보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

나 홀로 보안담당자를 위한 이상행위 탐지 모니터링 대시보드 구축 사례

2022.11.02

390

01. 개요

당사가 담당하고 있는 고객사는 크게 관제 요원이 상주하고 있는 고객사와 1인 담당자가 직접 운영하는 고객사로 나눌 수 있다. 두 유형의 가장 큰 차이점은 전문 보안관제 요원들이 있는 환경에서는 365일 상시모니터링을 하며 사이버 위협 및 이상징후 탐지 시 초동 대응과 침해 분석 등 즉각적인 대응을 할 수 있는 반면 1인 담당자 환경에서는 혼자서 보안업무 뿐만 아니라 다른 업무도 도맡아 하기 때문에 상대적으로 관제가 있는 고객사보다 잠재 위협에 대한 선제적 예방과 즉각적인 대응 능력이 구조적으로 부족하다는 점이다.

상대적으로 대응능력이 부족한 1인 담당자 환경에서 담당자가 기관 내 보안 현황을 가장 효과적으로 파악하고 다가올 위협에 대처할 수 있는 방법은 무엇일까? 본 가이드에서는 이 문제에 대해 한 가지 해결 방안과 실제 고객사에서는 어떻게 적용해야 하는지 실제 구축 사례를 통해 정리해보았다.

02. 필요한 것은 무엇이며, 왜 필요한가?

입사 후 경험한 1인 담당자 고객사들의 특징은 담당자가 대체로 바쁘다는 것이다. 담당자는 우리 SIEM (SPiDER TM)만 보고 있지 않는다. 다른 보안 장비도 관리해야 하고 보안업무 말고도 다른 업무가 많아 신경을 쓸 여력이 현실적으로 부족하다. 끊임없이 수집되는 TM의 보안이벤트와 경보들을 보며 피로도가 쌓이며 침해 발생 시 정작 자신이 무엇을 보아야 할지 모르는 혼란에 빠질 수 있다. 필자는 이 문제를 해결하기 위해서는 통합대시보드(Unified Dashboard)가 필요하다고 생각한다. 이어서 그 이유를 알아보자.

1) SIEM(SPiDER TM) 단독 운영 시 한계

통합대시보드(Unified Dashboard)가 필요한 이유는 SIEM (SPiDER TM) 단독 운영 시 보안관제에 대한 한계점이 존재하기 때문이다. 빅데이터 기반의 통합보안관제 시스템을 도입하면서 기하급수적으로 쌓이는 수많은 보안데이터를 가공하고 그 속에서 의미 있는 정보들만 추려 사용자에게 직관적으로 보여주는 과정은 효율적인 보안관제에 있어서 가장 중요한 부분이다. 만약 통합대시보드(Unified Dashboard)가 없고 SIEM(SPiDER TM)만 단독 운영한다면 불필요한 데이터를 걸러주는 과정이 없기 때문에 도입 대비 업무 효율성은 물론이고 안정적인 IT 인프라 기반 확보에도 어려움이 있다.

2) 통합대시보드의 다양한 활용

지금까지 통합대시보드(Unified Dashboard)가 필요한 이유에 대해 알아보았다. 다음은 활용 방법이다. SIEM(SPiDER TM)과 통합대시보드(Unified Dashboard)의 데이터베이스 통계를 이용하여 전체적인 보안 현황과 추이를 나타내는 것이 기본적인 사용법이다. 하지만 필자는 통합대시보드(Unified Dashboard)의 목적을 좀 더 구체적으로 사용하여 데이터를 표현하고 싶었다. 따라서 한발 더 나아가 탐지된 이벤트에 대한 상세 분석이 가능하도록 분석용 대시보드를 만들었다. 대부분 IPS 위주의 관제를 하고 있기 때문에 보안장비의 대상은 IPS로 선정하였고 대시보드 구성은 보안장비의 전반적인 탐지 차단 추이부터 시작하여 최근 7일 중 3일 동안 공격이 탐지된 공격자, 최근 7일 동안 꾸준하게 지속 공격을 시도하는 지속 공격자와, 최근 7일 동안 탐지된 이력이 없다가 새롭게 탐지된 신규 공격자, 3가지 이상 공격을 시도한 복합 공격자 등 여러 데이터셋과 위젯을 조합하여 표현해보았다. 상세 분석 대시보드를 활용할 경우 단순 top N 통계 위주가 아닌 좀 더 복합적이고 한층 더 구체적인 데이터를 표현했기 때문에 사용자가 중요하게 생각하는 다양한 위협에 대해 상세 모니터링을 할 수 있다.

[그림 1] IPS 이벤트 상세 분석 대시보드

뿐만 아니라 이보다 좀 더 상세 분석이 필요한 경우 대시보드의 팝업 기능을 활용하면 추가 분석이 가능하다. 메인 분석 대시보드에서 공격자 IP 클릭 시 팝업 대시보드로 연결되며 CTI에 등록된 정보를 토대로 위협 score 점수, 어떤 공격을 시도했는지 알 수 있는 공격 유형 분류, 내부 자산에 대한 무결성 현황, 목적지와 출발지에 따른 공격의 흐름까지 알 수 있다.

[그림 2] 탐지된 위협 IP에 대한 행위 분석 팝업 대시보드

앞서 소개한 활용방법으로 대시보드를 운영할 경우 SIEM(SPiDER TM)에서 수집된 수많은 이벤트 중 직접 위협 IP를 찾아가며 분석을 해야 하는 공수를 한 단계, 두 단계 줄여주고 이 모든 정보를 한 페이지에 원 클릭으로 표현되기 때문에 매번 분석할 때마다 걸리는 많은 시간을 단축할 수 있다. 결과적으로 업무의 효율을 높여주는 측면에서 어떤 고객사에서 활용하더라도 요긴하게 사용될 수 있으나 1인 담당자 고객사에서의 그 중요도는 관제 요원이 있는 고객사와 구조적인 차이를 줄여줄 수 있기 때문에 더욱더 커진다.

03. 나 홀로 보안 담당자를 위한 이상행위 탐지 모니터링 대시보드 구축 사례

지금까지 소개한 통합대시보드의 다양한 활용방법을 실제 고객사에 적용해보자. 소개하는 고객사는 기존 SIEM(SPiDER TM)만을 운영 중인 환경에서 보안 모니터링 강화를 위해 통합대시보드(Unified Dashboard) 2장을 추가 구매한 고객사이다.

1) 구축 컨셉 정하기 / 도입 전 담당자 인터뷰

대시보드는 매우 구체적인 용도로 사용되기 때문에 효과적인 대시보드를 위해서는 구체적인 전략과 기관에 맞는 컨셉을 정해야 한다. 컨셉 정하기는 구축 전 가장 중요한 작업이다. 보통 고객사의 보안 관점에 맞춰 컨셉을 정하게 되는데 고객사마다 중요하게 생각하는 보안 관점 또한 모두 다르다. 예를 들어 A 기관에서는 내부 위협에 대한 관심이 많고 B 기관에서는 외부 공격의 흐름에 대한 관심이 많다면 당연히 보고자 하는 데이터도 A 기관에서는 내부 위협과 관련된 데이터, B 기관에서는 외부 공격과 관련된 데이터들로 구성된다. 즉, 중요하게 보는 관점에 따라 결과물의 차이가 확연하게 난다.

인터뷰를 하면서 외부와 내부에서 발생할 수 있는 위협을 나누어서 볼 수 있었으면 좋겠다는 의견에 따라 기관이 보유하고 있는 보안 장비에 흐름에 맞추어 전체적인 틀을 짰고 인터뷰를 토대로 각 보안 장비별 몇 가지 시나리오를 예시로 제안하였다. 추가로 담당자가 원하는 몇 가지 요구사항도 반영하며 대시보드 컨셉을 완성했다.

2) 대시보드 컨셉 및 구성

- 1인 담당자 고객사 기준, 외부/내부에서 발생할 수 있는 위협에 대한 탐지 모니터링 대시보드

ㆍ일반적인 통계 표현에서 벗어난 보안장비별 복합 시나리오 표현을 통한 이상 행위 공격자IP 표현
ㆍ주요 네트워크 보안장비 DDoS, IPS에 대한 전반적인 탐지 현황
ㆍ웹 방화벽 & SSLVPN을 활용한 외부 공개 웹 사이트의 이상 행위 탐지
ㆍ보안 권고문 & 상황 전파문 및 기관 자체 공지사항 전달
ㆍ상위기관에서 SSLVPN 접근하는 해외 IP에 대해 동일 ID로 2개 이상 국가에서 접근하는 사용자에 대한 차ㆍ단조치 권고가 내려오기 전 대시보드를 통해 해당 IP에 대해 선제 조치할 수 있는 위젯 필요

3) 대시보드 제작

구성은 크게 네트워크 보안장비 모니터링과 외부공개 웹 사이트 모니터링으로 나누었다.
보안장비의 구성 흐름에 맞춰 대시보드를 표현했으며 네트워크 보안장비 대시보드에서는 DDoS/IPS의 전반적인 탐지 현황과 과거 7일 방화벽 차단 이력에 있었으나 금일 허용된 IP에 대한 탐지 현황을 볼 수 있는 복합 시나리오도 적용하였다.

[그림 3] 네트워크 보안장비 모니터링 대시보드

외부공개 웹 사이트 대시보드에서는 웹 방화벽의 전반적인 탐지 현황과 과거 7일 웹 방화벽 차단 이력에 있었으나 금일 내부 웹 서버에 허용된 IP에 대한 탐지 현황을 볼 수 있는 복합 시나리오를 적용하였다.
추가로 SSLVPN의 계정별 최근 1시간 이내 2개 이상 국가에서 접속하는 사용자를 나타내도록 제작했다.

[그림 4] 외부공개 웹 사이트 모니터링 대시보드

4) 네트워크 보안장비 모니터링

[표 1] 네트워크 장비 대시보드 구성 현황

5) 외부 공개 웹 사이트 모니터링

[표 2] 외부공개 웹 사이트 모니터링

04. 도입효과

앞에서 언급한 바와 같이 다양한 활용방법을 통한 사용자의 업무 프로세스 개선이 가장 큰 도입 효과로 다가왔다. 이제 담당자는 매번 IP를 검색하여 언제부터 어떤 공격이 들어왔는지 일일이 찾지 않으며, 이게 정말 위협이 되는 IP 인지 반복해서 확인하지 않아도 된다. 그 시간에 다른 업무를 처리하거나 탐지된 공격들의 흐름이나 유형 등을 파악하여 한층 더 높은 분석을 할 수 있다.

상위기관에서의 일방적인 유해 IP 차단 권고 조치 또한 대시보드로 미리 파악하여 위협 IP에 대해 선제적으로 대응 할 수 있게 되면서 수동적인 구조에서 능동적인 태도를 취할 수 있는 부분도 확실한 장점이라고 생각한다.
기존 방식에서 느꼈던 피로도와 비효율적인 프로세스에서 느끼는 불편함이 해소되면서 꺼져가던 SIEM(SPiDER TM)에 대한 관심 또한 다시 살아나 기존 죽어 있던 솔루션에 활기를 불어넣어 주었다.

05. 맺음말

한눈에 기관의 전반적인 보안 트랜드를 확인할 수 있고 SIEM(SPiDER TM)의 쏟아지는 데이터 속에서 사용자가 보고자 하는 데이터만 표출해주는 것이 바로 통합대시보드(Unified Dashboard) 솔루션의 가장 큰 매력이다. 앞서 소개한 가이드를 바탕으로 SIEM(SPiDER TM)과 통합대시보드(Unified Dashboard)를 운영한다면 업무가 많은 1인 담당자 환경에서도 인원과 규모 대비 최대의 효율을 내면서 고객사에 최적화된 운영을 할 수 있다.

통합보안관제 솔루션을 도입하는 이유도 결국 관제업무의 기민성과 효율성을 높이기 위해 도입하는 것이다. 우리는 현실적으로 사방에서 들어오는 모든 사이버공격을 완전히 막을 수 없다. 그렇다면 당연히 위험성이 있는 곳에 관심을 두어야 하지 않을까. 계속해서 관제의 효율성을 높이기 위해 노력하고 그 방법을 찾아 실천하는 것이 보안분야의 영원한 숙제가 아닐까 생각이 든다.