보안을 고려한 설계에 있어서 사용자 행동 분석의 중요성

최근 몇 년 동안 고용 형태와 업무 방식이 다양해짐에 따라 제한된 장소나 특정 포인트에서만 적용되는 기존의 보안 대책으로는 보안의 확보가 어려워졌습니다. 사람/사용자의 사소한 부주의로 인해 중요한 정보가 누출될 수 있기 때문에 사용자 그 자체가 보안의 경계선이 되고 있습니다. 이 세미나에서는 "보안을 고려한 설계(Security by Design)"를 구현하는 데에 있어서 매우 중요한 사용자 행동 분석에 대해 소개합니다.
[후지쯔 포럼 2017 세미나 리포트]

보안의 새로운 경계선으로서의 사용자

비정상적인 행동을 감지하여 내부자 위협을 신속하게 파악

내부자 위협의 모든 단계를 주시 - 유출 단계에서 감지하더라도 이미 너무 늦다

내부자 위협의 과정에는 정찰, 우회, 수집, 위장 그리고 유출의 5단계가 있습니다. 사람들은 마지막 단계인 "유출"에만 관심을 집중하는 경향이 있습니다. 그러나 누가 어떻게 데이터를 가져 갔는지, 그 사람을 적발하고자 시도할 때 이미 데이터는 도난당한 상태입니다. 보안 사고를 방지하기 위해 우리는 유출이라는 최종 단계에 집중할 것이 아니라 각 단계에서 공격을 탐지하고 차단해야합니다.

시스템에 침입한 사람이 제일 먼저 하는 일은 무언가를 찾는 행동입니다. 어떤 파일에 접근할 수 있을까? 여기엔 어떤 종류의 보안 시스템이 있을까? 이것이 정찰 단계입니다.

"두 번째 단계는 침입자가 시스템에 설치된 보안 도구를 피해가려고 시도하는 ""우회""입니다. 세 번째 단계는 공격자가 데이터를 한곳에 모으는 것을 목표로 하는 ""수집""입니다.
네 번째 단계인 ""위장""에서 침입자는 자신의 행동 흔적을 숨깁니다. 행동 흔적을 지우는 매우 일반적인 방법은 파일 이름을 바꾸는 것입니다. 하지만 누군가가 이전에 접속한 적이 없는 파일에 접속한 다음에 파일 이름을 바꾸었다면, 이름 변경 그 자체가 자신의 흔적을 지우려고 했다는 것을 나타내는 명백한 증거가 됩니다."

다섯 번째이자 마지막 단계는 "유출"입니다. 우리가 이러한 각 단계를 잘 살피고 행동을 분석한다면 공격자가 데이터를 가지고 떠나기 전에 "비정상적인 행동"을 감지하여 그러한 행동을 막을 수 있습니다.

런던의 주요 증권거래소에서 저희 시스템은 지난 12개월 동안 5명 이상을 건물 밖으로 빠져나가기 이전에 적발할 수 있었습니다. 데이터 유출이 발생하기 전에 데이터 유출을 방지하여 브랜드 이미지가 손상되지 않도록 보호하는 일에 성공했습니다.

"신뢰는 하지만 검증도 한다"는 생각

지난 10년 동안 사이버 보안에 대한 주요 접근 방식은 "모든 것을 제한하는 것"이었습니다. 사용자가 USB 디바이스를 사용하지 못하도록 하고, 사용자가 방문할 수 있는 웹사이트를 제한했습니다. 이것은 전통적인 접근 방식입니다. 그러나 사용자는 자신의 업무를 수행하는 과정에서 자신들이 할 수 있어야 하는 일을 하지 못하도록 제한당하면, 그들은 언제나 그러한 제한을 뛰어넘는 또 다른 방법을 찾아냅니다.

그래서 여러분은 누군가를 고용할 때 그들을 신뢰할 필요가 있습니다. 그런 필요성 때문에 여러분은 직원을 채용할 때 지원자들을 심사하고 그들이 이전 직장에서 어떻게 근무했는지 평가합니다.

여러분이 직원들을 신뢰한다면 제한 없이 폭넓은 접속을 할 수 있는 권한을 그들에게 주어야 합니다. 그래야만 직원들은 신속하고 혁신적인 방식으로 업무를 수행할 수 있습니다. 하지만 그와 동시에 여러분은 그들이 무엇을 하고 있는지 검증해야 합니다.
직원의 업무 내용을 검증하고, 부정한 행동을 탐지하여 중지시키는 메커니즘을 만들고, 직원이 실수를 범했을 때는 그 실수를 되풀이하지 않도록 지도하는 것이 중요합니다.

전세계의 개인정보 보호 관련법을 준수하기 위한 기술

Dtex Systems는 모든 사용자의 디바이스로 이동하여 사용자가 로그인해서부터 로그오프할 때까지의 행동 데이터를 수집하는 매우 가벼운 엔드 포인트 수집 소프트웨어인 "컬렉터"를 개발했습니다.

우리는 다수의 디바이스에서 데이터를 수집하여 센트럴 리포지터리에 집약한 후 여기서 익명으로 분석할 수 있습니다. 데이터 익명화를 위해 우리는 개인을 식별하는 데 사용할 수 있는 모든 데이터를 제거한 후에 데이터를 암호화합니다. 우리는 모든 사용자의 행동을 볼 수 있지만 그 어떤 개인도 식별할 수는 없습니다.

이런 식으로 분석 담당자는 개인을 이름으로 식별하지는 않으면서 부정한 행동을 감지할 수 있습니다. 부정한 행동이 발견되면 분석 담당자는 상사나 법무 부서 또는 컴플라이언스 부서의 허가를 받은 후 파일에 접속하여 사용자 이름을 확인하고 조사를 시작합니다. 이 메커니즘은 개인정보 보호법이 특별히 엄격한 유럽을 비롯한 모든 지역에서 직원 및 기타 개인의 권리와 개인정보를 보호하기 위해 필요합니다.

이 시스템은 개인정보 보호방침을 준수하며 콘텐츠, 키 로그, 키 입력 또는 스크린 샷은 전혀 수집하지 않습니다. 따라서 이 시스템은 모든 국가에 배포할 수 있으며, 해당 국가의 개인정보 보호 관련법에 저촉되지 않습니다.

사람, 프로세스 및 기술의 전체 그림을 파악하면서 높은 수준의 보안을 보장

보안을 고려한 설계를 실시하면서 우리는 단지 기술에만 초점을 맞추지는 않습니다. 기업은 보안 제품 구입만으로 보안 문제를 해결할 수는 없습니다.

보안 제품을 도입하면서 사람과 업무 프로세스를 동시에 변화시키는 것이 중요합니다.

저희들은 여러분이 부정한 행동을 찾는 일에 도움이 되는 기술을 제공해 드립니다. 그 다음에는 여러분께서 여러분 기업의 문화, 프로세스 그리고 프로세스를 담당하는 사람들이 변하도록 노력해야 합니다.

예를 들어 누군가가 실수를 하면, 우리는 그때를 "가르쳐 줄 수 있는 순간"(가르쳐 줄 수 있는 최고의 타이밍)이라고 생각합니다. 그때 우리는 사용자에게 다가가서 "우리는 당신이 이렇게 하는 것을 보았습니다. 그러나 그런 행동은 하지 마십시오. 그 이유는 이렇습니다."라고 말합니다. 우리는 가르쳐 줄 수 있는 순간을 최대한 활용해야 합니다.

보안을 보장하기 위해서는 기술과 더불어 사람과 프로세스도 함께 생각해야 합니다. 그렇게 해야 비로소 문제를 해결할 수 있습니다. 앞으로도 후지쓰와 Dtex Systems는 이와 같은 과제를 해결하기 위해 협력해 나갈 것입니다.

후지쯔 저널(FUJITSU JOURNAL)에서 자세히 보기