2016.01.29

기고 | 크리덴셜 부정 사용 찾아내는 '사용자 행동 분석'

Idan Tendler | Network World
*본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤다. 그러나 벤더의 시각이 일부 남아 있을 수 있다.


이미지 출처 : Thinkstock

거의 모든 데이터 누출 사건은 정상적인 로그온 크리덴셜(Credential)을 사용해 이뤄진다. 이런 ‘내부자 위협’을 막으려면 도난 당한 크리덴셜을 범죄자들이 사용할 때 이를 감지할 수 있는 능력이 필요하다. 안타깝게도 전통적인 네트워크 보안 툴은 이런 위협을 식별하거나 완화하는데 효과적이지 못하다. 이런 목적을 위해 새로운 사용자 행동 분석 솔루션이 개발됐으며 실효성이 입증되고 있다.

‘내부자 위협’이라는 말을 들으면, 일반적으로 기업 데이터 접근 권한이 있는 악의적인 직원이나 범죄 의도가 있는 계약직, 또는 협력사 등을 떠올리게 된다. 하지만 이 말은 넓은 의미로 볼 때 정상적인 직원 및 내부자의 로그온 크리덴셜이나 권한을 악용하는 위협과 공격을 의미한다.

직원이나 다른 내부자의 데이터 누출은 대부분 추적할 수 있다. 반면, 외부의 해커, 범죄 조직, 반대 정부, 경쟁사, 핵티비스트(Hacktivist)에 의해 발생한 데이터 누출 사고의 경우 대개 좀더 심각해진다. 이런 범죄자들의 경우 내부자는 아니더라도 관리 권한을 항상 가질 수 있는 내부자의 로그온 크리덴셜을 탈취해 시도할 수 있다. 이 목표를 달성하고 나면 권한을 가진 내부자로 위장해 시스템에 침투한 다음 원하는 정보를 복사한다.

외부자건 내부자건 누구의 소행인지간에 불법적이거나 부주의한 내부자 로그온 크리덴셜 또는 권한 사용은 거의 모든 사이버범죄의 공통 분모라 할 수 있다. 또 관련된 모든 위험을 내부자 위협으로 볼 수 있다.


내부자 위협에 대한 정의는 포괄적이다. 하지만 사이버범죄를 예방하려면 로그온 크리덴셜 사용 내역 및 사용자 활동과 관련된 다양한 활동을 모니터링 해야 한다. 이제, 도난 당한 크리덴셜 사용이나 기타 승인받지 않은 의심스러운 내부자 위협을 나타내는 좀더 보편적인 행동에 대해 알아보도록 하자. 사용자 행동 분석 솔루션이라면, 다음의 것들을 감지할 수 있어야 한다.

* 의심스러운 지리 위치 시퀀스. 많은 사용자들이 집, 호텔, 공항 키오스크, 위성 사무실, 고객 위치 등 여러 원격지에서 일한다. 원격지에서 로그온하기 위해 계정을 사용할 때 기업들은 접속자가 정상적인 사용자인지 아니면 유효한 사용자 크리덴셜을 확보한 원격 공격자인지 파악해야 한다. 접속을 시도하는 각각의 지리 위치를 모니터링하고 다른 위치에서 접속한 후 물리적으로 가능한 시간이 흐른 후에 접속하는지 여부를 검증할 뿐 아니라 정상적인 계정 소유자의 정상적인 행동이 무엇인지 확인하는 것이 원격에 있는 해커가 사용자 크리덴셜을 훔쳐 사용하고 있는지 여부를 판단하는데 필수적이다.
 
* 해킹된 서비스 계정. 운영체제와 다양한 애플리케이션이 서비스 계정을 이용해 자동화된 백그라운드(Background) 작업을 수행한다. 일반적으로 모니터링을 거치지 않는 이런 계정은 접속 권한이 높고 고격과 해킹의 위험이 항상 존재한다. 그 활동을 모니터링하여 승인되지 않은 시스템에 접근하거나 승인되지 않은 수신인에게 데이터를 전송하지 않도록 해야 한다.




2016.01.29

기고 | 크리덴셜 부정 사용 찾아내는 '사용자 행동 분석'

Idan Tendler | Network World
*본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤다. 그러나 벤더의 시각이 일부 남아 있을 수 있다.


이미지 출처 : Thinkstock

거의 모든 데이터 누출 사건은 정상적인 로그온 크리덴셜(Credential)을 사용해 이뤄진다. 이런 ‘내부자 위협’을 막으려면 도난 당한 크리덴셜을 범죄자들이 사용할 때 이를 감지할 수 있는 능력이 필요하다. 안타깝게도 전통적인 네트워크 보안 툴은 이런 위협을 식별하거나 완화하는데 효과적이지 못하다. 이런 목적을 위해 새로운 사용자 행동 분석 솔루션이 개발됐으며 실효성이 입증되고 있다.

‘내부자 위협’이라는 말을 들으면, 일반적으로 기업 데이터 접근 권한이 있는 악의적인 직원이나 범죄 의도가 있는 계약직, 또는 협력사 등을 떠올리게 된다. 하지만 이 말은 넓은 의미로 볼 때 정상적인 직원 및 내부자의 로그온 크리덴셜이나 권한을 악용하는 위협과 공격을 의미한다.

직원이나 다른 내부자의 데이터 누출은 대부분 추적할 수 있다. 반면, 외부의 해커, 범죄 조직, 반대 정부, 경쟁사, 핵티비스트(Hacktivist)에 의해 발생한 데이터 누출 사고의 경우 대개 좀더 심각해진다. 이런 범죄자들의 경우 내부자는 아니더라도 관리 권한을 항상 가질 수 있는 내부자의 로그온 크리덴셜을 탈취해 시도할 수 있다. 이 목표를 달성하고 나면 권한을 가진 내부자로 위장해 시스템에 침투한 다음 원하는 정보를 복사한다.

외부자건 내부자건 누구의 소행인지간에 불법적이거나 부주의한 내부자 로그온 크리덴셜 또는 권한 사용은 거의 모든 사이버범죄의 공통 분모라 할 수 있다. 또 관련된 모든 위험을 내부자 위협으로 볼 수 있다.


내부자 위협에 대한 정의는 포괄적이다. 하지만 사이버범죄를 예방하려면 로그온 크리덴셜 사용 내역 및 사용자 활동과 관련된 다양한 활동을 모니터링 해야 한다. 이제, 도난 당한 크리덴셜 사용이나 기타 승인받지 않은 의심스러운 내부자 위협을 나타내는 좀더 보편적인 행동에 대해 알아보도록 하자. 사용자 행동 분석 솔루션이라면, 다음의 것들을 감지할 수 있어야 한다.

* 의심스러운 지리 위치 시퀀스. 많은 사용자들이 집, 호텔, 공항 키오스크, 위성 사무실, 고객 위치 등 여러 원격지에서 일한다. 원격지에서 로그온하기 위해 계정을 사용할 때 기업들은 접속자가 정상적인 사용자인지 아니면 유효한 사용자 크리덴셜을 확보한 원격 공격자인지 파악해야 한다. 접속을 시도하는 각각의 지리 위치를 모니터링하고 다른 위치에서 접속한 후 물리적으로 가능한 시간이 흐른 후에 접속하는지 여부를 검증할 뿐 아니라 정상적인 계정 소유자의 정상적인 행동이 무엇인지 확인하는 것이 원격에 있는 해커가 사용자 크리덴셜을 훔쳐 사용하고 있는지 여부를 판단하는데 필수적이다.
 
* 해킹된 서비스 계정. 운영체제와 다양한 애플리케이션이 서비스 계정을 이용해 자동화된 백그라운드(Background) 작업을 수행한다. 일반적으로 모니터링을 거치지 않는 이런 계정은 접속 권한이 높고 고격과 해킹의 위험이 항상 존재한다. 그 활동을 모니터링하여 승인되지 않은 시스템에 접근하거나 승인되지 않은 수신인에게 데이터를 전송하지 않도록 해야 한다.


X