대용량 보안 로그에 대한 일괄 조회가 불가하며 담당 부서간 업무 협조로 인해 보안 사고 대응 한계 시점을 초과함

날로 지능화, 첨예화되는 사이버 침해위협을 신속 정확하게 대응하기 위하여 파일분석기반 차세대 보안관제 대응기술 필요

이 기종 시스템간 사용자 중심의 상관 관계 분석 불가

알려지지 않은 사이버 해킹공격을 조기에 관측 , 탐지하여 안정적인 서비스 제공 필요

4

1 추진배경 및 필요성

출처 : 2015 국가정보보호백서

NTP 취약점 (DDoS공격)

공유기취약점 (DNS설정변조)

세월호 사칭 스미싱 문자, 악성앱 유포

3.20 유사 악성코드 유포

BashShell 취약점 (ShellShock)

소니 픽쳐스 해킹 (FBI 북한소행 발표)

OpenSSL취약점 (HeartBleed)

통신사 1,200만 명 정보유출

홈페이지가입자

PoS 단말기 해킹

금융권 DNS 서버

DDoS 공격

후이즈 호스팅 DNS서버 DDoS공격

ISP(SKB,LGU+) DNS 서버 DDoS 공격

ISP(HCN) DNS서버 DDoS공격

원격 해킹 원전도면 등

내부정보 유출

공인인증서 6,947건 유출 PC 12,271대

감염

취약점 및 악성코드 등 국내 주요 사고

1월 4월 5월 7월 9월 12월 10월 11월 3월

지속적인 사이버위협의 지능화, 고도화로 인한 신/변종 위협 발생

2014년 주요침해사고

5

2 국내 주요보안사고 및 취약점 보고

출처 : 2016 국가정보보호백서

크립토락커 (CryptoLocker) 한글 버전 발견

이탈리아 해킹팀 자료유출 AdobeFlashFlayer

취약점 (CVE-2015-5119)

스피어피싱 한글2014 취약점 (CVE-2015-6585)

한국수력원자력 심리전공격

취약점 및 악성코드 등 국내 주요 사고

4월 7월 9월 11월 3월

지속적인 사이버위협의 지능화, 고도화로 인한 신/변종 위협 발생

2015년 주요침해사고

3 국내 주요보안사고 및 취약점 보고 -2

8월

한국수력원자력 심리전공격

“뽐뿌” 195만명

회원개인정보유출

안티랜섬웨어 우회 랜섬웨어

Cryptowall 발견

6

사이버 공격 기법의 다양화 및 지능화에 따른 보안 솔루션 트렌드

네트워크 보안

정보 유출방지

통합 로그

암호 인증

1. IT 인프라의 공격자원화

2. 대규모 악성코드 감염기법의 지능화

3. 악성코드 은닉 기법의 다양화

4. 랜섬웨어의 진화

5. 모바일 위협의 전방위적 확대

6. 사물인터넷 기기의 확산과 위협 증가

7. 사이버테러 위협 증가

시스템 보안

보안 관리

Spyware & Rootkits

2010

Viruses

2000

Worms

2005

APTs Cyberware

Today +

7

3 보안솔루션 및 사이버공격 동향

대용량 데이터 증가에 따른 문제 복잡한 보안 환경 변화

130 2005 1,227

2010 2,720 2012

7,910 2015

출처 : EMC/IDC Digital Universe Study [ exabytes ]

• 비 보안 장비의 로그 수집 대두

• 보안관제의 복잡도 증가

• 비정형 보안로그 수집 필요

• 대용량 분산 데이터 처리 용량

• 서버 로그 중심

• 네트워크 로그 중심

• 보안장비 로그 저장 관리

• 네트워크 통합 로그 수집

• 보안 장비의 다양화

• 통합보안로그 관리 문제

• 다양한 보안로그 수집

• 다수 기관 로그 통합

보안위협의 진화

취약점

Viruses APT

Worms

악성코드 DDoS 공격

서비스 환경 변화에 따른 대용량 데이터 및 다양한 어플리케이션의 증가로 신/변종의 지능화된 공격 발생

8

4 국내 통합보안관리시스템의 문제점

다양한 위협 소스 수집 및 관리(Threat Source Feeds Management)

위협요소에 대한 다양하고 풍부한 분석 및 연관분석 제공(Enrichment)

위협 정보에 대한 협력 분석 및 대응 제공(Collaboration)

위협 정보에 대한 표준화된 공유 방법 제공(Sharing)

위협정보에 대한 상세 분석정보 제공(Insight)

자동화된 침해 대응 프로세스 제공(Action & Automatic response)

주요 자산에 대한 보안관리 제공(Asset management & )

조직에 맞는 위협 대응 전술과 전략 수립을 위한 통합 환경 제공(Integration)

CTI Intelligence

Cycle

Planning & Strategy Collection

Processing

Analysis Action

Sharing

Information Intelligence

Raw, unfiltered data Processed, sorted, and distilled information

Unevaluated when delivered Evaluated and interpreted by trained expert analysts

Aggregated from virtually every source

Aggregated from reliable sources and cross correlated for accuracy

May be true, false, misleading, incomplete, relevant, or irrelevant

Accurate, timely, complete (as possible), assessed for relevancy

Cyber Threats: Information vs. Intelligence by Dark Reading 2014

9

5 보안관제서비스 시장동향(1)

최근 SIEM은 TI(Threat Intelligence)를 수용

모든 위협으로 부터 내부 자산에 대한 위협관리, 자산관리, 보안전략을 수립할 수 있도록 체계화

위협에 대한 수집(Aggregation), 분석(Analysis), 적용(Action)의 라이프사이클을 제공하는 새로운 플랫폼으로 진화

Security Information Management(SIM)

Log management Monitoring Analysis

Security Event Management(SEM) Real-time monitoring of

events Event correlation Incident response

Next Generation SIEM

Risk Management

Network Behavior Anomaly Detection

(Full Packet Capture)

2000~2004 2010~2013 2005~2009

1st Gen SIEM

심층분석 +

대용량데이터

Aggregate 내부위협정보

OS-INT위협정보

Analyze 취약점기반 파일기반

이상행위분석 유사도분석 상관분석

Act 자산관리 전략수립

위협정보공유

10

5 보안관제서비스 시장동향(2)

II. 차세대보안관제체계 개념

1. 차세대 위협관리 시스템 개념

2. 차세대 위협관리 시스템 논리구성

3. 차세대 위협관리 시스템 기능

12

신제품의 지향점 “차세대 통합보안체계 수립을 통한 차별화된 보안 방어체계 확보”

• 우수한 보안 핵심 기술과 품질을 바탕으로 보안 사고에 능동적인 대처

• Total Security Solution 제공으로 보안을 총괄 운영하는 One-stop 시스템 제계 제공

통합보안체계

TMX

차세대 매니저

차세대 TESS TMS 센서 기존 TESS TMS 센서 FPC(Full packet capture)

• 무손실 고신뢰 다면적 기저데이터 수집

• YARA/PCRE, 파일수집, App/서비스탐지, 패킷 저장

• 통합관리 및 인공지능 기반 상관분석

• 정책종합관리, 실시간 view, 상관분석, 포렌식 구현

• 통합 보안방어 체계 구축

• 고객지원 체계 재정립

• 기존 시스템 호환성 유지 및 다면적 분석

• 위협분석, 탐지분석(App, 서비스 기반), 트래픽 분석

차 세 대

위 협 관 리 시 스 템

1 차세대 위협관리시스템 개념(1)

13

• 다면탐지 : 시그니처 기반 탐지 패킷/파일 분석[PCRE / YARA] & Traffic 추이분석

• 다면분석 : 네트워크포렌식, 위험도분석, 공격영향도 분석(Real Traffic / Application / Service)

PCRE 탐지

YARA 탐지

Traffic 탐지

Service 탐지

Application 탐지

다면 탐지

로그통합

Analysis Data

다면 분석

PCRE 탐지분석

YARA 탐지분석

Application 탐지분석

Traffic 탐지분석

Service 탐지분석

1 차세대 위협관리시스템 개념(2)

PCRE나 YARA 등 단순한 시그니처 기반 탐지뿐만 아니라 Traffic 임계 치 탐지 및 저장 후 사후 포랜식, Application별 위협

영향도 분석, Service별 공격영향도 분석 등 다방면의 분석을 수행하여 확도 높은 보안정책을 수립할 수 있도록 하는 개념

PCFRE Data

YARA Data

Application Data

Traffic Data

Service Data

Real Traffic

14

• 대용량 데이터 처리를 위한 분산구조

• 정형 비정형 데이터 처리를 위한 수집기 제공

• 대용량 데이터 분석을 위한 Log 처리기술 활용

• 정형, 비정형 DATA

• 네트워크 트래픽

• Flow DATA 수집

• 다양한 이벤트

• 악성코드 수집

• Full Packet Capture

• 로그 파싱

• Auto-Log Parser

• DATA 검색 및 분석

• File Index

• 통계용 DB

• 상관분석

• 다면분석

• 이벤트 분석

• TOP 분석

• 리포트 분석

• BIG DATA 분석

• 빠른 위협인식

• 수준높은 대응정책수립

• 사용자 편의적인 UI

• 빠른 이벤트/로그 검색

• 시스템 관리

• 보고서 및 통계생성

데이터수집 데이터 관리 및

분석, 저장 분석 관제 대응 및 관리

Collector Analyzer Console Sensor & Agent

1 차세대 위협관리시스템 개념(3)

차세대 위협관리시스템은 고효율의 수집/분석/대응 관리를 위해 다음과 같은 시스템 구조를 적용

15

위협에 대한 다양한 내부/외부의 정보를 수집, 분석하고 기존의 보안솔루션을 유지적으로 결합하여 잠재적인 위협을 탐지하고,

침해사고 시 신속한 대응방법에 대한 프로세스를 제공하는 지능형 통합 위협관리시스템

저장

Data 분류

에이전트 수집

File/DB연동

SNMP

SYSLOG

Product A

Product B

Product C

2 차세대 위협관리시스템 논리구성(1)

16

Big-Data 기반 위협 지능형 분석 TESS CTI 적용

ESM

TESS TMS TESS NFC

• 악성코드 분석 (추출된 파일 기반 파일 및 코드 분석)

악성코드 분석 서비스

Sand Box

• 유해 트래픽 수집 • PCRE 기반 탐지

기존 TESS TAS Sensor

…

• 유해 트래픽 수집 • PCRE기반 & YARA기반 탐지 • 파일 추출 및 평판 기반

신규 TESS TAS Sensor

…

Collector

수집

Manager

분석

CTI

통합

Manager

Big-Data

TESS TMX - TMS 다계층 통합 관리

• 통합정책관리

• 실시간 view

• Big-Data 엔진

• TMX 기반 기술

• 이기종 상관분석

• FPC

• 악성코드분석

TESS CTI

SEIM

파일서버

Full Packet Capture

DB 수집/저장

• 위협분석 • 이상징후 탐지 • 상관관계분석 파일적재

2 차세대 위협관리시스템 논리구성(2)

17

종합적인 위협 관리 수행과 이 기종 장비의 원본로그를 수집하여 다양한 조건의 상관분석 기능을 제공하여 사용자에게

분석중심 모니터링 기능을 제공하는 통합보안관리 솔루션

항목 세부기능

비정형 데이터처리 • 수집된 원본 로그를 가공 없이 정규 표현식으로 원하는 방식으로 로그 포멧을 정의하여 검색 및 분석 기능

로그 검색기능 강화 • 검색된 로그에 대한 상관분석, 2차 연관분석 제공

네트워크 Full Packet Capture • 네트워크에서 미러링 된 모든 트래픽을 수집, 분석, 저장, 검색 할 수 있는 기능을 제공

악성코드 심층분석 • 파일을 분류하여 검사, 격리 및 내부 파일공유를 통한 악성코드 확산 방지

네트워크 추적분석 • 감염 또는 의심 IP/디바이스의 네트워크 추적경로 확인 및 분석

SSL 복호화 탐지기술 • 암호화돼 유입되는 공격을 복호화 탐지 기술

다차원 시나리오분석 • 다양한 공격 시나리오 룰을 설정하여 단계별 이벤트간 상관분석을 통한 분석 기능 제공

IP 평판 분석기능 • IP 주소 목록의 데이터베이스와 연계하여 평판을 실시간으로 평가하여 신뢰도 검증 기능 제공

Big-Data 처리기술 • 원본로그 + 실시간 인덱스 제공 및 저장, 압축 기능제공

무결성 위반탐지 • Agent 설치 시 파일, Port, Process, Device에 대한 무결성 위반 행위 탐지 기능 제공

사용자 편의 대시보드 • 사용자 별 특성에 맞는 대시 보드 생성 기능제공

3 차세대 위협관리시스템 기능

III. 차세대보안관제체계 구성

1. TESS CTI

2. TESS TMX

3. 차세대 TESS TMS

4. TESS NFS

5. TESS AIRTMS

34

1 TESS CTI (Cyber Threat Intelligence)

20

1 TESS CTI (Cyber Threat Intelligence)

1

2

3

4

1

2

3

4

5

4

5

1

2

3

4

5

6

1

2

3

21

TESS TMS

•이벤트 통계생성

•원본로그 및 패킷조회

•정책배포 및 정책관리

TESS NFS

•RAWDATA 수집

•RAWDATA 저장

•RAWDATA 검색

TESS AIRTMS

•실시간 무선 탐지 및 차단

•무선정책관리

•무선로그관리

TESS TMX

• 실시간 통합 이벤트 뷰어

•다계층 정책관리

•통합 원본로그 및 패킷조회

2 TESS TMX (Threat Management eXtension)

22

1

2

3

4

5

6

1

2

3

4

1

2

3

4

5

1

2

3

4

1

2

3

4

5

2 TESS TMX (Threat Management eXtension)

23

Big DATA 기반 대용량 로그 수집분석 대용량 로그

Big DATA 기반 전용 Database를 통한 속도향상 처리속도 향상

하위 센서 탐지 로그의 실시간 뷰 및 집중감시 다양한 위협분석

상위 시스템 정책 하달 및 하위 시스템 통합정책관리 신속한 정책 수립

데이터 시각화 및 다양한 통계데이터의 직관적 UI 제공 직관적인 UI

실시간 이벤트 분석을 위한 UI 제공 실시간 집중감시분석

통합 정책관리 및 정책배포를 위한 통합 데시보드 제공 통합정책 배포관리

이벤트 및 트래픽 정보기반의 로컬 이상징후 등급 제공 이상징후 등급

2 TESS TMX (Threat Management eXtension)

24

단말 사용자 서버그룹

L3

방화벽

IPS

TAP

백본스위치

TAP

TESS TMS Management & Analysis System

TESS TMS Gathering System

(Snort, PCRE)

NEW TESS TMS Gathering System (YARA, File, SSL)

3 차세대 TESS TMS (Threat Management System)

25

1

2

3

4

5

1

2

3

4

1

2

3

1

2

3

4

1

2

3

1

2

3

4

5 5

6

3 차세대 TESS TMS (Threat Management System)

26

Sandbox 연동을 통한 악성코드 탐지 Sandbox

PCRE/YARA/Application 완벽지원 PCRE/YARA

전용 수집카드를 사용한 패킷 누수 최소화 누수최소화

Multi-core/Multi-threading 완벽지원 다중 프로세싱

데이터 시각화 및 다양한 통계데이터의 직관적 UI 제공 직관적인 UI

실시간 이벤트 분석을 위한 UI 제공 실시간 분석 시간 점감

HTTPS RSA기반 복호화 탐지 SSL

Application 탐지를 통한 자산학습 탐지영역확대

3 차세대 TESS TMS (Threat Management System)

27

단말 사용자 서버그룹

활용

L3

방화벽

IPS

TAP

B/B 스위치

TESS NFS

• Rawdata 수집

• Rawdata 저장

• Rawdata 검색

Inbound Traffic Mirroring

TAP

Outbound Traffic Mirroring

DB

TESS TMX

• TESS NFS System 관리

• Rawdata 분석

• 통계 데이터

TESS TMX Management & Analysis System

TESS NFS Gathering System

4 TESS NFS (Network Forensic System)

28

1

2

3

4

5

1

2

3

1

2

1

2

3

4 TESS NFS (Network Forensic System)

29

누수율 제로

최적화된 Multi-Processing

Packet Pumping 기술

HTTP 기반

조건 부합 추출 REST API

HW 직렬확장

용량에 최적화된 설계 Storage 확장

저장용량 최대 3배 확대 데이터 압축

4 TESS NFS (Network Forensic System)

30

❷

❸ ❷

❶

❸

Misconfigured AP

❹

❶ 비인가 단말기 ↔ 인가 AP

❷ 인가 단말기 ↔ 비인가 (Rogue, 외부) AP

❸ Ad-Hoc / Wi-Fi Direct / Mobile AP

❹ Misconfigured AP Beacon Flooding 공격

User Fake AP Legitimate AP

Legitimate beacon signal

Fake beacon signals

❺ Dos

5 TESS AIRTMS (AIR Threat Management System)

31

1

2

3

4

5

1

2

3

4

5

1

2

3

4

5 TESS AIRTMS

802.11 ac 탐지 및 차단 지원

• 802.11 a/b/g/n 무선랜 프로토콜 탐지/차단 기능 지원

• 무선랜 최신 기술인 802.11ac 탐지/차단 기능 지원

고성능 신속,정확한 무선 차단 Ad-hoc 무선단말 탐지 및 차단

• 무선 공격을 시도하는 단말(Station)과 AP간의 L2 Session 에 대하여 인증단계에서 신속하게 탐지하여 해당 Session을 정확하게 차단 (0초 - 4초 이내)

0초~4초

이내 차단!

• 내부 사용자가 Ad-hoc을 설정하여 외부 단말과 연결된 경우 탐지 및 차단 기능 지원

• Ad-hoc 생성시 인가 및 비인가를 구분하여 탐지 및 선별적 으로 차단하는 기능 지원

Ad-hoc을 통한 외부연결

5 TESS AIRTMS (AIR Threat Management System)

센서의 독립운영(장애 시 포함) AP컨트롤러, 인증서버 연동기능 MDM연동기능

• 네트워크에 장애가 발생하여도 WIPS 센서는 기존의 보안 정책을 기반으로 정상 동작

• WIPS 센서 단독 동작 시 약 2일간의 로그 저장 가능

• AP 컨트롤러 연동 시 모든 벤더 지원 (API / SNMP 연동 개발 가능)

• 인가AP 및 인가사용자를 AIRTMS에 자동등록

• 무선단말 사용자가 WIPS 센서구역 진입 시 MDM 정책 및 기능 자동실행

• WIPS 센서에 의한 차단 수행 시 MDM 에이전트를 통해서 차단원인 메시지 전송

서버팜

WIPS센서

인터넷망

WIPS서버

WIPS센서

IV. 차세대보안관제체계 적용방안

1. 관제시스템 고도화방안

2. 통합관제 제품군

3. 통합관제 개념도

4. 통합관제 제품구성

5. 통합관제 시스템구성

6. 악성파일 탐지분석을 위한 구성

구분 AS-IS TO-BE 코닉글로리 제품 군

적용 대상 • 공공 및 공/사기업 관제센터 • 공공 및 공/사기업 관제센터

관심 대상 • 네트워크 위협

• 네트워크 위협 탐지

• 파일기반 위협탐지

• 분석데이터 확보

• 분석용이성 확보

탐지 체계 • 패킷기반

• 패킷기반(Snort, Suricata, 정적)

• 파일기반(APT, 가상화, Sandbox, 동적)

• 파일 추출

• 차세대 지능형 TESS TMS

Rule 형태 • PCRE ( Snort 등 ) • PCRE

• YARA 지원 • 차세대 지능형 TESS TMS

분석 체계

• RawData활용(TMS) • Full Packet 저장 (상세 분석 가능) • TESS NFS

• 각종 이기종장비 event(ESM, 종분) • Big-Data 기반 상관 분석

• Open ICO • TESS TMX/CTI

문제점

• 파일을 통한 악성코드 유포에 취약 ( ex, 한수원 사태 )

• Full Packet 필요 (Rawdata 정보의 부족)

• 각 단위 장비별 성능 이슈

• 제품 구성의 복잡성

(다수의 부수솔루션이 필요)

• 장비별 성능우수

34

1 통합관리 고도화방안

35

2 통합관제 제품군

제품 주요 기능 설명 활용

TESS CTI (Cyber Threat Intelligence)

지능형 보안이벤트 분석(다면분석, 상관분석, Deep Threat분석)

악성코드 분석플랫폼

- 센드박스 파일분석 시스템연동을 통한 의심파일 분석

수집되는 보안Log/이벤트 관리(무결성보장)

이 기종 보안 장비 관제

통합으로 다면/심층분석

TESS TMX (Threat Management eXtension)

통합정책관리와 실시간 관제 편의성 제공

- YARA / PCRE 정책 통합 관리, 실시간 로그 뷰

Elastic Search Engine 탑재

APT솔루션과 연동을 통한 탐지/분석

TESS NFS (Network Forensic System)

Fast Capture (패킷펌핑 기술)

- 무손실 Pumping BD과 Fast Indexing Algorithm를 지원

- 최적화된 다중 프로세싱으로 누수 제로

REST API

- 완벽한 트래픽 가시성으로 정밀한 트래픽 재생과 3rd Party Application 개방형 표준 API 지원

WEB 기반 UI제공

- HW상태 정보 모니터링과 트래픽 검색 및 통계

데이터의 유출방지와 유출경로 파악

침해사고 원인분석 및 추적

APT공격에 대한 탐지 지원

차세대 TMS (Threat Management System)

PCRE + YARA 탐지 시그니처의 확장 (최신 악성코드, C&C, 봇등 탐지)

애플리케이션 트래픽 탐지 및 모니터링

- 주요자산의 접근과 외부접속의 애플리캐이션 트래픽, DNS 트래픽

네트워크 트래픽 내의 파일 추출 및 탐지

내외부 전송되는 모든 파일을 추출 하고 파일 바이너리 패턴(YARA) 지원

사이버보안관제 체계의

주요 솔루션

현재 중앙부처에서 운용 중

TESS AIRTMS (AIR Threat Management

System)

무선기반의 Wi-Fi 탐지 및 차단 지원

- 모든 통신표준 환경에서 탐지/차단(802.11a/b/g/n/ac)

- 자체 특허 기술로 설계된 H/W 및 S/W(최적화된 H/W 및 S/W특허기술 적용)

- Wi-Fi를 사용하여 허가되지 않은 통신을 시도하는 AP와 스테이션(단말기)를 탐지하고 차단

허가받지 않은 무선

기기의 접근을 탐지

차단하여 무선망 보호

Big data 기반 실시간 감시체계 구축

Sand Box

Content & Layer7 Analyze

악성코드 분석결과

PCRE 룰

YARA 룰

PCRE탐지 로그

YARA탐지로그 PCRE 룰 PCRE탐지 로그

PCAP,

PCAP-NG

로그정보 전송

비정형 로그

불법AP 정보

PCRE 룰

YARA 룰

PCRE탐지 로그

YARA탐지로그

36

3 통합관제 개념도

37

4 통합관제 제품구성

Act Analyze Aggregate

대시보드 기 운영중 TMS 센서

정책배포

NFS 센서

TESS NFS Manager

TESS NFS 악성코드

분석 서비스

파일 수집

Sand Box

TESS CTI 차세대 TMS

TMS 로그 파서

비정형 로그 파서

Raw Packet 파서

로그수집모듈

위협상관분석기

트래픽 기반 파일기반 침입탐지

기반

Raw Log 저장

실시간 빅데이터 프로파일

TESS TMX (BiG-Data기반)

차세대 센서

차세대 지능형 매니저

NFS 센서

TESS AIRTMS

AIRTMS 센서

AIRTMS 센서

AIRTMS 매니저

38

5 통합관제 시스템구성

하위 TMS 위협정보 수집

인터넷

추출된 파일로그전송

Router

F/W

TAP

백본

파일수집 스토리지

악성메일 신고시스템

URL링크 첨부파일

저장파일 자동분석

내부사용자

보안관제센터 연계기관 (n개)

차세대 TMS 매니저

악성 파일 탐지 다양한 파일 추출

차세대 TMS 센서

악성코드 상시분석시스템 or 자동분석시스템

URL링크 / 상시분석

악성메일 신고 (.eml)

센서에서 추출된 파일저장

39

6 악성파일 탐지분석을 위한 구성