보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

내부사용자에 의한 기밀자료 유출 탐지

2021.02.03

5,567






01. 개요

보안은 해킹이나 악성코드 등 외부로부터의 위협에 대응하는 영역과 내부에서 외부로 데이터가 유출되는 내부의 위협에 대응하는 영역으로 나눌 수 있다. 외부로부터의 위협에 대응하는 영역은 잘 알려진 사례가 많고, 보안인력이 주의를 통한 예방활동이 가능하나, 내부의 위협에 대응하는 영역의 경우 사전 탐지 및 대응이 매우 어렵고, 정보 유출,침해 시 피해가 크다. 최근 발생한 N번방 피의자 중 한명에 의한 주민 정보 불법 조회 및 유출 사례, 삼성디스플레이의 세계 최초 OLED 기술 유출시도 사례, 국방과학연구소 퇴직자의 첨단무기 기술유출 사례, KAIST의 자율주행 자동차 핵심기술 유출 사례 등이 대표적인 내부에 의한 위협으로 내부의 위협은 아직도 현재 진행중이다.

따라서 이번 호에서는 SPiDER TM V5.0을 통해 내부사용자에 의한 정보유출을 탐지 및 대응할 수 있는 방법에 대해 기술하고자 한다.

02. 탐지 시나리오


[그림 1] 탐지 시나리오

① 암호화된 기밀자료 복호화 탐지
    문서보안 솔루션(DRM)을 통하여 문서 제목에 ‘기밀’,’고객정보’,’설계서’,’계약서’ 등이 포함된 기밀자료가 복호화되는 것을 탐지.
② 복호화된 기밀자료 인터넷망으로 전송 탐지
    망연계 솔루션을 통하여 문서 제목에 ‘기밀’,’고객정보’,’설계서’,’계약서’ 등이 포함된 기밀자료가 인터넷망으로 전송되는 것을 탐지.
③ 인터넷망으로 전송된 기밀자료 외부 반출 탐지 ( e-mail )
    스팸메일 솔루션을 통하여 외부 도메인으로 전송되는 메일의 첨부파일 제목에 ‘기밀’,’고객정보’,’설계서’,’계약서’ 등이 포함된 기밀자료가 포함되어 있는 것을 탐지.
④ 복호화된 기밀자료 외부 저장매체 업로드 탐지
    문서보안 솔루션(DLP)을 통하여 문서 제목에 ‘기밀’,’고객정보’,’설계서’,’계약서’ 등이 포함된 기밀자료가 외부 저장매체로 업로드 되는 것을 탐지.

03. 기밀자료 유출탐지 시나리오 단일경보 등록

1) 암호화된 기밀자료 복호화 탐지

문서보안솔루션(DRM)의 로그를 통해 복호화된 자료가 내부규정에 의해 정의된 유출금지 문구가 포함되어 있는 경우 탐지


[그림 2] 기밀자료의 복호화 탐지 경보

2) 복호화된 기밀자료 인터넷망으로 전송 탐지

내부사용자가 복호화된 기밀자료를 외부로 반출하는 것을 탐지하기 위해 망연계 솔루션의 로그를 활용, 문서 제목이 내부 규정에 의해 정의된 유출금지 문구가 포함된 자료를 인터넷망으로 전송하는 것을 탐지


[그림 3] 기밀자료 인터넷망 전송 탐지 경보

3) 인터넷망으로 전송된 기밀자료 외부 반출 탐지(e-mail)

스팸메일 솔루션에서 탐지된 이벤트 중 내부 규정에 의해 정의된 유출금지 문구가 포함된 메일을 외부 도메인으로 전송하는 것을 탐지 


[그림 4] 기밀자료 외부 반출 메일 탐지 경보

4) 복호화된 기밀자료 외부 저장매체 업로드 탐지

기밀자료의 반출을 위해 외부 저장매체를 이용하는 것을 탐지하기 위해 문서보안 솔루션(DLP)의 로그를 통해 문서 제목에 내부 규정에 의해 정의된 유출금지 문구가 포함된 기밀자료가 외부 저장매체로 업로드 되는 것을 탐지.


[그림 5] 기밀자료의 저장매체 업로드 탐지 경보

04. 상관분석 룰 등록 및 상세 분석

1) 상관분석 시나리오1

앞서 등록한 단일 경보 3가지에 대하여 1단계 부터 3단계까지 상관분석을 등록한다.

1) 문서보안솔루션(DRM)을 통한 암호화된 기밀자료 복호화 탐지 ( 업무망 )
2) 망연계솔루션을 통한 기밀자료 인터넷망 전송 탐지
3) 스팸메일 솔루션을 통한 기밀자료 외부 전송 탐지 ( 인터넷망 )

승계 조건을 활용하여 연계 경보 탐지
· 1단계 -> 2단계 승계 조건 : 1단계 출발지 IP = 2단계 출발지 IP
· 2단계 -> 3단계 승계 조건 : 2단계 목적지 IP = 3단계 출발지 IP


[그림 6] 상관분석 룰 설정 및 경보 발생 화면 

2) 상관분석 시나리오2

앞서 등록한 단일 경보 2가지에 대하여 1단계 부터 2단계까지 상관분석을 등록한다

1) 문서보안솔루션(DRM)을 통한 암호화된 기밀자료 복호화 탐지 ( 업무망 )
2)문서보안솔루션(DLP)을 통한 기밀자료 외부 저장매체 복사 탐지 ( 업무망 )

승계 조건을 활용하여 연계 경보 탐지
· 1단계 -> 2단계 승계 조건 : 1단계 출발지 IP = 2단계 출발지 IP


[그림 7] 상관분석 룰 설정 및 경보 발생 화면  

3) 상세분석

상세분석 기능을 이용한 근거데이터, 경보 트렌드 분석이 가능하다.
발생된 룰셋에 대한 발생건수, 차트 및 근거이벤트 대표 출발지IP, 목적지IP 의 상세정보, 경보의 원본로그 정보/페이로드 변환 정보, 경보발생 그래프를 확인할 수 있다. 


[그림 8] 상관분석 시나리오1 상세내역 


[그림 9] 상관분석 시나리오2 상세내역 

05. 예방대책

1. 정기적인 보안교육을 통한 보안의식 강화
    정기적인 보안교육을 통하여 직원들의 보안의식 강화
2. 철저한 관리/감독을 통한 내부 기밀자료 반출 방지
    문서복호화 및 망연계 전송 시 관리자를 통하여 인가된 사용자에게만 자료 전송 승인
3. 보안USB 사용을 통한 비승인 외부저장매체 사용 금지
    보안 USB 사용을 통하여 내부기밀자료 보호 및 비 승인된 외부 저장매체 사용 금지