[내부 위협 방어④] 대표부터 임시직까지 예외 없는 보안 적용해야

홈 > 뉴스 > 뉴스 > 보안

[내부 위협 방어④] 대표부터 임시직까지 예외 없는 보안 적용해야

내부자 위협 낮추기 위한 프로세스 마련해야…체계적인 권한·접근제어 필수

관련기사

[내부 위협 방어①] 공격자, 정상 사용자 위장 침해 시도

[내부 위협 방어②] 정상 프로세스 이용하는 공격자

[내부 위협 방어③] 공격자, AD 탈취해 추가 공격 진행

2019년 09월 19일 08:31:36

김선애 기자

iyamm@datanet.co.kr


▲특권권한관리 솔루션 기업 비욘드트러스트의 보고서에 따르면 설문에 응답한 IT 임원의 64%가 직원의 잘못된 사용 또는 남용 때문에 데이터 유출 사고를 당했다고 생각하고 있었다.(출처: 비욘드트러스트 ‘Privileged Access Threat Report 2019’)

[데이터넷] 내부자에 의한 위협을 미리 알아차리는 것은 쉽지 않다. 주어진 권한 내에서, 장기간에 걸쳐 내부정보를 빼돌려왔다면, 정책에 따라 탐지하는 보안 시스템에서는 감지하지 못한다. 따라서 업무 내에서 이와 같은 위협을 탐지하는 프로세스를 마련하는 것이 좋다.

이글루시큐리티는 내부자 위협에 대응하기 위한 보안 정책으로 다음의 세 가지 원칙을 반드시 지켜야 한다고 조언한다.

1. 데이터 중심 보안 정책을 마련하라

데이터에 대한 가시성과 통제성을 높일 수 있는 보안 방안을 새롭게 모색할 필요가 있다. 기업에서 생성·수집·관리하는 정보가 더 많아질수록, 이에 대한 접근 권한을 가진 임직원들도 비례적으로 증가하고 있다. 기업의 주요 자산이 되는 정보가 무엇인지 정의하고, 어떤 사용자가 이 정보에 접근 가능한지, 정보 접근 권한이 바르게 반영되었는지를 확인할 수 있어야 한다.

2. 보안을 생활화하라

인간적인 실수로 인한 보안 사고를 줄일 수 있도록, 보안이 생활화될 수 있는 방법을 찾는 것이 중요하다. 보안 위협은 특수한 상황에서만 발생하는 것이 아니기 때문에, 평소의 습관과 행동 양식으로부터 문제점을 찾고 개선할 필요가 있다. 악성 메일 예시를 보여주고 이러한 메일을 조심할 것을 당부하기보다는 불시에 악성메일 모의훈련을 실시해 임직원의 평소 행동을 점검하는 것이 효과적일 수 있다. 또한 중요 정보를 다루는 내부자들의 보안 인식 변화를 이끌어야 한다. 소수에 불과한 보안 관리자의 역량에 의존하기보다는 임직원 스스로가 방어막을 형성할 수 있는 보안 문화가 확립되어야 한다.

3. CEO도 예외 없이 강화된 보안 정책을 적용하라

직위 고하를 막론하고 예외 없는 보안 정책을 적용하는 것도 필수다. 내부자에 의한 정보 유출 사고의 상당수가 주요 정보에 대한 접근 권한을 가진 고위급 직원에 의해 일어나고 있기 때문이다. 보안을 중시하는 기업 문화를 확립하기 위해서는 C 레벨 경영인부터 솔선수범해 보안 정책을 준수하는 모습을 보여줄 필요가 있다.

정상 사용자에 의한 리스크 낮춰야

사용자 계정과 권한을 기반으로 통제 정책을 제공하는 IAM은 내부자에 의한 리스크를 완화하기 위한 첫 단계라고 할 수 있다. IAM은 계정관리(IM)와 접근관리(AM)를 통합한 솔루션으로, HR 시스템과 연동해 수시로 변하는 조직변경, 인사이동 내역까지 반영해 사용자의 계정과 접근을 관리한다. 최근 IAM은 클라우드 기반 서비스로 제공돼 클라우드 접근제어와 글로벌 분산 업무 환경도 지원할 수 있다. 또한 사용자 행위 분석 기술을 접목해 정상 권한에 의한 접근이라도 평소와 다른 행위를 감지하고 관리자에게 조치를 취하도록 통보할 수 있다.

IAM과 함께 주목되는 제품이 특권계정관리(PAM) 시스템이다. 시스템의 최고권한을 가진 사람이 실수 혹은 고의로 시스템 침해나 정보유출을 하지 않도록 통제하는 시스템이다. 국내 기업인 넷츠가 기존 자사 솔루션을 정비하는 한편 클라우드 기반 서비스를 출시하면서 적극적인 시장 공략을 선언했다. 넷츠 ‘아이덴티티 매니저’는 인사정보와 외부사용자 계정·권한을 통합 관리하고, 신청·승인·결제를 통해 사용자가 필요로 하는 자원사용 권한을 통제할 수 있다.

퀘스트소프트웨어코리아 역시 PAM 솔루션 ‘원아이덴티티 세이프가드’ 국내 영업을 강화하면서 보안 사업에 박차를 가하고 있다. 이 제품은 머신러닝 기반 사용자 행위 분석을 적용해 관리를 한층 편하게 하면서 중요 시스템 인증 보안을 강화한다.

중요정보 접근 오남용 방지 시스템 필수

정상 권한을 가진 사용자의 접근이라 해도 비정상적으로 자주, 대량의 데이터에 접속한다면 의심해볼 필요가 있다. 그래서 중요 데이터에 대해서는 접속기록을 관리해 비정상 상황을 인지하고 통제하는 기술도 필요하다.

엔시큐어는 국내 통신사와 함께 개발한 ‘엔진PIIAS(eNgenPIIAS)’로 대용량 트래픽 환경에 최적화된 개인정보 접속기록 관리 기술을 제공한다. 이 제품은 대용량 네트워크에서 패턴을 분석하고 오탐을 최소화해 국내외 컴플라이언스를 만족하고 내부 개인정보 흐름을 DB화 할 수 있다.

국내 공공기관은 개인정보를 보관하는 시스템의 접속기록을 관리하는 것이 의무화 돼 있다. 상반기 행정안전부는 고시를 강화해 애플리케이션을 통해 접속하는 3티어 접속 뿐 아니라 DB 서버를 통해 접속하는 2티어 접속까지 관리하도록 했다.

피앤피시큐어의 개인정보 접속기록 관리 솔루션 ‘인포세이퍼’는 DB 접근통제 솔루션 ‘DB세이퍼’의 기술을 탑재해 2티어·3티어 접속 환경을 모두 지원하는 통합 솔루션으로 각광받고 있다. 국내 중 금융·공공기관에 솔루션을 제공하면서 시장을 빠르게 장악하고 있다.

한편 피앤피시큐어는 통합보안 플랫폼 전략 하에 ‘DB 세이퍼’ 제품군에 DB 접근제어와 시스템 접근제어, 계정 접근제어 기술을 통합하고 시장 공략에 나섰다. 통합 DB세이퍼 제품군은 DB에 대한 2티어·3티어 접근을 모두 통제하고 보호할 수 있다. 이 기술은 국내에서 사용되는 모든 클라우드 환경에서도 적용될 수 있다. 더불어 연내 통합보안 플랫폼에 OS 접근통제 솔루션까지 통합해 서버에 대한 접근제어 기능을 하나로 통합할 계획이다.

서버보안(시큐어OS) 솔루션 공급업체들도 통합보안 플랫폼 전략을 전개한다. 서버보안 솔루션 ‘시큐브 토스(Secuve TOS)’를 공급하는 시큐브는 시스템통합 계정권한관리 솔루션‘ 아이그리핀(iGRIFFIN)’과 통합로그관리 솔루션 ‘로그그리핀(LogGRIFFIN)’, 통합보안관리 솔루션 ‘티그리핀(tGRIFFIN)’을 연동해 단일 관리 환경에서 권한에 따른 접근관리와 보안 분석, 모니터링을 제공할 수 있다. 이기종 장비에 대한 단일 통합관리가 가능하며, 대용량 처리 지원 기능으로 대규모 환경에서도 실시간 통제와 분석을 지원한다.