보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

SIEM을 통한 데이터 유출 탐지 방안

2021.11.03

3,577


 

 

 

 

SPiDER TM V5.0은 이글루시큐리티 보안 관제 경험과 빅테이터 활용 역량이 집약된 통합보안관리 솔루션으로 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제 환경 구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다. 

 

 

01. 개요

 

최근 근무 환경 변화에 따라 원격(재택) 근무 비중이 커지고 있다. 이러한 변화에 따른 국내 보안 관리 부실로 인한 데이터 유출 사고의 평균 손실액은 `2020년도 역대 최고치를 기록한 것으로 나타났다. 어떤 데이터가 유출되고 있는지 살펴보면 먼저 인증정보가 꼽혔고, 이어서 고객의 개인 정보가 데이터 유출 사고 시 노출되는 가장 일반적인 유형의 정보로 나타났다. 이는 데이터 유출되면 향후 추가 공격 가능성이 굉장히 높다는 것을 유추 할 수 있다. 그렇다면 변화하는 기업의 근무 환경과 그 안에서 발생 하는 “데이터 유출” 사고를 예방(탐지) 하기 위해 SIEM은 어떤 역할을 수행 할 수 있을 지에 대한 사례를 소개 한다.

 

 

02. 아무도 믿지 마라 (재택근무자 행위 모니터링)

 

 

 

[그림 1] 시나리오 구성

 

 

위 [그림 1] 같이  근무자는 사무실에 출근하는 대신 재택을 통해 사내 접근하여 기존 회사 근무 중에 유지했던 업무 생산성과 환경을 그대로 이어가는 것을 확인할 수 있다. 그 중 문서중앙화는 업무 관련 문서가 대부분의 비중을 차지하고 있기 때문에, 자료 전송의 흐름이 중요한 부분을 차지 한다. 이를 두 가지 형태의 시나리오로 나누어보았다. 

 

1. 업무시간에 사내 문서중앙화에서 이루어지는 행위 

2. 업무 시간 외에 이루어지는 행위

 

※ 재택근무자들이 인가 받은 VPN을 통해 접근을 하지만, 사내 문서중앙화에서 이루어지는 행위들은 실시간으로 모니터링하고, 관리가 필요하다.

 

 

구분

내용

1

문서중앙화 접근 사용자 식별 가능 여부

2

행위 판단 가능 여부(파일/폴더 신규생성 및 삭제, 업로드, 다운로드 등)

3

근무시간, 근무시간외에 대한 접근 식별 가능 여부

4

신규 IP대역대로 접근하는 계정 식별 가능 여부

5

대용량 파일 업로드/다운로드 내역 열람 가능 여부

  

[표 1] 문서중앙화 접근 재택근무자 모니터링

 

 

이외에도 다양한 문서중앙화 이용 모니터링 항목들이 존재한다. 문서중앙화 제품 군에 따라 모니터링 방안 수립이 달라질 수 있다.

 

 

 

[그림 2] 다양한 시나리오

 

 

03. 자료의 이동 경로를 파악 하라

 

1) VPN 로그로 확인한 내부 사용자 접근 이력

 

VPN 로그를 살펴보면 VPN을 통하여 팀내의 문서중앙화에 접근한 내부 사용자를 확인할 수 있다. VPN 로그를 자세히 살펴보면 사용자 이름, 부서명, 직급, IP 주소, MAC 주소, 하드웨어 정보 등을 확인 가능하여 접근한 사용자가 이상행위를 하였을 경우 이상행위자 분석을 하는데 활용할 수 있다.

 

 

 

[그림 3] VPN 로그 분석

 

 

2) 문서중앙화 로그로 확인 가능한 사용자 행위 이력

 

팀내의 문서중앙화 로그를 살펴보면 서버에 이상행위를 하는 사용자를 파악할 수 있다. 문서중앙화에서 이상행위라 볼 수 있는 경우로는 대용량 파일 업/다운로드, 악성코드 의심 확장자 실행, 파일/폴더 삭제 등을 들 수 있는데 SIEM 통합로그검색 결과 행위자 정보 및 파일명, 파일경로, 파일사이즈, 업무시간 외의 작업 여부, 출발지 IP로는 VPN 할당 IP 대역 포함 여부에 따라 VPN 사용 여부까지 확인할 수 있다.

 

 

 

[그림 4] 문서중앙화 로그 분석

 

 

04. 데이터 유출 행위자 탐지

 

1) 악성코드 의심 확장자 탐지

 

bat, exe, cmd, com, lnk, pif, scr, vb, vbe, vbs, wsh, jar 등과 같은 악성코드 의심 확장자의 파일을 이용한 사용자 탐지 

 

 

 

[그림 5] 악성코드 의심 확장자 탐지 단일경보

 

 

2) 대용량 파일 업/다운로드 탐지(GB 단위 이상) 

 

문서중앙화에 파일 사이즈 단위가 대용량 단위(GB, TB, PB, EB, ZB, YB)이고 upload 또는 download의 행위를 한 사용자 탐지

 

 

 

[그림 6] 대용량 파일 업/다운로드 탐지 단일경보

 

 

3) 신규 IP대역 접근자 탐지

 

목록화 DB를 활용하여 최근 7일간 문서중앙화에 접근한 이력이 없는 신규 IP 접근자 탐지 

 

 

 

[그림 7] 신규 IP대역 접근자 탐지 단일경보 

 

 

4) 파일 또는 폴더 삭제 탐지

 

문서중앙화에 존재하는 기존 파일 또는 폴더를 삭제한 사용자 탐지 

 

 

 

[그림 8] 파일 또는 폴더 삭제 탐지 단일경보

 

 

05. 관리가 답이다

 

우리는 수 많은 데이터를 하나씩 들여다 볼 수 없다. 따라서 데이터의 흐름을 직관적으로 이해할 수 있도록  대시보드로 시각화한다면 접근성은 물론이고 손쉬운 행위 분석이 가능하다. 문서중앙화서버의 실시간 위협 모니터링 대시보드는 크게 업무시간 유무에 따라 파일 업/다운로드 및 삭제 현황, 사용자 접근 이력, 이상 행위 탐지 경보를 볼 수 있도록 아래 [그림 9] 와 같이 표현하였다. 이처럼 자료의 흐름을 파악할 수 있도록 데이터 가공과 경보 생성의 단계를 거친 상세 로그분석을 대시보드 표현에 표현함으로써 접근성을 높일 수 있다.

 

앞으로 재택 근무는 점점 더 보편화될 것으로 예상되는데, 보안 준수 사항을 숙지하고 지키는 것도 중요하다. 하지만, 각 기관마다 구성된 솔루션의 로그를 활용하여 경보 정책을 세우고 이를 통해 보다 빠른 대응전략을 수립하는 것도 좋은 방법이 아닐까 한다.

 

 

 

[그림 9] 문서중앙화 실시간 모니터링 대시보드