2017.01.19

실시간 위협 탐지가 유달리 필요해지는 순간들

Ryan Francis | CSO
보안 위협 요소는 가능한 한 빨리 탐지해내는 것이 좋겠지만, 그건 어디까지나 이상적인 이야기일 뿐이다. 대부분 위협은 평균적으로 수 개월에 걸친 잠복기를 가지며 그 사이 사이버 범죄자들은 네트워크를 살피고 중요 정보를 추출해 낼 충분한 시간을 보장받는다. 하지만 그 중에서도 특히 더 실시간 위협 탐지 시스템이 필요한 경우가 있다.

언제 닥칠지 모르는 보안 위협에 대비해 현재 구비하고 있는 도구 및 전략을 점검해 보는 것은 결코 나쁜 생각이 아니다. 엘라스틱(Elastic)의 보안시장 및 제품 디렉터 마이크 파케트는 기관들을 가장 취약하게 만들 수 있는 보안 위협과 그러한 위협이 닥쳤을 때 어떻게 대처해야 할 지를 소개한다.

사물 인터넷 도입 증가
네트워크에 연결된 기기라면 그 어떤 것이든 해커의 엔트리 포인트가 될 수 있다. 특히 사물인터넷을 활용하는 기업들이 늘어남에 따라 새로운 기기를 통해 접근해오는 잠재적 위협, 공격을 식별해 낼 준비가 되어있어야 한다.

사물인터넷을 활용하려는 기업은 강력한 액세스 통제 정책을 통해 사물 인터넷 기기와 내부 네트워크를 분리하도록 네트워크를 재설계할 필요가 있다. 이상 징후 탐지 기술을 통해 IoT 부문에서의 정상 행동과 내부 및 외부 네트워크에서의 정상 행동을 각기 다르게 규정해 놓아야 한다. 지속적인 모니터링만이 비정상적인 네트워크 활동이 발생했을 때 이를 즉각 탐지해 낼 수 있는 방법이다.

새로운 업체 또는 파트너와의 협력
타깃(Target)을 상대로 발생한 대규모 데이터 유출사건은 잘 알려져 있듯 해커들이 HVAC업체를 통해 네트워크 액세스를 얻었기 때문에 가능했다. 새로운 업체 또는 파트너에게 네트워크 액세스를 부여할 때는 반드시 비정상적 활동이 발생하지 않는지 유의해 지켜봐야 한다. 몇 가지 단계를 통해 이러한 감시를 더욱 효과적으로 할 수 있다.

우선, 업체/파트너에게 부여된 액세스권과 관련한 보안 및 관리의 우선 순위를 정하고 계약이 만료될 경우 지체 없이 부여했던 액세스 권한을 수거해야 한다. 또한 벤더 VPN 액세스를 공용 IP주소로 제한하고 그 목록을 내부적으로 유통한다. 마지막으로, 애널리틱스를 활용해 이들 IP주소에서 수상한 활동이 일어나지 않는지를 거의 실시간으로 모니터링 한다.

인수 합병
독립적으로 활동해 오던 두 기업의 네트워크를 통합한다는 것은 상당한 리스크를 수반하는 일이다. 해커들은 네트워크상에서 들키지 않고 몇 달씩 잠복해 있다. 만일 A 회사의 네트워크에 해커가 숨어 있었는데 인수합병 과정에서 아무런 대책 없이 B 회사의 네트워크와 통합이 된다면, 해커는 가만히 앉아서 두 회사 네트워크 양쪽으로 액세스할 수 있게 된다.

이런 상황을 피하기 위해서는 철저한 준비만이 답이다. 양 기업의 인프라에 대한 네트워크 및 보안 평가를 진행하고, 애널리틱스를 활용해 네트워크상의 정상 행동 범위를 규정해둔다. 또 가능한 한 빠른 시일 내에 통합 네트워크 데이터를 로그 해 비정상적 행동을 모니터링 할 수 있도록 해야 한다.

새로운 공간으로의 이동
새로운 사무실이 됐든, 소매업체 및 패스트푸드점의 프론트 데스크가 됐든, 사무실의 위치 및 인프라스트럭처가 이동할 때는 취약점도 함께 발생한다. 이런 상황에서는 표준적인 보안 대처 외에도, 집단 분석(population analysis)을 수행할 수 있는 애널리틱스를 활용해 네트워크상에 노출되는 정보는 없는지, 기존 위치들에서 목격되지 않았던 새로운 네트워크 및 어플리케이션 로그 데이터상의 행동이 관찰되지는 않는지를 파악할 필요가 있다.

소프트웨어 패치 및 업데이트
복잡한 환경에서는 일정 부분에 일어난 변화가 다른 부분에까지 영향을 미치기도 한다. 보안 환경에서는 이러한 변화가 해커들에게 취약점을 노출시키는 계기가 되기도 한다. 윈도우 10 업데이트가 그 좋은 예이다.

성공적인 소프트웨어 패치나 업데이트는 IT 절차가 얼마나 잘 구축되어 있느냐에 달렸다. IT보안팀과 업그레이드 계획에 관해 소통해야 하는 이유다. 또한 업그레이드 이후 각별히 보안 로그에 주의를 기울일 필요가 있는 ‘주의 기간’을 미리 정해두어야 한다.

하드웨어 업그레이드
여기서 말하는 하드웨어는 서버에서부터 모바일 기기까지 넓은 범주를 포함한다. 네트워크에 새 하드웨어를 추가했을 때 우리가 모르는 많은 일들이 일어난다. 문제는 우리가 모르는 이런 영역에서 보안 피해가 발생할 수 있다는 사실이다.

무엇보다 서버 상에서 구동되는 모든 소프트웨어를 확실하게 업데이트 및 패치 해 두는 것이 중요하다. 하드웨어 및 소프트웨어와 관계된 취약점 중 알려진 것들을 모두 확인하고, 소프트웨어를 업그레이드 할 때와 마찬가지로, 하드웨어 업그레이드에 있어서도 IT 보안팀의 조언을 구해야 한다. 또한 될 수 있으면 업그레이드 이후에는 자동화 애널리틱스를 활용해 보안 로그 등에 각별히 유의하는 ‘주의 기간’을 따로 갖는다.

신입사원
대부분 기업들은 일정기간의 연수를 거치거나 공채를 하는 방식으로 신입사원 수십 명을 한꺼번에 채용한다. 이것은 곧 예측하기 어려운, 회사 매뉴얼에 익숙하지 않은 행동 패턴을 지는 수십 명의 직원과 그들의 기기가 네트워크에 액세스하게 된다는 의미이기도 하다. 그리고 이런 사건은 당연하게도 (계획적이든, 우연에 의해서든) 해킹이나 데이터 유출의 위험을 증가시킨다.

이런 문제 해결을 위한 첫 단계는 우선 회사의 보안 정책과 IT보안 규정에 대해 철저한 교육을 진행하는 것이다. 또 입사 때 뿐만이 아니라 향후 주기적으로 관련 교육을 실시한다. 또 사용자 행동 분석(UBA, user behavior analytics)을 활용해 새로운 유저들의 행동 패턴을 분석하고 이들의 보안 리스크를 평가한다.

퇴사 직원
정리해고나 구조조정, 사퇴처럼 직원들이 비자발적으로 회사를 떠나게 될 경우 회사와 마찰을 빚는 경우도 있고, 기업의 데이터, 네트워크, 어플리케이션에 익숙한 직원들이 악의를 가지고 이를 이용해 보안 위협을 초래할 가능성도 높아진다.

이렇게 민감한 시기에는 신원 액세스 매니지먼트(IAM, identity access management)를 활용할 필요가 있다. 온프레미스와 클라우드 기반 모든 리소스에 대한 액세스를 차단하고, 업그레이드 후 주의 기간을 지정해 자동 이상징후 탐지 테크놀로지를 통해 보안 로그 등을 평소보다 꼼꼼히 살펴야 한다.  editor@itworld.co.kr



2017.01.19

실시간 위협 탐지가 유달리 필요해지는 순간들

Ryan Francis | CSO
보안 위협 요소는 가능한 한 빨리 탐지해내는 것이 좋겠지만, 그건 어디까지나 이상적인 이야기일 뿐이다. 대부분 위협은 평균적으로 수 개월에 걸친 잠복기를 가지며 그 사이 사이버 범죄자들은 네트워크를 살피고 중요 정보를 추출해 낼 충분한 시간을 보장받는다. 하지만 그 중에서도 특히 더 실시간 위협 탐지 시스템이 필요한 경우가 있다.

언제 닥칠지 모르는 보안 위협에 대비해 현재 구비하고 있는 도구 및 전략을 점검해 보는 것은 결코 나쁜 생각이 아니다. 엘라스틱(Elastic)의 보안시장 및 제품 디렉터 마이크 파케트는 기관들을 가장 취약하게 만들 수 있는 보안 위협과 그러한 위협이 닥쳤을 때 어떻게 대처해야 할 지를 소개한다.

사물 인터넷 도입 증가
네트워크에 연결된 기기라면 그 어떤 것이든 해커의 엔트리 포인트가 될 수 있다. 특히 사물인터넷을 활용하는 기업들이 늘어남에 따라 새로운 기기를 통해 접근해오는 잠재적 위협, 공격을 식별해 낼 준비가 되어있어야 한다.

사물인터넷을 활용하려는 기업은 강력한 액세스 통제 정책을 통해 사물 인터넷 기기와 내부 네트워크를 분리하도록 네트워크를 재설계할 필요가 있다. 이상 징후 탐지 기술을 통해 IoT 부문에서의 정상 행동과 내부 및 외부 네트워크에서의 정상 행동을 각기 다르게 규정해 놓아야 한다. 지속적인 모니터링만이 비정상적인 네트워크 활동이 발생했을 때 이를 즉각 탐지해 낼 수 있는 방법이다.

새로운 업체 또는 파트너와의 협력
타깃(Target)을 상대로 발생한 대규모 데이터 유출사건은 잘 알려져 있듯 해커들이 HVAC업체를 통해 네트워크 액세스를 얻었기 때문에 가능했다. 새로운 업체 또는 파트너에게 네트워크 액세스를 부여할 때는 반드시 비정상적 활동이 발생하지 않는지 유의해 지켜봐야 한다. 몇 가지 단계를 통해 이러한 감시를 더욱 효과적으로 할 수 있다.

우선, 업체/파트너에게 부여된 액세스권과 관련한 보안 및 관리의 우선 순위를 정하고 계약이 만료될 경우 지체 없이 부여했던 액세스 권한을 수거해야 한다. 또한 벤더 VPN 액세스를 공용 IP주소로 제한하고 그 목록을 내부적으로 유통한다. 마지막으로, 애널리틱스를 활용해 이들 IP주소에서 수상한 활동이 일어나지 않는지를 거의 실시간으로 모니터링 한다.

인수 합병
독립적으로 활동해 오던 두 기업의 네트워크를 통합한다는 것은 상당한 리스크를 수반하는 일이다. 해커들은 네트워크상에서 들키지 않고 몇 달씩 잠복해 있다. 만일 A 회사의 네트워크에 해커가 숨어 있었는데 인수합병 과정에서 아무런 대책 없이 B 회사의 네트워크와 통합이 된다면, 해커는 가만히 앉아서 두 회사 네트워크 양쪽으로 액세스할 수 있게 된다.

이런 상황을 피하기 위해서는 철저한 준비만이 답이다. 양 기업의 인프라에 대한 네트워크 및 보안 평가를 진행하고, 애널리틱스를 활용해 네트워크상의 정상 행동 범위를 규정해둔다. 또 가능한 한 빠른 시일 내에 통합 네트워크 데이터를 로그 해 비정상적 행동을 모니터링 할 수 있도록 해야 한다.

새로운 공간으로의 이동
새로운 사무실이 됐든, 소매업체 및 패스트푸드점의 프론트 데스크가 됐든, 사무실의 위치 및 인프라스트럭처가 이동할 때는 취약점도 함께 발생한다. 이런 상황에서는 표준적인 보안 대처 외에도, 집단 분석(population analysis)을 수행할 수 있는 애널리틱스를 활용해 네트워크상에 노출되는 정보는 없는지, 기존 위치들에서 목격되지 않았던 새로운 네트워크 및 어플리케이션 로그 데이터상의 행동이 관찰되지는 않는지를 파악할 필요가 있다.

소프트웨어 패치 및 업데이트
복잡한 환경에서는 일정 부분에 일어난 변화가 다른 부분에까지 영향을 미치기도 한다. 보안 환경에서는 이러한 변화가 해커들에게 취약점을 노출시키는 계기가 되기도 한다. 윈도우 10 업데이트가 그 좋은 예이다.

성공적인 소프트웨어 패치나 업데이트는 IT 절차가 얼마나 잘 구축되어 있느냐에 달렸다. IT보안팀과 업그레이드 계획에 관해 소통해야 하는 이유다. 또한 업그레이드 이후 각별히 보안 로그에 주의를 기울일 필요가 있는 ‘주의 기간’을 미리 정해두어야 한다.

하드웨어 업그레이드
여기서 말하는 하드웨어는 서버에서부터 모바일 기기까지 넓은 범주를 포함한다. 네트워크에 새 하드웨어를 추가했을 때 우리가 모르는 많은 일들이 일어난다. 문제는 우리가 모르는 이런 영역에서 보안 피해가 발생할 수 있다는 사실이다.

무엇보다 서버 상에서 구동되는 모든 소프트웨어를 확실하게 업데이트 및 패치 해 두는 것이 중요하다. 하드웨어 및 소프트웨어와 관계된 취약점 중 알려진 것들을 모두 확인하고, 소프트웨어를 업그레이드 할 때와 마찬가지로, 하드웨어 업그레이드에 있어서도 IT 보안팀의 조언을 구해야 한다. 또한 될 수 있으면 업그레이드 이후에는 자동화 애널리틱스를 활용해 보안 로그 등에 각별히 유의하는 ‘주의 기간’을 따로 갖는다.

신입사원
대부분 기업들은 일정기간의 연수를 거치거나 공채를 하는 방식으로 신입사원 수십 명을 한꺼번에 채용한다. 이것은 곧 예측하기 어려운, 회사 매뉴얼에 익숙하지 않은 행동 패턴을 지는 수십 명의 직원과 그들의 기기가 네트워크에 액세스하게 된다는 의미이기도 하다. 그리고 이런 사건은 당연하게도 (계획적이든, 우연에 의해서든) 해킹이나 데이터 유출의 위험을 증가시킨다.

이런 문제 해결을 위한 첫 단계는 우선 회사의 보안 정책과 IT보안 규정에 대해 철저한 교육을 진행하는 것이다. 또 입사 때 뿐만이 아니라 향후 주기적으로 관련 교육을 실시한다. 또 사용자 행동 분석(UBA, user behavior analytics)을 활용해 새로운 유저들의 행동 패턴을 분석하고 이들의 보안 리스크를 평가한다.

퇴사 직원
정리해고나 구조조정, 사퇴처럼 직원들이 비자발적으로 회사를 떠나게 될 경우 회사와 마찰을 빚는 경우도 있고, 기업의 데이터, 네트워크, 어플리케이션에 익숙한 직원들이 악의를 가지고 이를 이용해 보안 위협을 초래할 가능성도 높아진다.

이렇게 민감한 시기에는 신원 액세스 매니지먼트(IAM, identity access management)를 활용할 필요가 있다. 온프레미스와 클라우드 기반 모든 리소스에 대한 액세스를 차단하고, 업그레이드 후 주의 기간을 지정해 자동 이상징후 탐지 테크놀로지를 통해 보안 로그 등을 평소보다 꼼꼼히 살펴야 한다.  editor@itworld.co.kr

X