보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

개인정보 보호를 위한 통합보안관제 체계 구축의 중요성

2016.06.15

7,229

이글루시큐리티 정일옥 보안분석팀장

(okkida@igloosec.com)

 

지난 2015년은 전 세계적으로 개인정보 유출과 관련된 각종 범죄가 연이어 발생하며 개인정보 보호에 대한 경각심이 그 어느 때보다 높아진 한 해였다. 의료 기관, 소셜 데이팅 웹사이트, 선거관리위원회 등 다양한 형태의 기관, 기업에서 대량의 개인 정보를 노린 공격이 잇달아 발생했으며, 각종 금융정보와 개인정보를 탈취하여 금전적인 손해를 입히는 피싱, 파밍 공격 역시 한층 진화된 형태로 나타났다. 

 

실제로, 시만텍이 올 4월 발표한 ‘인터넷보안위협보고서’에 따르면, 2015년에는 한 번에 1,000만 건 이상의 개인정보가 유출된 대형 보안사고가 아홉 차례나 발생하였으며, 보안사고로 인해 유출된 개인정보는 4억 2,900만 건으로 2014년 대비 23%나 증가한 것으로 나타났다. 또한, 최근에는 필리핀 중앙선거관리위원회 시스템의 취약점을 악용한 해킹에 의해 7,000만 명에 달하는 필리핀 유권자의 지문 및 여권 정보가 유출된 사건이 일어나 화제가 되기도 했다.

 

국내의 경우도 예외는 아니다.  해를 거듭하며 개인정보 유출사고가 더욱 빈번히 일어나고 있을뿐더러 사고가 우리 사회에 미치는 영향력도 점점 커지는 추세다. 실제로, 방송통신위원회 자료에 따르면, 2012년 방통위에 접수된 개인정보 유출 사고 건수와 개인정보 누출자 수는 각각 17건, 약 90만명 선이었으나, 2014년에는 각각 64건, 약 2,046만 명에 달하는 등 짧은 기간 내 크게 늘어난 것으로 나타났다. 특히, 개인정보 누출자 수가 2년 사이 20배 이상 급증했다는 점에서 정보유출 사고가 한층 대형화되고 있음을 확인할 수 있었다.

 

이와 같이 국내에서도 큰 규모의 개인정보 유출 사고가 지속적으로 발생하고 있는 만큼, 기업이 개인정보 관리 및 감독에 더 많은 노력을 기울일 수 있도록 개인정보보호법도 한층 강화되고 있는 상황이다. 작년 개정되어 올해 7월 시행을 앞두고 있는 개인정보보호법에는 피해자가 피해액을 입증하지 않아도 배상판결을 받을 수 있게 하는 ‘법정손해배상제’와 개인정보를 고의적으로 유출시킨 기관과 사업자는 실제 손해액의 최대 3배까지 배상하도록 한 ‘징벌적 손해배상제’가 포함되어 시행 시 개인정보 보호법 상 가장 높은 수준의 처벌이 가해지게 된다.

 

이에, 새로운 보안 솔루션 도입을 통해 개인정보를 안전하게 지키고, 개인정보 유출에 따른 소송과 손해배상액 지급에 대한 부담을 완화하고자 하는 기업과 기관의 움직임이 점점 분주해지고 있다. 특히, 엔드포인트 또는 네트워크 단에서 유출 경로에 대한 사전적 통제를 통해 내부정보의 유출을 예방하는 DLP(Data Loss Prevention) 솔루션 도입이 눈에 띄는 추세다.

 

한국정보보호산업협회의 ‘2015년 국내 정보보호산업 실태조사’에 따르면, 2014년 네트워크 DLP 매출은 203억 7000만원, 2015년 예상 매출은 243억 9800만원으로 19.8%의 증가가 예상되고, 2014년 엔드포인트 DLP 매출은 636억 1300 만원, 2015년 매출은 744억 7500 만원으로 17.1%의 증가가 예상되고 있다. 특히, 네트워크 DLP 제품의 증감율(CAGR)은 21.19%로 2020년 약 645억의 매출을 기록할 것으로 예측되고 있다.

 

그러나, DLP 솔루션 도입 증가에도 개인정보 유출 사고는 쉽사리 감소하지 않고 있는 것이 사실이다. 여러 가지 이유가 있겠지만 근본적인 문제점은 기억이나 조직의 입장에서 어떤 데이터가 가장 중요한지 그리고 중요한 데이터가 어디서 어떻게 사용되고 있는지 인지하지 못하고 있다는 데서 기인한다. 즉, 행위의 위험성에 대한 복합적인 분석과 행위에 대한 모니터링 없이 보안 담당자의 역량에만 의존하는 경향이 있다는 얘기다.

 

더불어, 의도적이든 그렇지 않던 간에, 허가 받은 내부자를 통한 정보 유출 가능성이 남아있다는 사실 역시 간과해서는 안 될 것이다. 임직원이 악의적으로 자가 승인을 통해 기밀 문서의 암호를 해제한 후 이를 외부 메일로 전송하거나, 업무 편의상 저장 매체를 사용하도록 허가 받은 임직원의 외부저장장치 메모리를 마운트하는 방식으로 공격이 들어오는 경우가 대표적이다.

 

이와 같은 이유에서, 개인정보를 포함한 주요 데이터 유출에 보다 기만하게 대응하기 위해서는 기업이나 조직이 보유한 모든 보안 시스템, 솔루션으로부터 생성된 정보를 수집 및 연관 분석하고, 정보 유출에 실시간으로 대응할 수 있는 통합보안관제 체계가 우선적으로 마련되어야 한다는 목소리가 높아지고 있다. 아무리 성능 좋은 보안 솔루션을 도입했다고 할 지라도 기업의 IT 환경을 아우르는 가시성이 확보되지 않았다면, 제 기능을 발휘하기가 어려울 수도 있기 때문이다.

 

한층 복잡해지는 IT 환경 속에서 소중한 개인정보와 기업기밀을 보다 안전하게 보호하기 위해서 기업은 어떻게 대응해야 할까? 주요 정보를 안전하게 보호할 수 있는 정보보호 모니터링 시스템 구축을 위해, 기업이 필수적으로 고려해야 할 통합보안관제 방법론에 대해 논의해 보고자 한다.

 

 

1단계: 현황분석


그 첫 단추는 기업과 조직의 현황을 파악하는 데서 시작한다. 현황분석 단계는 크게 ▷네트워크 및 자산 분석, ▷로그정보 식별 및 분석, ▷모니터링 요소를 파악하는 프로세스로 세분화 될 수 있다.

 

우선적으로, 보안 담당자는 전산 팀, 회계 팀, 총무 팀 등 다양한 이해관계자와의 인터뷰를 통해, 기업의 네트워크 및 IT 인프라 자산 현황을 파악하고, 자산 별 중요도 및 위험도를 산정해야 한다. 네트워크 및 자산 분석을 마친 후에는, 연동되는 장비를 카테고리로 분류하고, 시스템 별로 발생하는 이벤트 요구사항 정의서를 작성하게 된다.

 

이후, VMS, PC 보안 솔루션 등 다양한 엔드포인트 제품 별로 가장 주의 깊게 모니터링 할 탐지요소를 추출하고, 이 중 연동되는 제품군이 있다면 이에 대한 핵심 모니터링 요소도 도출하게 된다. PC보안의 경우 로그인 및 저장 매체 사용 기록을, 네트워크 DLP 보안의 경우, 메일, 메신저 및 데이터 전송 기록을 탐지하는 식이다.

 

 

2단계: 탐지 정책 정의

 

그 다음은 ‘탐지 정책 정의’ 단계다. 본 단계는 기업 내부 정보 활용 패턴 분석에 기반하여 단일 보안 제품들의 정상 패턴을 설정하고, 이를 통해 오남용 시나리오를 도출해 이를 패턴화 하는데 중점을 두고 있다.

 

우선적으로, 보안 담당자는 단위 별(관리적, 기술적, 물리적) 그리고 구성요소 별(인적, 시간, 장소, 대상) 보안 관점에서 오남용 패턴에 대한 조사를 수행함으로써, ①누가(인가 패턴), ②언제(시간 패턴), ③어디서(단말기 패턴), ④무엇을 왜(권한 패턴), ⑤어떻게(방법 패턴), ⑥얼마나 자주 수행했는지 (반복패턴)를 의미하는 6가지 패턴 인자를 분리해내게 된다.

 

 

<이미지1. 허가패턴 예시>

 

이후 분리해 낸 6가지 패턴 인자에 따라 6가지 허가패턴을 도출하게 된다. ▷내부/외부에서 승인된 담당자에 의한 열람인지, ▷업무일업무 시간 등 허가된 시간 내에 이뤄진 접속인지, ▷사용 승인을 받은 단말기를 통해 접속이 이뤄졌는지 등 사용자의 행위를 허가하기 위한 패턴을 만들어내는 것이다.

 



<이미지2. 오남용패턴 도출 예시>

 

6가지 허가 패턴을 도출한 후에는 허가된 행위와 상반되는 오남용 시도들을 패턴화하게 된다. ▷비인가 단말기로 이용 시간 외 접속을 시도한다거나, ▷사용자의 업무와 관련이 적어 열람 권한이 없는 자료에 대해 비정상적 열람 시도를 빈번히 반복하는 등의 행위가 이에 포함된다. 오남용패턴을 도출한 후에는 ①인증, ②운영, ③열람, ④업무, ⑤데이터베이스의 5가지 항목으로 정책을 구분하여 오남용패턴을 정의하게 된다.
 



<이미지3. 오남용패턴 정의 예시>

 

이후, ▷정보에 대한 열람이 발생할 가능성(정보 열람성), ▷의도적인 목적으로 정보를 수집할 가능성(정보 수집성), ▷오남용 패턴이 반복적으로 발생할 가능성(패턴 반복성) 여부를 H(high), M(medium), L(low) 등급으로 나누고 이에 대한 가중치를 부여해 보안등급을 산정하게 된다.

 

이와 같이 단일 보안 제품에 대한 다양한 패턴 설정을 통해 ‘정보 수집 행위’, ‘정보 가공 및 통제 우회 행위’ 등의 ‘단일 패턴(개별 행위)’을 설정한 후에는 각 시스템 별 상관관계를 분석하여 순서적인 연관성을 가진 2가지 이상의 행위가 발생하는 ‘복합 패턴’, 즉 시나리오 기반의 다양한 관제 룰을 설정할 수 있게 된다. ▷개인정보 검색 결과를 로컬 PC에 다운로드 하거나 (정보수집행위 + 정보가공/통제 우회 행위), ▷ 자산 반출 기간 경과 후 정보를 반출하는 (규정위반행위 + 자산반출행위) 등의 행위가 대표적인 복합 패턴 예이다.

 

‘단일 패턴(개별 행위)’은 행위의 빈도 수에 따라 위험성이 올라가는 데 비해, ‘복합 패턴’은 행위 간 순서적 연관성에 따라 위험성이 높아진다는 차이가 있다. 예를 들면, 근무 시간 외 개인정보를 검색하는 행위가 발생하는 경우, 이 행위가 얼마나 빈번히 자주 일어나느냐에 따라 위험도가 높아지지만, 근무 시간 외에 개인정보를 검색하고 검색한 정보를 로컬 PC에 다운로드 한 경우에는 두 행위의 연관성에 따라 위험도를 평가하게 된다.
 



<이미지4. 시나리오 정의 예시>

 

각 시스템 별 상관관계를 복합적으로 분석한 시나리오 기반의 룰셋 적용을 통해, 기업과 조직은 보안성과 더불어 업무 효율성도 높일 수 있게 된다. 사용자의 직급 등 단일한 기준에 따라 정보 접근 권한을 부여하고 관리하는 것이 아니라 여러 행위를 상관 분석한 ‘복합 패턴’에 따라 악의적 행위를 탐지하고 현업에 최적화 된 형태로 권한을 부여하기 때문에, 사용자의 업무 불편은 최소화하며 보안성을 높이는 것이 가능해지게 되는 것이다. 

 

 

3단계: 정책 검증 및 적용

 

마지막으로, 도출해 낸 탐지 룰을 검증하고 적용하는 ‘정책 검증 및 적용’ 단계를 거치게 된다. 탐지 정책 정의에 따라 도출해 낸 단일 경보 및 상관 분석 룰을 검증하고, 이해관계자 간의 지속적인 협의를 통해 기업과 조직에 최적화 된 형태로 룰셋을 수정해 적용하는 단계다.

 

보안 담당자들은 사용자 및 사용자 그룹 별 분석 및 정보 유출 경로 분석을 통해 집중 모니터링이 필요한 고 위험군을 선정하여 가중치를 조정하고, 보다 다양한 정보 유출 탐지 룰을 지속적으로 발굴해 적용하게 된다. 또한, 사용자 행위 실시간 모니터링 및 주요 내부 시스템 수시 점검을 통해, 내부 보안정책 위반 행위를 선제적으로 차단하는 한편, 정보유출 경로로 이용될 수 있는 보안 취약점을 개선하게 된다.

 

 

기업의 IT 환경 전반을 아우르는 가시성 구현 필요

 

지금까지 개인정보 보호가 한층 중요해지는 보안 환경의 변화와 개인정보를 포함한 주요 정보를 안전하게 보호하기 위한 통합보안관제 방법론에 대해 알아보았다.

 

주요 정보를 안전하게 보호할 수 있는 완벽한 보안 체계 구축은 기업의 경쟁 우위를 높이는 핵심 요인 중 하나다. 검증된 개인 정보 보호 역량을 갖춘 기업이 고객의 신뢰를 얻을 수 있게 되는 반면, 보유한 개인정보가 유출되거나 개인정보 보호 규제를 어긴 기업의 경우, 과징금을 물고 보다 엄격한 규제를 적용 받는 것은 물론 고객의 신뢰를 잃어버릴 수 있기 때문이다.

 

개인정보 보호의 중요성이 한층 커지고 있는 만큼, 기업 주요 정보를 보다 안전하게 보호할 수 있는 선제적인 통합보안관제 체계 구축을 통해, 기업의 영속성을 더욱 높였으면 하는 바램이다.