[테크칼럼] 내부 보안 위협, 접근통제 솔루션으로 예측하고 대응한다

입력 : 2022-04-18 15:56

증가하는 침해사고, 내부자 위협 예방에 대한 중요성 대두
접근통제 솔루션이 축적한 사용자 접속 및 작업 로그 데이터를 위협 분석의 학습 데이터로 활용

[보안뉴스= 염창주 넷앤드 기획팀 부장] 최근 기업의 기밀 정보를 유출하는 기업 대상 해킹 사고 사례가 증가하고 있다. 그중에서도 국제 사이버 범죄 조직 랩서스(LAPSUS$)의 해킹 공격이 이어지고 있다. 엔비디아, 마이크로소프트, 삼성전자, 옥타(Okta) 등 빅테크 기업을 대상으로 하는 공격뿐만 아니라 보안 관련 업체들의 기밀 정보까지 탈취해 금전을 요구하고 있어 기업들의 피해 날로 커지고 있다.


마이크로소프트가 파악한 정보에 따르면, 랩서스는 ‘계정 탈취’ -> ‘시스템 접근 권한 확보’ -> ‘더 높은 권한의 계정 확보’ -> ‘데이터 유출 및 금전 갈취’의 패턴을 보였다. 최초 계정 탈취를 위해 소셜 엔지니어링 공격을 적극 활용하고 있으며, 다크웹이나 기업 관련자들에게 비용을 지불하고 인증 정보를 확보한다. 확보된 인증 정보는 더 높은 권한의 인증 정보를 확보하는데 사용되며, 결국 타깃 시스템에 접근 후 데이터를 탈취해 금전을 요구한다.

지금도 랩서스는 공격 타깃을 지목하고 타깃에 대한 해킹 공격을 통해 해당 기업의 데이터 유출을 시도하고 있다. 이러한 상황에서 다수의 보안 전문가들은 랩서스에 의한 정보 유출을 방지하기 위해서는 단순한 MFA 사용을 피하고 불필요한 권한 제거, 주요 업무 시스템에 JIT(Just-In-Time 최소 권한 관리) 적용, 임직원의 보안 교육 강화 등의 조치가 필요하다고 조언하고 있다.

이처럼 현재 발생되고 있는 다수의 사례에서 보듯 외부로부터의 단순 공격에 의한 기밀 정보 유출보다는 악의적 목적 또는 실수 등 내부 권한을 가진 자에 의한 기업 기밀 유출 사고가 더욱 빈번하게, 그리고 치명적으로 발생하고 있다. 많은 기업들은 이와 같은 내부 보안 위협을 최소화하기 위해 지속적으로 보안 교육을 진행하거나 위협 분석 및 탐지 솔루션을 도입하는 등의 노력을 기울이고 있다.

그러나 정확한 위협 분석을 위해서는 사실상 기업 내 모든 사용자의 업무 활동과 관련한 엄청난 양의 로그 취합이 선행되어야 한다. 또한, 예측 정확도를 높이기 위해 정제된 데이터를 사용해야 하지만 이러한 데이터 확보 자체가 쉽지 않은 것이 현실이다. 결과적으로 데이터 부족으로 인해 낮은 예측 정확도를 갖게 되므로 내부자 위협에 대한 예측과 선제적인 대응은 결코 쉽지 않다고 할 수 있다.

하지만 의외로 아주 가까운 곳에서 그 데이터를 확보할 수 있는 방법이 있다. 앞서 언급했듯 위협에 대한 예측 정확도를 높이기 위해서는 사용자의 의도를 파악할 수 있는 양질의 데이터가 필수인데, 사실 이러한 데이터는 대부분의 기업에 이미 도입되어 있는 접근통제 솔루션의 로그를 활용하면 도움이 된다.

접근통제 솔루션은 기업 내 주요 업무 시스템에 접근하는 사용자의 권한을 관리하고, 다양한 보안 정책을 통해 작업 행위를 통제하며, 모든 작업 내역을 기록 보관한다. 실제 사용자가 업무 시스템에 접근해 평소 작업하는 행위들이 그대로 기록되어 있는 ‘정제된 데이터 저장소’라 봐도 무방하다는 얘기다.

결국 접근통제 솔루션에 기록되어 있는 사용자의 작업 행위와 관련된 다양한 로그 데이터를 위협 분석 및 탐지 솔루션의 학습 데이터로 활용할 경우 내부 보안 위협에 대한 예측 정확도를 높이는데 유용하게 사용될 수 있다.

이러한 측면에서 봤을 때 다양한 업무 시스템을 지원하고 솔루션 사용에 대한 다양한 로그를 상세하게 남길 수 있는 접근통제 솔루션은 내부 위협 예측과 선제적 대응에 있어 유용하게 활용될 수 있다.

국내에서는 통합 접근통제 및 계정관리 솔루션을 통해 IT 인프라 시스템으로의 불필요한 접근과 작업을 차단하고, 접근 기록 관리, 계정의 생성·수정·삭제와 같은 Life-Cycle과 패스워드 자동 변경 등의 기능을 제공해 정보보안 관련 법규 및 지침에 대응한다.

특히, 통합 접근통제 및 계정관리 솔루션인 HIWARE는 서버, 네트워크, ACS, DB, AD, 클라우드 인프라, WEB, CCTV 등 국내에서 가장 많은 업무 시스템을 지원하는 솔루션으로 레거시 환경과 클라우드 환경을 모두 지원하고 있어 현재 국내외 다수의 대기업 및 공공기관에서 내부 보안관리를 위해 도입해 사용 중이다. 넷앤드는 추후 HIWARE의 접근통제 로그 데이터와 인공지능 기술을 활용한 위협 분석 기술을 개발해 제품화할 계획이라고 밝혔다.
[글_염창주 넷앤드 기획팀 부장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

권준기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  사이버 보안으로 최대의 수익을 거두려면 필요...

• 2

  인공지능 보안을 위한 CISA 로드맵, 어떤...

• 3

  스캐터드스파이더, 1시간 만에 로그인 플랫폼...

• 4

  체코, 군사용·화재진압용·경찰단속용 등 드론...

• 5

  [편집국장의 보안레터] 디지털정부의 민낯, ...

• 1

  인공지능 보안을 위한 CISA 로드맵, 어떤...

• 2

  [편집국장의 보안레터] 디지털정부의 민낯, ...

• 3

  윈도 디펜더에서 발견된 초고위험도 취약점, ...

• 4

  트리고나 랜섬웨어, 고급기술 썼으니 돈 더 ...

• 5

  [테크칼럼] 자동차 사이버보안 인증 ③ SD...

• 1

  행정전산망 마비 사태 왜 일어났나? 네트워크...

• 2

  미국의 CISA와 영국의 NCSC, 안전한 ...

• 3

  행정전산망 문제는 ‘라우터 포트 이상’......

• 4

  [속보] 정부 전산망 또 멈춰... 모바일 ...

• 5

  국가 행정전산망 마비를 불러온 ‘업데이트’ ...