내부 정보 유출 방지 프로세스 구축의 조건

전문가 칼럼입력 :2014/04/29 14:12    수정: 2014/04/29 16:30

한국IBM 박형근 전문위원 phk@kr.ibm.com

최근 금융권 개인정보 유출 사건은 그 동안 기업들의 내부 정보 관리가 얼마나 미흡했는지 여실히 드러내고 있다.

현재 보안 수준은 이미 보안 사고가 발생한 기업과 그렇지 않은 기업으로 나눌 수 있을 정도로 보안 위협과 공격은 지속적으로 발생하고 있다. 이번 카드사와 은행권 고객 정보 유출에서 볼 수 있듯, 최근 정보유출은 특권있는 내부자에 의해 일어나는 양상을 띄고 있다.

이에 따라 정보 리스크 관리 측면에서 내부정보 유출에 대한 실시간 예방, 탐지, 그리고 대응으로 이어지는 3단계의 체계적인 내부정보 유출 방지 필요성이 대두되고 있다. 보다 빠르게 내부정보 유출을 탐지하고 방지할 수 있는, 체계적인 내부정보 관리 체계 및 유출 방지 시스템에 대한 패러다임 변화가 필요하다.

내부 정보 유출 방지를 위한 프로세스 구축에 있어 중요한 요소들에 대해 알아보자.

정보 자산 접근 주체 파악

내부 정보 유출 방지를 위해 가장 먼저 정보 자산에 접근하려는 주체를 식별해야 한다. 내부직원인지, 일정 기간 동안 아웃소싱 혹은 아웃테스킹 업무를 수행하는 협력 회사 직원인지, 외부 혹은 내부직원을 가장한 해커인지, 사람(People)에 대한 식별을 먼저할 필요가 있다. 특히 특권 계정이나 공유 계정과 매핑된 사용자의 경우 더욱 주의깊게 계정 및 권한을 매핑하고 모니터링해야 한다.

IBM 시큐리티 아이덴티티 매니저&롤 매니지먼트(Security Identity Manager and Role Management)와 같은 전사 통합 계정 권한 관리 솔루션은 사용자와 계정 및 권한 매핑을 지원한다.

솔루션의 자동화 수준을 극대화해 비즈니스적으로 필요할 때, 예를 들어 정해진 날짜, 시간과 위치(IP 대역 등) 내에서 정보 자산에 접근할 수 있도록 자동 관리(계정 잠금 혹은 비밀번호 변경 등)하고 정보 자산을 사용하지 않을 경우에는 기본적으로 접근할 수 없도록 통제할 수 있게 된다.

또 출입 통제 시스템과 계정 권한 관리 시스템을 연계해 출근 시에는 정보 자산에 접근할 수 있도록 허용했다가, 퇴근 시에는 자동으로 모든 소유 정보 자산에 접근할 수 없도록 자동 제한할 수 있다.

사용자 위치, 접근하려는 디바이스 종류에 따라 접근할 수 있는 정보자산 종류와 범위도 달라야 한다. 사용자가 정보 자산에 접근하기 위해 필수적으로 해야 할 인증의 경우에도 일반적으로 ID/패스워드 기반 보다는 OTP(One Time Password)나 다른 부가 인증이 더 권장된다.

최근 들어 계정 탈취를 노리는 악성코드의 급증으로 정상적인 인증 절차를 성공적으로 통과한 계정에 대해서도 정상적인 ID인지 계정이 탈취된 ID인지, 그것도 아니면 악성코드에 의해 자동 로그인이 된 계정인지를 식별할 필요가 있다. IBM 시큐리티 트러스티어 핀포인트와 같은 계정 도용 탐지 기술의 도입이 필요하다.

이런 정보자산에 접근하려는 사용자에 대해 식별과 인증, 역할과 권한에 대한 관리 이후에는 실제 사용에 대해서 모니터링하고 이를 분석이 필요하다. 정보 자산을 둘러싼 IT 인프라 내에서 어떤 일이 있어나고 있는지를 한눈에 볼 수 있는 가시성 확보는 대단히 중요하다.

특히 일어나고 있는 모든 일들이 로그나 이벤트로 남겨지지 않기 때문에, 추가적으로 네트워크 패킷을 직접적으로 수집하고 분석을 통해 로그와 이벤트에서 부족한 부분을 보완해야 한다.

IT 인프라 전반에 걸쳐 모든 로그와 이벤트, 네트워크 패킷을 수집해 분석하기 위해서는 대용량 데이터를 실시간으로 수집 및 분석할 수 있는 기술이 필요하다. IBM 시큐리티 큐레이더 SIEM은 모든 로그와 이벤트, 네트워크 전체 패킷 등의 대용량 데이터를 수집 및 분석하는 보안 인텔리전스 시스템이다.

4가지 행위 모니터링 판단 기법

이 시스템을 통해 사용자 행위 모니터링 분석으로 악의적인 행위인지 여부를 판단하고 대응 조치를 수행한다. 사용자 행위 모니터링으로부터 악의적인 행위인지 여부를 판단하는 기법은 대략 4가지로 나눠 볼 수 있다.

첫째는 내부정보 유출 시나리오로 알려진 패턴 기반 분석이다. 정보 유출 위험이 높은 행위들이 로그, 이벤트 혹은 네트워크 패킷을 통해 관련 활동이 탐지되면 자동으로 보안 담당자에게 통보되어 조사할 수 있도록 지원한다.

다음은 트렌드 분석이다. 트렌드 분석이란 사용자의 일반적인 행동 패턴과 사용 정보자산의 양을 평균치로 산출한 후, 경계치 이상 정보 자산에 접근하는 경우 내부정보 유출로 판단하는 것이다.

세 번째는 이상 행위 분석이다. 이상 행위 분석의 범주에 드는 것은 기계적으로 일정 패턴을 보이는 정보 자산 사용 패턴을 주로 탐지한다. 예를 들어 매우 작은 크기의 데이터를 지속적으로 외부로 발송하거나, 데이터베이스를 쿼리하는 데 있어, 순차적으로 지속 쿼리하는 경우 내부정보 유출로 판단한다.

관련기사

네 번째는 인지 컴퓨팅에 의한 학습 분석이다. IBM은 인지 컴퓨팅을 통해 왓슨(Watson)을 정보보호 분야에도 활용해 내부정보 유출을 판단하는 분석 컴퓨팅으로 활용하는 기술을 연구중이다.

IBM은 보안 프레임워크 기반으로 예방, 탐지 및 대응 조치를 통해 내부정보 유출 시나리오의 연결 체인을 끊고, 보다 안전한 정보 자산의 운영과 체계적이고 효과적으로 정보 보안 위험을 관리하도록 지원하고 있다.IBM 보안 프레임워크를 통해 보안 현황을 점검하고 대비할 수 있는 마이크로사이트(www.zdnet.co.kr/biz/ibm/201403)도 운영하고 있다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.