SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다. 

1. 개요

기업의 내·외부 시스템들은 늘 해커에 의한 침투, 주요 데이터 위 변조, 서비스 거부와 같은 다양한 공격에 노출되어 있다.

그 중 기업들이 가장 많이 골머리를 앓는 고민은 바로 정보 유출이다. 외부에서 내부정보에 접근을 하여 유출하는 경우도 있지만, 내부 직원이 악의적인 목적으로 기밀을 유출하는 사례도 많이 발생하고 있다.

이를 예방하기 위해 기업의 보안담당자는 현 시스템이 안전한 상태인지 또는 어떤 위험에 노출되어 있는지 등을 항상 파악하고 있어야 하며, 기업 내부 자산이 유출되는 경우에는 즉각적으로 탐지하고 대응할 수 있어야 한다.

이번 호에서는 내부 인사정보 연동을 통해서 내부 자산이 유출되거나 위·변조되는 공격을 빠르게 탐지할 수 있는 경보 설정 방법에 대해 알아보자.

▶ SIEM 관점에서의 인사정보란?

조직 구성원의 인적 사항, 보안 교육사항, 직무, 업무 형태 등 각종 Human Resources Information를 의미한다.

SIEM에서는 이러한 인사정보를 연동할 수 있는 기능이 제공 되어 있다.

2. 내부인사정보 등록

ㆍ조직 구성원의 인사 정보(근태, 사번, 이름, 부서, 직급)를 등록 한다.

ㆍ인사 정보를 등록할 경우 ‘신규 등록’을 통해 직접 UI 상에서 등록할 수 있으며, ‘일괄 등록’으로 Excel 파일을 업로드 하여 일괄 등록할 수 있다.

ㆍ인사 정보 등록 후, 사용자 PC에 해당하는 MAC 주소, IP, 시리얼 번호 등을 추가로 입력한다.

1) 내부인사정보 등록 - 신규등록

ㆍ신규 등록 버튼을 누르게 되면, 인사정보 등록 양식이 빈 화면으로 나타난다.

ㆍ양식에 맞게 사번, ID, 이름, 근태, 직급, 부서, 휴대전화, 이메일 정보입력 후 등록 버튼을 누르게 되면 아래 그림과 같이 인사정보 목록에 추가가 된다.

2) 내부인사정보 등록 - 일괄등록

ㆍ일괄 등록 버튼을 누르게 되면 아래 그림과 같이 분류(인사정보/사용자 PC)가 나타난다.

ㆍ인사정보 선택 후 양식을 다운로드하고 실행하면 아래 그림과 같이 기본 양식의 Excel 파일이 열리게 된다.

ㆍ사용자 PC 선택 후 양식을 다운로드하고 실행하면 아래 양식의 Excel 파일이 열리게 된다.

ㆍ기본 양식을 아래와 같이 사번, ID, 관심 대상 여부까지 입력 후 저장을 한다.

ㆍ일괄 등록 -> 파일 찾기를 클릭하여 저장한 인사정보 파일을 불러오면 인사정보 목록에 등록된다.

※ 추가로, 수동으로 업데이트하는 방식 외에 SpDbreader, Xlogfile과 같은 모듈을 통해서 주기적으로 자동 업데이트가 가능하다.

3. 공격 시나리오 Ⅰ (퇴사/장기 휴가자의 내부 사용자PC에서 외부로 내부 자료 전송)

1) 내부 사용자 PC에서 외부로 자산 유출

ㆍ내부 사용자 PC에서 외부로 자산 유출이 의심되는 행위를 FW 장비로 경보 설정을 한다.

※ 3개의 오브젝트를 조건으로 한다.

① 출발지 IP가 인사정보에 연동된 IP이고 퇴사자 또는 장기 휴가자인 경우

② 패킷 방향이 내부에서 외부로 전송되는 경우

③ 전송 파일 크기가 10MB 이상일 경우

2) 단일 경보 설정

​

ㆍ앞서 언급한 3개의 오브젝트 조건을 활용하여, 단일 경보에 설정을 한다.

 - s_ip가 인사정보에 등록된 내부 사용자 IP이고 퇴사/장기 휴가자인 경우

 - 패킷 흐름을 의미하는 direction 필드의 값이 2 (IN -> OUT)

 - 유출되는 파일의 크기가 10MB 이상

3) 경보 발생 및 분석

ㆍ실제 퇴사/장기 휴가자인 내부 사용자 PC 로부터 외부로 10MB 이상의 파일이 전송될 경우, 아래 그림과 같이 경보가 발생하게 된다.

ㆍ발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

ㆍ출발지 IP 오른쪽의 인사정보 아이콘을 클릭하게 되면, 아래와 같이 사용자에 대한 정보가 나타난다.

ㆍ인사정보 연동을 통해, 내부 사용자 임을 즉각 확인하고 대응할 수 있다.

4.  공격 시나리오Ⅱ (바이러스에 감염되고 ‘기술지원부서’가 아닌 PC에서 DB에 변조/접근)

1) 비 인가자 데이터베이스 서버 접근 및 변조 탐지 행위

ㆍ바이러스가 감염된 내부 사용자 중 기술 지원부서가 아닌 IP에서 내부 데이터베이스에 접근 및 변조하는 행위가 탐지될 때 경보 설정 

※ 3개의 오브젝트를 조건으로 한다.

① 출발지 IP가 기술 지원센터 부서가 아닌 경우

   - 데이터베이스 서버에는 ‘기술 지원센터’ 부서만 접근 가능한 것으로 가정

② 백신 장비에서 치료되지 않은 경우

③ 데이터베이스에 접근하는 행위가 탐지되는 경우 (SELECT, UPDATE, DELETE)

2) 단일 경보 설정

ㆍ앞서 언급한 3개의 오브젝트 조건을 활용하여, 단일 경보에 설정을 한다.

- 백신 장비에서 치료 불가 또는 미치료로 탐지되는 경우

- 부서가 기술 지원센터가 아닌 s_ip

- 데이터베이스 서버에 SELECT, UPDATE, DELETE 하는 행위

3) 상관분석 경보 설정 

ㆍ앞에서 설정한 단일 경보 2개를 활용하여 비 인가자가 D/B에 접근하는 상관분석 경보를 설정한다.

ㆍ승계 조건은 1단계 s_ip = 2단계 s_ip 로 설정

4) 경보 발생 및 분석

ㆍ바이러스에 감염되고 ‘기술지원부서’가 아닌 PC에서 데이터베이스에 접근/변조한 패킷이 감지된 경우 아래와 같이 경보가 발생하게 된다.

ㆍ발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

ㆍ‘공격 시나리오Ⅰ’ 에서는 내부 사용자일 경우 인사정보 아이콘이 표시되었으나, 인사정보에 연동되지 않은 IP의 경우 아이콘이 없다.

ㆍ이를 바탕으로 관리자는 외부 사용자임을 즉각적으로 확인할 수 있다.

5. 결론

지금까지 내부자산의 유출을 막기 위해 SIEM의 인사정보 연계 방법과 외부 사용자에 의한 내부 자산 접근/변조 공격 시나리오를 알아보았다. 

공격자가 명확한 목적을 가지고 기업 및 기관의 정보자산을 획득하려는 행위가 지속적으로 발생하고 있다. 그러나 상당수의 많은 기업들은 여전히 내부정보 유출에 대한 현실적인 대비책이 부족한 상황이며, 이를 해결하기 위해 기업은 보호 대상을 분석하고 선정하여 정보자산 유출의 가망 경로를 파악할 필요가 있다. 

앞서 제시된 인사정보 연계를 통해 정책을 명확히 설정하고 통합보안관제솔루션 운영에 적극 활용한다면, 내부 인사로 인해 발생할 정보 유출 건들의 가시적인 확인이 가능할 것으로 생각한다.

인사정보 연계를 통해 기대 가능한 효과로는 운영 관리자가 사고를 인지하고 대응함에 있어 내부 사용자의 개연성을 즉각적으로 확인하고 대응할 수 있는 환경을 제시한다는 것이다.