학생 우회 활동이 K-12 네트워크에서 가장 흔한 위협으로 조용히 떠오르고 있습니다. 악성코드도 아니고, 피싱도 아닙니다. 바로 프록시 우회입니다. 이로 인해 K-12 네트워크 전반에서 악성코드보다 7배 더 많은 차단 활동이 발생하고 있습니다.

학생들은 창의력이 뛰어나고 의욕적이며 점점 더 정교한 도구를 활용하고 있습니다. 오늘날 사용 가능한 우회 방법(프록시 프레임워크, 게임 통합 사이트, 공유 우회 링크, 브라우저 취약점)은 2015년처럼 "프록시를 구글에서 검색하면 된다"는 식의 단순한 해결책이 아닙니다. 이러한 방법들은 진화하고, 확산되고 있으며, 기존의 필터링 방식으로는 점점 더 탐지하기 어려워지고 있습니다.

대부분의 필터는 그것들을 막도록 설계되지 않았습니다.

기존 필터링 방식의 한계는 무엇일까요?

대부분의 콘텐츠 필터링은 URL이나 도메인을 차단 목록과 비교하는 방식으로 작동합니다. 주소가 목록에 있으면 차단하고, 없으면 허용합니다.

우회 시도가 간단했던 시절에는 그러한 접근 방식이 타당했지만, 오늘날 학생들이 사용하는 방법에는 맞지 않습니다.

• 프록시 프레임워크 Ultraviolet, Scramjet, Rammerhead와 같은 테크네튬은 겉보기에 깨끗해 보이는 URL 뒤에 브라우저에서 직접 트래픽을 터널링합니다.
• 게임 통합 플랫폼 Nebula 및 Interstellar와 같이 일반적인 페이지처럼 보이는 곳 뒤에 내장 런처를 호스팅하는 사이트입니다.
• 구글 사이트 학생 네트워크 전반에 걸쳐 우회 링크를 배포하는 데 사용됩니다.
• 확장 프로그램이 설치되지 않은 Chrome 세션 필터 확장 프로그램이 로드되지 않는 브라우저 창을 열어 필터링을 완전히 우회하는 방식입니다.

이것들 중 어느 것도 호스트 이름 수준에서의 우회 시도로 보이지 않습니다. 그게 바로 요점이에요.

정적 규칙은 고정된 위협을 포착합니다. 우회는 끊임없이 변화하는 목표물이며, 그 속도는 점점 빨라지고 있습니다.

URL이 알려주지 않는 것을 감지하기 Tell 당신

페이지의 텍스트를 스캔하는 것만으로는 충분하지 않습니다. 행위 수준에서 우회를 차단하려면 다른 접근 방식이 필요합니다. 즉, 요청이 어디로 가는지뿐만 아니라 브라우저에서 실제로 무엇이 실행되고 있는지 분석해야 합니다.

그게 바로 그거예요 라이트스피드 필터의 새로운 Live Intelligence 기능 하다.

학생이 페이지를 로드하면 Lightspeed Filter™는 실시간으로 페이지를 분석하여 다음과 같은 신호를 평가합니다.

• DOM 구조 및 페이지 구성
• 페이지에서 시작된 네트워크 활동
• 자바스크립트 실행 및 동작
• 코드에 포함된 프록시 라이브러리에는 Ultraviolet 및 Rammerhead와 같은 도구가 있습니다.

이러한 신호들은 알려진 우회 패턴과 비교하여 평가됩니다. 신뢰도가 높은 지표는 즉시 차단을 유발합니다. 신뢰도가 낮은 신호들은 가중치 점수로 누적되어 임계값에 도달할 때까지 유지됩니다.

중요한 점은 분석이 페이지 로드에서 끝나지 않는다는 것입니다. 세션은 전체 과정 동안 지속적으로 모니터링되어 초기 로드 후 동작이 변경되는 지연 또는 동적 회피를 포착합니다. 이는 일부 우회 도구가 초기 필터 검사를 통과할 때까지 의도적으로 의심스러운 동작을 지연시키기 때문에 중요합니다.

그 결과 도메인이나 URL 일치 여부와 관계없이 작동하는 탐지 기능이 구현됩니다.

계층형 보안 모델에 내장됨

우회는 단일 기술로 이루어지는 것이 아니라, 점점 더 정교해지고 변화하는 다양한 공격 기법의 집합체입니다. 이러한 공격 기법은 단순히 페이지 콘텐츠에만 국한되지 않고 브라우저, 운영 체제, 심지어 네트워크 자체까지 대상으로 삼을 수 있습니다.

Live Intelligence는 Lightspeed Filter의 다층적 접근 방식 중 한 계층으로, 다음과 같은 요소들과 함께 작동합니다:

• 제로데이 위협 보호 알려지지 않았거나 새로 등록된 사이트의 경우
• 세분화된 보안 분류 동적 정책 기반 차단을 위해
• ChromeOS 앱 및 기기 보호 확장 기능을 우회하는 위협의 경우
• 기기 내 필터링 및 네트워크 수준 필터링 모든 주요 기기 및 운영 체제에서

각 층은 이전 층이 덮지 못하는 틈을 메워줍니다. 이는 의도적인 것입니다.

실시간 우회 탐지 기능은 Live Intelligence 레이어를 강화하여 프록시 활동이 실행되는 동안 행동 기반으로 식별함으로써 과거에 우회를 피해갔던 방법들을 해결합니다.

시야 확보에 둔탁한 도구가 필요한 것은 아닙니다.

탐지와 차단은 서로 다른 두 가지 제어 방식이며, 이 둘을 분리하는 것이 핵심입니다. 학교는 네트워크에서 무슨 일이 일어나고 있는지 완벽하게 파악해야 합니다. 단순히 활동을 차단하는 것뿐만 아니라, 네트워크를 감사하고, 새로운 위협을 식별하고, 문제가 발생하기 전에 패턴을 이해해야 하기 때문입니다.

Lightspeed Filter의 민감도 제어 기능을 통해 관리자는 정책("완화됨", "보통", "엄격함")에 따라 다양한 사용자 그룹, 학년 또는 교직원에 대한 우회 탐지 수준을 조정할 수 있습니다. 차단은 카테고리 수준에서도 조정 가능하므로 학교는 다양한 위협 유형에 대한 탐지 적용 방식을 정밀하게 제어할 수 있습니다. 예를 들어, 교육구는 프록시 프레임워크를 교육구 전체에서 자동으로 차단하는 동시에 특정 그룹에 대해서는 게임 통합 사이트 차단을 해제하여 필요한 부분에서는 방해를 최소화하면서도 사각지대를 만들지 않을 수 있습니다. 탐지는 모든 카테고리에서 계속 실행되므로 차단이 적용되지 않더라도 콘텐츠가 사라지는 일은 없습니다.

그러한 유연성은 실제로 중요합니다. 목표는 모든 기기를 무차별적으로 잠그는 것이 아닙니다. 이는 IT 및 안전 팀에게 각자의 환경에 맞는 올바른 결정을 내릴 수 있도록 정보와 제어 권한을 제공하기 위한 것입니다.

이것이 여러분의 네트워크에 미치는 영향은 무엇일까요?

프록시 우회 공격은 K-12 네트워크에서 다른 모든 위협 유형을 규모 면에서 앞지르고 있습니다. 학생들이 사용하는 도구는 정교하고 널리 공유되며 기존 필터링을 회피하도록 특별히 설계되었습니다.

이 문제를 해결하려면 브라우저에서 실행되는 내용, 즉 단순히 어떤 주소가 가리키는지뿐만 아니라 행동 수준에서 작동하는 탐지 기능이 필요합니다. Live Intelligence는 Lightspeed Filter에 이러한 우회 탐지 및 차단 기능을 제공합니다.

현재 사용 중인 필터가 주로 URL 또는 도메인 일치에 의존한다면, 필터에 허점이 있습니다. 그리고 바로 그 허점을 통해 우회 시도가 발생합니다. Lightspeed Filter™가 우회 탐지 및 차단 문제를 어떻게 해결하는지 자세히 알아보세요. 필터 우회 방지 페이지.