보안관제사업본부 보안분석팀 김남현

1.  개요

최근 보안에 대한 관리 소홀로 정보유출 사고가 끊임없이 발생하고 있는 실정이다. 내부 보안 위협에 대해 효과적으로 대응하기 위해서 우리가 편리하게 사용하고 있는 윈도우 공유 폴더 기능을 통해 파일 서버를 운영하는 시스템에 대하여 ESM을 이용하여 정보유출을 신속하게 탐지할 수 있도록 안내하고자 한다.

[그림 1] 파일서버에 대한 정보 유출의 위험성과 흐름

2. ESM과의 파일서버와의 연동

1) 윈도우 보안 감사 설정

ESM 에이전트가 설치된 윈도우 파일 서버에서 다음과 같은 보안설정이 필요하다.
 

1.개체편집기 실행 : 시작-> 실행 -> gpedit.msc
2.보안 설정 : Windows 설정-> 보안 설정 -> 로컬 정책 -> 감사 정책 -> 개체 엑세스 검사 -> [성공] 체크

[그림 2] 개체 액세스 감사 설정

2) 공유폴더 보안 감사 설정

해당 서버에서 감사 설정을 하게되면 파일이 어떻게 처리되었는지에 대한 로그를 시스템 보안 로그를 통해 파악이 가능하다.
 

1.폴더 선택 : 공유된 폴더에서 오른쪽 버튼 -> 속성 -> 보안 -> 고급
2.감사 추가 :  추가 -> 사용자 검색 -> 선택

3.항목 설정 :  추가한 사용자 더블 클릭 -> 실행, 읽기, 쓰기, 삭제  항목 체크

[그림 3] 공유 폴더 보안 감사 설정

3) ESM Syslog 설정

위와 같은 설정을 마치게 되면 원격에서 파일에 접근한 정보에 대한 상세한 정보가 윈도우 로그에 저장되는 것을 확인할 수 있다.
 

 
[그림 4] 시스템 이벤트 로그 확인

수집 조건 등록에서 Syslog 수집을 적용하면 ESM 에이전트는 해당 로그를 수집하여 ESM 메니저의 Syslog 탭으로 전송하게 된다.
 

[그림 5] Syslog 수집 조건 설정

[그림 6] Syslog 카테고리를 통해 전송되는 실시간 데이터

4) ESM 연관성 분석 등록

사용자가 수행한 명령에 따라 특정 리턴 값을 남기게 되며, 해당 코드는 다음과 같다.
 

[표 1] 윈도우 파일 제어 응답 코드

• ESM 연관성 분석에서 상황에 맞게 설정된 코드를 등록하도록 한다.
• 연관성 분석 -> 이벤트 -> 호스트 이벤트 -> TEXT에 해당 코드 입력

[그림 7] ESM 연관성 등록

3. ESM을 통한 파일서버의 이상 징후 탐지

< 시나리오 1>

회사에서 발표한 인사고가의 불만을 품은 직원이 회사 내 인사팀의 파일서버에 접속해서 다른 사내 직원의 개인정보를 무단으로 확인하고 자신에게 불리한 정보를 삭제한 상황이다. 

1)  이상 사용자의 실시간 이상 징후 탐지

ESM에서 실시간 이벤트 경보 발생으로 해당 이벤트 분석
 

[그림 8] 비정상 접근 ESM 실시간 경보 이벤트 탐지

2)  인가되지 않은 파일 제어 확인

​

탐지된 경보를 상세 분석한 결과, “namhyun”이란 아이디를 가진 사용자가 “회사내 정리해고 대상자.doc” 파일을 파일서버에서 삭제한 것으로 확인.

[그림 9] 탐지한 이벤트 확인

< 시나리오 2 >

국내 유통업체에 시스템 점검을 하기 위해 특정 내부에 들어온 용역업체 직원이 우연하게 파일서버가 있다는 것을 확인하고 담당자가 조기 퇴근한 것을 이용하여 파일서버에서 고객 정보를 확인한다.

3)   파일서버의 대량의 접근 이벤트 발생

​

ESM 콘솔에 평균적으로 사용하는 트래픽 보다 과다하게 시스템 이벤트가 발생한 것을 확인해보니, 실시간 경보 이벤트가 비정상적인 숫자로 증가되어 있는 것을 확인하였고, 상세 분석한 결과 유출된 파일을 확인할 수 있었다

[그림 10] 고객정보 유출 ESM 실시간 탐지현황

4)   유출된 파일 리스트 확인

[그림 11] 파일서버에서 유출된 고객파일 리스트

4. 결론 및 마무리

​

최근까지 정보유출 사고가 끊임없이 발생하고 있음에도 불구하고 국내 보안시장은 주로 내부 망의 보안 위협보다 외부 망에 대응하는 프로세스로 되어있다. 최근 사고를 돌이켜 보면 정보유출은 외부의 위협도 크지만 내부의 위협이 더 크다고 할 수 있다. 그런대도 우리는 내부의 중요한 시스템 보다는 외부에 초점을 맞추고 있는 시점이다. 현재 윈도우의 공유파일 기능은 편리하고 손쉽게 파일 공유를 할 수 있기 때문에 자주 사용되는 시스템 사용 방법이다. 그 파일 서버에는 우리가 무심코 생각했던 시스템의 계정정보, 고객 정보가 포함되었을 수도 있고, 이것을 지속적으로 관리할 필요가 있다.

​

그러나 이번에 소개한 내용으로만은 정보유출을 완벽히 탐지하기는 어려울 것이며, 해당 이벤트를 통한 오탐과 불필요한 업무 증가로 이어질 수도 있다는 점에 주의해야 한다. 다만, 해당 방법을 이용하면 DLP를 운용할 수 없는 시스템 환경에서 많은 비용을 들이지 않고 실시간으로 이벤트를 탐지하고 대응할 수 있다는 점은 장점으로 생각할 수 있으며, 효과적으로 연관성 규칙을 환경에 맞추어 커스터마이징 한다면 정보유출에 대해 효과적으로 탐지할 수 있을 것이다.

​

침해사고가 발생하면 시스템의 저장된 작은 로그 하나하나가 원인 분석 및 문제해결을 하는데 큰 도움을 주게된다. 또한 로컬에서 발생하는 이벤트는 신속할 뿐만 아니라 해당 데이터의 정확성도 높다고 할 수 있다. 이러한 이벤트를 최대한 활용 한다면, 보다 효과적인 보안 운영이 될것으로 보인다. 이를 통해 내부 데이터에 관리에 대한 지속적인 관심과 함께 데이터에 대한 종합적인 모니터링 대책을 세워 안전한 내부 시스템 환경을 구축하기를 바란다.

​