224차 CIOCISO조찬회/ 행위중심 보안 observe IT
일대일 철벽보안을 위한 해법은?
청담정보기술, 행위를 기록해 사고자를 판별한다
“침해사고 상당부분은 데이터 접근자에게 발생한다. 변화 부분에 대한 녹화 기법을 통해 행위자를 가려낸다”
우리는 정보보안을 논의할 때 외부 침입에 신경을 쓰는 경우가 많다. 하지만 최근 들어 내부자로 인한 보안사고도 빈번하게 일어나고 있다. 특히 내부자가 직접 데이터를 다루는 권한이 부여된 자라면 당혹해하지 않을 수 없다.
|
|
|
▲ 청담정보기술 김진용 이사 |
최근 조사에 따르면 내부 침해사고 76%가 내부 데이터 접근자에 의해 발생하고 있는 것으로 나타났다. 특히 69%는 신뢰할 만한 부서에서 발생하고 있다. 제 224차 CIOCISO 조찬회에서는 ‘일대일 철벽보안을 위한 해법’이라는 주제로 권한없는 직원과 협력사에 의해 발생할 수 있는 사고위협을 방지하고 이를 철저히 가려낼 수 있는 방법론이 소개됐다.
청담정보기술의 김진용 이사는 “마음을 먹고 침입하는 행위자를 막아내기는 쉽지 않다. 이직 예정에 있는 직원이나 불만이 있는 직원의 능동적 행위는 더욱 그렇다. 또한 부주의에 의한 침해사고도 파악하기란 여간 어려운 일이 아니다”고 지적했다. 그는 침해사고의 69% 이상이 신뢰할 만한 부서나 그룹에서 종종 발생하고 있으며, 잘못된 권한부여로 인한 사고도 발생하고 있다고 강조했다.
사고 이후에도 로그분석에 의해 침해 사실을 알 수 있지만, 행위자에 대한 판별과 행동의 내용을 파악하기는 어렵다는 것이다.
변경된 부분에만 추적과 저장이 가능
이런 다양한 침해사고를 방지하기 위해서는 ‘자산 인지 프로세스’가 필요하다는 것이 김 이사의 설명이다. 이 프로세스는 사람이 자산에 접근을 했을 때 이를 종합적으로 관리하고 파악하는 방법론을 말한다.
김진용 이사는 “자산인지 프로세스는 행위를 기록한다는 개념이다. 평소와 다르게 변화된 부분만을 녹화하고, 이를 분석해 누가 사용을 했는지 실시간으로 판별할 수 있다”고 말했다. 일종의 비디오 재생 개념으로, 사용자 로그인 이후 벌어지는 행위들을 스크린 캡처를 통해 메타데이터에 저장함으로써 행동의 모든 과정을 면밀히 파악할 수 있다.
한마디로 개발자의 어깨위에 CCTV를 올려놓고 일을 하는 것과 같은 효과를 줄 수 있다. 정보보호부서에서 모든 상태를 파악하고 감찰을 하고 있기 때문에 조심하라는 사전경고의 의미를 줄 수 있다. 따라서 사용자는 이런 상황을 알고, 업무를 진행하면서 정보보호에 주의를 기울일 수 있다. 결국에는 업무 집중도를 높일 수 있는 효과를 준다.
또한 변경된 부분에 대해서만 추적과 저장이 가능하기 때문에 기존 시스템에 설치를 하더라도 부하나 속도에 전혀 지장을 주지 않는다. 김진용 이사는 “일종의 CCTV 스티커 개념이다. 인지 단계에서 본인이 감시를 받고 있다는 것을 알 수도 있어, 오히려 미연에 사고를 방지하는 효과도 크다”고 설명했다.
행위 인지에 따라 녹화가 시작되는 것은 사적인 메일이나 쇼핑 행위 등으로, 패스워드가 입력되는 순간 작동하게 된다. 변경된 부분에 대한 그림을 연속적으로 볼 수 있기 때문에 추적과 분석이 용이하다. 보안 실행은 패스워드가 입력됨과 동시에 사용자에게 메시지가 전달되면서 확인 과정이 이뤄진다. 응답이 없으면 바로 차단에 들어간다.
행위자가 패스워드 도용 이후, 접속을 알 때 자동으로 행위자에게 메일이 통보되어 응답이 없으면 차단하게 되어 사고를 미연에 방지할 수 있다. 원격에서 업무를 보게 되는 경우, 응답을 하게 되면 정상적인 업무 행위임을 판별해 차단을 하지 않는다. 김진용 이사는 “자사의 솔루션은 사고 발생시 원인에 대한 부분을 명확하게 파악할 수 있기 때문에 불분명한 책임소재를 분명히 밝힐 수 있어, 주로 시스템을 외주 직원에게 의존하는 회사에도 효율적으로 활용될 수 있다”고 말했다.