보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

SIEM을 활용한 내부정보유출 탐지

2017.02.28

8,286

기술지원센터 기술지원팀

 

 

1. 개 요

 

국가정보원 산업기밀보호센터에 따르면 매년 국내 첨단 기술이 해외로 유출되는 사례는 지속적으로 늘고 있다. 2003년 6건에 머물렀던 산업기술 유출은 2007년 32건으로 급증했으며 2013년에는 21건이 적발된 바 있다. 

기업 내 주요 지적재산권이 유출된 경로의 80%는 전·현직 임직원에 의한 유출로 외부 해킹에 의한 지적재산권 유출은 20%에 불과했다. 

 

지금부터 SIEM의 시나리오를 통해 어떻게 내부정보유출을 탐지할 수 있는지 생각해 보자.

 

 

2. 침해사례

 


출처 : 보안뉴스

 

 

 


 

출처 : 동양경제

 

 


 

출처 : 개인정보보호 종합포털

 

 

3. 시나리오

 

내부 사용자가 DB의 주요 테이블에 평소보다 많은 쿼리문을 사용하여 추출한 데이터를 저장매체에 저장하거나 FTP 등의 방법을 통해 외부로 유출했을 경우 SIEM을 활용하여 탐지할 수 있는 방법에 대해 알아본다

 

 



4. SIEM을 활용한 정보유출탐지

 

1) 단일경보 설정


 

 


 



2) 상관분석 설정

 


 

5. 대응 방안

 

1) 정책 프로세스 및 보안의식 고취 필요

 

지금까지 내부정보유출 시 많이 활용되는 비인가 저장매체를 이용한 정보유출과 FTP 등의 방법을 활용하는 정보유출을 탐지하는 방법에 대해 알아보았다. 내부정보 유출을 방지하기 위한 솔루션들은 많이 있지만, 솔루션 도입이 모든 문제를 해결하지는 않는다. 조직도를 기준으로 사용자 별 세부 권한을 세우고, 이에 따른 보안 정책을 수립하여 적용 해야 한다. 기업은 기업의 특성을 반영한 보안 시스템을 구축하는 한편 보안정책이 잘 집행되고 있는지 지속적인 모니터링 및 철저한 관리감독이 필요하다.