자료실

내부자 위협 탐지에 대해 알아야 할 모든 것 – 2부


Quick Overview 

계정 잠김, 로그인 실패, 대량의 데이터 전송 시도, 비밀번호 변경 시도 등은 내부자 위협을 나타내는 신호일 수 있습니다. 특정 개인 또는 그룹에 일상적이지 않은 행동도 마찬가지입니다. 다양한 유형의 내부자 위협을 탐지하기 위해서는 UBA(User Behavior Analytics)나 AD 감사 솔루션이 필요합니다. 만일의 상황에 대비하기 위한 백업 및 복구 전략도 중요합니다. 


내부자 위협은 규모에 관계없이 모든 조직에 심각한 위험입니다. ‘내부자 위협 탐지에 대해 알아야 할 모든 것 – 1부’에서는 내부자 위협의 종류와 내부자 위협에 대처하는 것이 왜 중요한지 살펴보았습니다. 여기서는 내부자 위협을 탐지하는 방법과 방지하기 위한 베스트 프랙티스를 알아봅니다.  


내부자 위협을 나타내는 신호 

조직에는 단순한 내부자 위협 탐지가 아니라 즉각적이고 신뢰성 있는 내부자 위협 탐지가 필요합니다. 사고를 탐지하고 통제하는 데 걸리는 시간이 길어질수록 비용이 발생할 가능성도 높아집니다. 잘 살펴봐야 할 중요한 신호는 다음과 같습니다.  


누구에게나 일상적이지 않은 행동 

효과적인 내부자 위협 탐지 전략은 무엇보다 의심스러운 활동을 모니터링해야 합니다. 의심스러운 활동이란 무엇일까요? 우선 다음과 같은 활동을 유심히 모니터링하는 것이 좋습니다. 

 


  • 계정 잠김 

  • 여러 번의 로그인 시도 실패(이후에 성공했다 하더라도) 

  • 많은 양의 데이터를 네트워크 외부로 전송하려는 시도 

  • 알 수 없는 USB 디바이스 연결 

  • 금지된 URL 액세스 시도 

  • 정상 영업 시간을 벗어난 로그온 이벤트 

  • 알려진 의심스러운 지역 또는 비즈니스 거점이 없는 위치에서의 액세스 

 

한 시스템에서 다른 시스템으로 횡적 이동하거나 계정의 권한을 승격하기 위한 일반적인 해킹 툴 사용을 나타내는 뚜렷한 신호도 있습니다. 예를 들면 다음과 같습니다.  


  • 비밀번호 해시가 저장된 NTDS.dit 파일의 복사본을 획득하려는 시도 

  • 과도한 LDAP 쿼리 

  • 수명이 긴 커버로스 티켓 사용(골든 티켓 공격의 신호) 

  • 레지스트리, 보안 그룹, 그룹 정책 또는 소프트웨어 구성과 같은 민감한 IT 리소스를 수정하려는 시도 

  • 관리 권한을 사용자 계정에 직접적으로 할당 

  • 새 계정 생성 

  • 권한이 높거나 민감한 계정의 비밀번호를 변경하려는 시도 

 


특정 개인 또는 그룹에 일상적이지 않은 행동 

경보 피로를 방지하려면 특정 개인 또는 그룹의 맥락에서 더 심층적으로 행동을 평가해야 합니다. 예를 들어, 영업팀의 출장이 빈번하다면 이들 담당 지역에 속한 위치에서의 로그온은 예상 가능하므로 해당 지역을 벗어난 곳에서의 로그인만 의심스러운 활동으로 보면 됩니다. 그러나 일반적으로 특정한 한 장소에서만 로그인하는 개인 또는 팀이라면 다른 위치에서의 모든 액세스 시도는 계정 침해 경보를 발령할 만한 신호일 수 있습니다.  


마찬가지로 개인과 팀이 사용하는 데이터와 애플리케이션에도 보통은 일정한 패턴이 있습니다. 사용자가 일상적인 수준보다 훨씬 더 많은 파일을 갑자기 다운로드하거나 팀이 거의 사용하지 않는 콘텐츠에 액세한다면 데이터를 빼돌려 경쟁사에 넘기거나 높은 가격을 제시하는 누군가에게 판매하기 위한 시도임을 의심할 만한 충분한 이유가 됩니다. 부가적인 민감 리소스에 대한 액세스 요청도 내부자 위협을 나타내는 신호일 수 있습니다. 

 

가장 일반적인 내부자 위협 탐지 방법 

내부자 위협 탐지의 핵심은 IT 생태계의 활동 감사, 즉 방대한 양의 이벤트 데이터를 수집, 통합, 정규화, 분석하는 것입니다. 많은 조직이 이를 위해 SIEM(Security Information and Event Management) 솔루션에 투자하지만, 이런 툴은 배포 및 유지에 많은 비용이 들 수 있고 보안팀이 감당하기 어려울 정도로 많은 오탐지 경보를 생성하는 경우가 많습니다. 


더 집중된 내부자 위협 탐지를 위해서는 UBA(User Behavior Analytics)을 통해 정상적인 사용자 행동의 기준을 설정하고 훨씬 더 높은 정확도로 진짜 위협을 가려내는 소프트웨어 솔루션이 필요합니다. 또한 하이브리드 환경 전체를 포괄하고 관련된 많은 핵심 작업을 자동화하는 AD(Active Directory) 감사 솔루션이 필요합니다. 


물론 내부자 위협 탐지 프로그램의 또 다른 핵심 요소는 신속하게 위협을 조사하고 적절히 대응할 수 있는 태세를 갖추는 것입니다. 침해의 진원지가 어디인지, 어떻게 전개되었는지, 정확히 어느 시스템과 데이터가 관련되었는지 빠르게 파악할 수 있어야 합니다. 그러면 신속하게 추가 피해를 막기 위한 단계를 취하고 부적절한 변경 및 기타 활동을 변경하고 개인의 책임 소재를 명확히 가릴 수 있습니다. 


그러나 모든 내부자 위협 탐지에 기술적인 통제가 관여하는 것은 아닙니다. 직원이 적절한 교육을 받지 못했거나 부주의하거나 불만을 느끼고 있음을 나타내는 신호도 살펴야 합니다. 예를 들어, 직원이 다음을 나타내는 징후를 보인다면 잠재적인 보안 위협으로 간주해야 합니다. 

 

  • 실수의 원인이 될 수 있는 과도한 업무 또는 번아웃 

  • 급여 또는 근로 조건에 대한 불만족 

  • 약물 또는 주류 남용 

  • 경제적 어려움 

 


내부자 위협 방지와 복구 

IT 환경 내부의 위협을 신속하게 탐지하는 것도 중요하지만, 애초에 발생하지 않도록 차단하는 것이 더 좋습니다. 또한 변경된 사용자 권한 하나를 신속하게 되돌리는 것이든, 전체 AD 포리스트를 복원하는 것이든 내부자 위협에서 신속하게 복구할 수 있는 역량도 중요합니다. 내부자 위협 탐지를 보완하는 2가지 주요 영역을 간략히 살펴보겠습니다. 


내부자 위협 방지 

내부자 위협의 위험을 완화하려면 IT 환경을 보호하는 베스트 프랙티스를 따르는 것이 중요합니다. 특히 다음과 같이 해야 합니다. 

 

  • 엄격한 최소 권한 원칙 시행 : 최소 권한은 가장 기본적인 사이버보안 베스트 프랙티스입니다. 내부자가 IT 자산에 액세스할 수 없다면 부주의든 악의적이든 데이터를 훔치거나 시스템에 피해를 입힐 수 없습니다. 사용자의 역할에 꼭 필요한 권한만 부여해 각 계정을 프로비저닝하고 할당된 모든 권한을 정기적으로 검토하십시오. 또한 더 이상 필요 없는 계정을 적극적으로 제거해야 합니다. 위협 행위자는 탐지를 피하기 위해 이런 계정을 탈취하려고 시도하는 경우가 많습니다. 


  • 공격 경로 관리 및 완화 시스템 구현 : 각 계정이 현재 보유한 액세스 권한뿐 아니라 계정에서 쉽게 획득할 수 있는 액세스 권한에 대해서도 반드시 생각해야 합니다. 안타깝게도 대부분 IT 환경에서는 악의적 내부자 또는 훔친 자격 증명을 보유한 공격자가 중첩된 그룹 멤버십 등을 용해 일반 사용자에서 도메인 관리자로 권한을 쉽게 승격할 수 있는 경우가 많습니다. 적절한 솔루션을 사용하면 내부자 위협에 따른 위험을 낮추기 위해 대처해야 하는 공격 경로를 파악하고 관문을 식별할 수 있습니다.  


  • 특권 계정에 각별한 주의 : 도메인 관리자, 엔터프라이즈 관리자, 계정 운영자와 같은 그룹은 각 멤버에게 IT 환경에 대한 상당한 특권을 부여하므로 이처럼 높은 권한을 갖는 그룹의 구성원을 최소화하는 것이 중요합니다. 또한 기술적, 절차적 통제 수단을 모두 구현해 관리자의 자격 증명이 사용되는 위치와 방법을 제한하는 것도 중요합니다. 관리자는 자신의 특권 계정을 사용해 워크스테이션은 물론 자신의 개인 컴퓨터에도 로그온하면 안 됩니다. 로그온할 경우 비밀번호 해시가 메모리에 남고 이를 공격자가 훔칠 수 있기 때문입니다. 특권 계정은 안전한 PAW(Privileged Account Workstations)에서만 로그인해야 합니다. 

 

  • 서비스 계정 잊지 않기 : IT 서비스를 실행하기 위해 사용되는 계정은 실제 필요한 수준보다 훨씬 더 높은 특권을 가진 경우가 많으므로 서비스 계정 베스트 프랙티스에 따르도록 하십시오. 특히 정기적으로 이런 계정의 권한을 평가하고, 더 이상 필요 없는 서비스 계정을 삭제해야 합니다. 가능한 한 관리 서비스 계정(Managed Service Accounts, MSA)을 사용하십시오(독립형 MSA(sMSA) 또는 그룹 MSA(gMSA)). MSA는 자동화된 비밀번호 순환 기능을 제공하며, 대화형 사용이 제한되므로 MSA를 침해하는 공격자 관점에서 가치가 제한적입니다. 또한 관리자가 개인 계정을 서비스 계정으로 사용하지 못하도록 해야 합니다. 


  • 그룹 정책 보호 : 관리자는 그룹 정책(Group Policy)을 사용해 도메인 전반에 걸쳐 사용자와 컴퓨터를 관리합니다. 악의적이거나 부주의한 관리자가 GPO(Group Policy Object) 설정을 하나만 수정해도 공격자는 가치 있는 데이터를 손쉽게 훔치고 맬웨어를 배포하고 이후 활동의 증거를 제거할 수 있습니다. 효과적인 그룹 정책 관리에는 GPO를 깔끔하게 정리하고 어디에 연결되어 있는지 파악하고 정기적으로, 그리고 IT 생태계에 중대한 변화가 있을 때마다 신중하게 검토하는 것이 포함됩니다. 또한 모든 변경이 승인되고 정확하도록 보장하기 위한 승인 기반 그룹 정책 워크플로우를 구축해야 하며, 가장 중요한 GPO는 아무도 변경하지 못하도록 차단하는 솔루션을 사용해야 합니다. 


  • 제로 트러스트 여정 시작(또는 지속) : 제로 트러스트 보안 전략은 네트워크 내에 이미 내부자 위협이 있다는 사실을 받아들이는 데서 시작합니다. 선의의 비즈니스 사용자와 관리자라 해도 부주의로 인해 내부자 위협이 될 수 있음을 기억하십시오. 통합 ID 관리, 컨텍스트 기반 MFA(Multi-factor Authentication), 애저 AD 조건부 액세스 정책, 직무 분리(Segregation of Duties, SoD), 네트워크 세그먼트와 같은 제로 트러스트 베스트 프랙티스를 구현함으로써 부주의한, 그리고 악의적인 내부자 위협의 위험을 크게 줄일 수 있습니다. 

 

  • 엔드포인트 보호 : 자격 증명 도용은 엔드포인트에서 시작하는 경우가 많습니다. 엔드포이트 보안에 영향을 미치는 내부자 위협을 완화하는 방법에 대해서는 “변화를 알아야 대처한다” 최신 엔드포인트 관리 트렌드’에서 알아보십시오. 


  • 정기적이고 관련성 있는 사이버보안 교육 실시 : 조직의 모든 사용자가 정기적인 사이버보안 교육에 참여하도록 해야 합니다. 이상적인 교육은 개인의 역할과 관련성이 있는 교육입니다. 예를 들어, 고객 및 파트너에게 정보를 유출하는 사례는 고객이나 파트너를 접할 일이 없는 직원에게는 와닿지 않습니다. 모든 사람에게 의심스러운 활동을 찾아서 보고하는 방법을 알려주고, 시뮬레이션 형태의 피싱 이메일 캠페인과 같은 정기적인 테스트를 통해 교육의 성공 여부를 측정하십시오. 

 


백업 및 복구 

내부자 위협 탐지 및 차단 수단으로 모든 위협에 대처하지 못하는 상황도 생각해야 합니다. 실제로 백업 및 복구는 내부자 위협에 대한 방어뿐 아니라 사이버 회복탄력성(IT 환경을 최대한 가동 상태로 유지하고 재해가 발생할 경우 신속하게 다시 가동 상태로 되돌리는 것)을 위한 핵심적인 축이기도 합니다. 진정한 엔터프라이즈 백업 및 복구 전략을 위해서는 재해 발생 시 개별 객체 및 속성의 빠른 세부적 복원과 전체 포리스트의 신속한 복구, 모두 필요합니다. 


내부자 위협 탐지는 모두의 일 

이 글을 읽기 전까지 내부자 위협 탐지와 차단이 IT 사이버보안팀의 책임이라고만 생각했다면 이제 그런 생각이 달라졌기를 바랍니다. 부주의 관련 사고를 줄이는 데 있어서는 비즈니스 사용자의 역할이 특히 중요합니다. 이들은 사이버보안 교육에 관심을 가져야 하고, 보안 통제를 우회하고자 하는 유혹에 굴복하면 안 됩니다. 보안 통제가 불필요하거나 지나치게 복잡하다고 생각된다면 그에 대한 의견을 제공하십시오. 사이버보안 전문가들은 보안과 생산성 간의 균형 잡기라는 어려운 일을 담당하고 있으며, 일반적으로는 열린 자세로 의견을 청취합니다. 이들은 사용자 요구사항을 충족하기 위한 안전한 접근 방법을 제공할 수 있다면 기꺼이 그렇게 할 것입니다. 그래야 사용자의 우회로 인한 침해 가능성을 줄일 수 있기 때문입니다. 

 

경영진의 역할도 중요합니다. 실제로 사이버보안 중심의 문화를 형성하기 위해서는 자금 지원뿐 아니라 모두가 문제를 진지하게 받아들이는 분위기를 만드는 경영진의 적극적인 지지가 필요합니다. 또한 이들은 IT의 성공을 측정하는 방법을 바꿀 수 있습니다. 너무 많은 조직이 “9×5”, 즉 99.999%의 업타임에 지나치게 집착합니다. 리더는 제대로 된 보안을 구현하기 위한 대가로 약간의 다운타임은 수용하는 문화를 구축해야 합니다.  

 

예를 들어, 제로 데이 위협에 대한 즉각적인 패치가 때로는 불편할 수 있고, 위협에 대한 자동화된 대응은 비즈니스 프로세스를 중단시킬 위험이 어느 정도 있지만 그 정도는 감수해야 합니다. 위험과 혜택을 명확히 전파하고, 리더가 투자하고 후원한 활동이 성공했음을 이해할 수 있는 지표를 제공하는 것은 IT팀의 책임입니다. 조직은 협력을 통해 내부자 위협에 따른 위험을 대폭 낮출 수 있습니다.  

 

내부자 위협 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.  




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB