2015.10.19

기고 | 사용자 패턴 파악으로 데이터 유출 예방 '7가지 수칙'

Leslie K. Lambert | CSO
2015 버라이즌 데이터 유출 조사 보고서(DBIR)에 따르면, 사이버 공격을 받아 불과 몇 분 만에 피해를 입는 경우는 전체 공격의 60%에 달했다. 반면 75%의 경우 보안팀이 공격 사실을 확인하는 데만 보통 며칠씩 걸리는 것으로 드러났다. 이러한 사실은 공격 감지 체계가 약화되고 있음을 시사한다. 버라이즌은 이 문제를 보안업계가 당장, 그리고 앞으로 해결해야 할 중대 과제 중 하나로 규정했다.


사진 출처 : Shutterstock

버라이즌은 보고서에서 보안팀이 사이버 공격을 성공적으로 막아내려면 드웰 타임(dwell time)을 최소화해야 한다고 언급했다. 드웰 타임은 공격이 발생한 시점부터 확인된 시점 사이의 시간을 뜻한다.

버라이즌에 따르면 보안팀이 공격 사실을 뒤늦게 발견하는 주된 이유는 방어 자체에만 집중하기 때문이다. 따라서 보다 효과적이고 참신한 방법으로 사이버 공격을 신속하게 분석할 필요가 있다. 즉 네트워크에서 발생하는 복잡한 활동과 ‘정상적인’ 사이버 활동의 양상을 알아야 한다. 그러기 위해서는 네트워크에서 이뤄지는 모든 활동의 출발점, 즉 사용자의 행동과 권한 또는 기기 보안부터 파악해야 한다.

혹자는 사용자의 활동 파악에 집중해야 하는 이유에 관해 물을 수도 있겠다. 그 이유를 답하자면, 사용자는 보안이라는 사슬에서 가장 약한 연결고리이자, 컴퓨팅 환경과 관련해 최고의 위험 요소이기 때문이다. 

보안팀은 사용자의 접근 방식 및 사용 패턴과 관련해 관찰·분석하는 방식으로 의심스러운 활동을 적극적으로 예방할 수 있다. 초기 위험 신호 감지는 합법적인 계정을 가로채는 내·외부 공격자 등 각종 위협 요소를 예방한다는 측면에서 중요하다.

다음은 사용자의 접근 및 활동을 중심으로 발생하는 공격에 대한 7가지 예방 수칙이다.

1. 로그인 정보와 관련된 모든 보안 데이터를 확인하라
로그인 데이터를 파악함으로써 정상적인 접근 및 활동의 기준을 세울 수 있으며, 동시에 취약점까지 파악할 수 있다.

2. 수집된 데이터 파악 시 애널리틱스 기술을 사용하고, ‘정상적인 행동’에 관해 규정하라
이 과정을 통해 사용자의 의심스러운 행동을 보다 수월하게 방지할 수 있다. 의심스러운 행동에는 고급 권한의 남용, 데이터 침해 등이 속한다.

3. 사용자의 활동과 관련해 지속적인 모니터링을 실시하라
꾸준한 모니터링과 더불어 ‘소속 집단’에 의거해 사용자의 접근 및 사용 패턴을 평가해야 한다. 이 과정을 통해 사용 패턴을 맥락에 맞춰 판단하고, 소속 부서, 프로젝트 팀 등 소속 집단의 사용 패턴과 비교해 ‘외부자’를 색출할 수 있다.

4. 사용 중인 모든 접속 인증 정보(access credentials)를 점검하라
버려진 계정, 공유 계정, 써드 파티 계정, 원격 접속용 계정 등 모든 접속 인증 정보를 점검해야 한다. 평상시에는 주로 중요 데이터, 시스템, 애플리케이션 등에 접근하기 위해 이용되나, 도용당할 경우 데이터 침해로 이어질 수 있다. 공격자들은 접속 인증 정보를 도용해 네트워크에서 들키지 않고 돌아다닌다.

5. 접속 인증 정보를 모니터링하라
점검뿐 아니라 지속적인 모니터링도 필요하다. 네트워크와 음성 및 데이터 채널, 인프라, 컴퓨터 시스템, 기기, 데이터베이스, 애플리케이션 상에서 사용자가 요청하지 않은 접속 인증 정보는 거부 처리돼야 한다. 이중 접속도 주의해야 한다.

6. 고급 계정 관리에 주의를 기울여라
시스템이나 데이터베이스의 관리자 계정, 보안 계정, 기타 기기 관리 계정 등 고급 계정 관리에 신경써야 한다. 계정이 도용당하지 않았는지 항상 확인하고, 도용당했을 경우 신속하게 사용 중단 또는 파기 처리해야 한다.

7. 기밀 정보 및 고급 데이터와 관련된 접근 활동을 분석하라
어떤 사용자의 계정이 고객관리·공급·재무 관련 데이터에 접근을 시도했는지, 접근 허가된 계정인지, 해당 데이터에 접근할 필요가 있는 상황인지 파악해야 한다.

*Leslie K. Lambert는 신원기반 위협탐지 전문기업 구루컬의 최고 보안 및 전략 책임자다. 과거 주니퍼 네트웍스와 썬 마이크로시스템즈의 CISO를 역임한 바 있다. ciokr@idg.co.kr 



2015.10.19

기고 | 사용자 패턴 파악으로 데이터 유출 예방 '7가지 수칙'

Leslie K. Lambert | CSO
2015 버라이즌 데이터 유출 조사 보고서(DBIR)에 따르면, 사이버 공격을 받아 불과 몇 분 만에 피해를 입는 경우는 전체 공격의 60%에 달했다. 반면 75%의 경우 보안팀이 공격 사실을 확인하는 데만 보통 며칠씩 걸리는 것으로 드러났다. 이러한 사실은 공격 감지 체계가 약화되고 있음을 시사한다. 버라이즌은 이 문제를 보안업계가 당장, 그리고 앞으로 해결해야 할 중대 과제 중 하나로 규정했다.


사진 출처 : Shutterstock

버라이즌은 보고서에서 보안팀이 사이버 공격을 성공적으로 막아내려면 드웰 타임(dwell time)을 최소화해야 한다고 언급했다. 드웰 타임은 공격이 발생한 시점부터 확인된 시점 사이의 시간을 뜻한다.

버라이즌에 따르면 보안팀이 공격 사실을 뒤늦게 발견하는 주된 이유는 방어 자체에만 집중하기 때문이다. 따라서 보다 효과적이고 참신한 방법으로 사이버 공격을 신속하게 분석할 필요가 있다. 즉 네트워크에서 발생하는 복잡한 활동과 ‘정상적인’ 사이버 활동의 양상을 알아야 한다. 그러기 위해서는 네트워크에서 이뤄지는 모든 활동의 출발점, 즉 사용자의 행동과 권한 또는 기기 보안부터 파악해야 한다.

혹자는 사용자의 활동 파악에 집중해야 하는 이유에 관해 물을 수도 있겠다. 그 이유를 답하자면, 사용자는 보안이라는 사슬에서 가장 약한 연결고리이자, 컴퓨팅 환경과 관련해 최고의 위험 요소이기 때문이다. 

보안팀은 사용자의 접근 방식 및 사용 패턴과 관련해 관찰·분석하는 방식으로 의심스러운 활동을 적극적으로 예방할 수 있다. 초기 위험 신호 감지는 합법적인 계정을 가로채는 내·외부 공격자 등 각종 위협 요소를 예방한다는 측면에서 중요하다.

다음은 사용자의 접근 및 활동을 중심으로 발생하는 공격에 대한 7가지 예방 수칙이다.

1. 로그인 정보와 관련된 모든 보안 데이터를 확인하라
로그인 데이터를 파악함으로써 정상적인 접근 및 활동의 기준을 세울 수 있으며, 동시에 취약점까지 파악할 수 있다.

2. 수집된 데이터 파악 시 애널리틱스 기술을 사용하고, ‘정상적인 행동’에 관해 규정하라
이 과정을 통해 사용자의 의심스러운 행동을 보다 수월하게 방지할 수 있다. 의심스러운 행동에는 고급 권한의 남용, 데이터 침해 등이 속한다.

3. 사용자의 활동과 관련해 지속적인 모니터링을 실시하라
꾸준한 모니터링과 더불어 ‘소속 집단’에 의거해 사용자의 접근 및 사용 패턴을 평가해야 한다. 이 과정을 통해 사용 패턴을 맥락에 맞춰 판단하고, 소속 부서, 프로젝트 팀 등 소속 집단의 사용 패턴과 비교해 ‘외부자’를 색출할 수 있다.

4. 사용 중인 모든 접속 인증 정보(access credentials)를 점검하라
버려진 계정, 공유 계정, 써드 파티 계정, 원격 접속용 계정 등 모든 접속 인증 정보를 점검해야 한다. 평상시에는 주로 중요 데이터, 시스템, 애플리케이션 등에 접근하기 위해 이용되나, 도용당할 경우 데이터 침해로 이어질 수 있다. 공격자들은 접속 인증 정보를 도용해 네트워크에서 들키지 않고 돌아다닌다.

5. 접속 인증 정보를 모니터링하라
점검뿐 아니라 지속적인 모니터링도 필요하다. 네트워크와 음성 및 데이터 채널, 인프라, 컴퓨터 시스템, 기기, 데이터베이스, 애플리케이션 상에서 사용자가 요청하지 않은 접속 인증 정보는 거부 처리돼야 한다. 이중 접속도 주의해야 한다.

6. 고급 계정 관리에 주의를 기울여라
시스템이나 데이터베이스의 관리자 계정, 보안 계정, 기타 기기 관리 계정 등 고급 계정 관리에 신경써야 한다. 계정이 도용당하지 않았는지 항상 확인하고, 도용당했을 경우 신속하게 사용 중단 또는 파기 처리해야 한다.

7. 기밀 정보 및 고급 데이터와 관련된 접근 활동을 분석하라
어떤 사용자의 계정이 고객관리·공급·재무 관련 데이터에 접근을 시도했는지, 접근 허가된 계정인지, 해당 데이터에 접근할 필요가 있는 상황인지 파악해야 한다.

*Leslie K. Lambert는 신원기반 위협탐지 전문기업 구루컬의 최고 보안 및 전략 책임자다. 과거 주니퍼 네트웍스와 썬 마이크로시스템즈의 CISO를 역임한 바 있다. ciokr@idg.co.kr 

X