수집 및 분석 계속 미루다가는 영원히 막을 수 없는 공격
위험할 줄만 알았던 모바일, 보안에 활용할 수 있는 기회

[보안뉴스 주소형] 요즘 대부분의 보안 프로그램에는 데이터 수집 기능이 장착되어 있다. 하지만 이들은 애플리케이션을 둘러싼 로그인기록, 방화벽, 네트워크 기기 등 다양한 데이터 모으는 데만 특화되어 있다. 사용자들의 데이터 수집에는 소홀한 모습이다. 최근 산스(SANS) 연구서에서 발표한 설문조사 결과에 따르면 현재 사용자의 행동 패턴을 모니터링한 데이터를 수집하고 있는 조직은 약 33% 수준인 가운데 향후 이를 수집하고 싶거나 해당 데이터가 필요하다고 답한 비중은 75%로 집계됐다. 이는 여기를 누르면 연결된다.


▲ “난 매일 이 시간에 누워서 게임을 하지”

사용자들의 패턴을 분석한 자료는 가치가 상당히 높다. 비단 잠재적인 내부자위협 요소만을 알아내는 것뿐만 아니라 외부 공격자로부터의 위험까지 미리 감지하여 예방할 수도 있기 때문이다. 여기서 중요한 건 주기적으로 꾸준히 수집해야 실효성이 있다는 점이다.

“대부분의 평균 공격 발생시간은 1분 정도다. 하지만 한 번 들어온 공격은 감지까지 몇 주에서 몇 달까지 걸리는 경우가 많다.” 라피드7(Rapid7)의 보안 리서치 매니저인 토드 비어즐리(Tod Beardsley)와 데이터 분석가인 로이 호그만(Roy Hodgman)이 말했다. 이어서 이들은 사용자의 행동 패턴 분석이 이를 개선하는 데 큰 도움이 될 것이라고 입을 모았다. “IT 보안 관리자들은 어떤 이슈라도 숨기면 안 된다. 하지만 이도 각 네트워크에 대한 기준이 없으면 불가능하다. 그리고 이 기준은 사용자들의 평소 패턴에 의해 완성되는 통계다.”

사용자들의 패턴 분석이 중요한 이유와 이를 통해 기준을 정하기 위해서는 다음과 같은 네 가지를 알아두어야 한다.

1. 사람과 기계는 다르다
사람이 평소 사용하는 계정 패턴은 기계와는 엄연히 다르다. 자동 애플리케이션으로 처리하면 사람이 하는 것보다 훨씬 변수가 적고 발생할 수 있는 일들을 예측이 가능하다.

“사고 대응기는 사용자들의 행동을 분석하여 계정을 확인하는 데 발생할 수 있는 변수에 대한 정보가 필수다. 이는 기계가 아닌 사람만이 만들어낼 수 있는 정보다.”

2. 클라우드 사용량 책정에 필요한 세 가지
클라우드 사용량을 알기 위해서는 사용자 어떻게 클라우드 계정에 접근하고 사용하는 지 먼저 파악해야 한다. 따라서 사용자들이 가장 자주 사용하는 애플리케이션의 웹 프록시, DNS 기록, 방화벽 데이터에 대한 조사부터 시작해야 한다.

“해당 정보들이 모이면 결국 어떻게 서비스의 질이 달라지고 보안이 강화될 수 있다. 은둔의 IT까지 잡아낼 수 있어 갈수록 이에 대한 니즈가 높아질 것이다.”

3. 모바일 기기 위치 데이터
모바일 기기는 현재 보안의 취약점이다. 하지만 모바일이 나쁜 용으로만 쓰이게 할 수는 없다. 모바일이야말로 사용자들의 행동 패턴을 가장 정확하게 파악할 수 있는 수단이라는 점을 활용해야 한다는 것.

“스마트폰의 위치 기능을 통해 사용자들이 어떤 경우에 어디서 무엇을 필요로 하는지 파악할 수 있다. 사용자들의 행동 패턴을 분석하는 게 가장 정확한 방법이다.”

4. 로컬 기기 관리자 계정 관리
기업들은 대체적으로 액티브 디렉토리(Active Directory) 계정에만 관심을 두고 있는 경향이 있다. 로컬 기기의 관리자 계정에는 소홀히 하고 있다는 것. 공격자들도 이를 알고 있다. 때문에 공격자들은 주로 로컬 계정을 타깃으로 취약점으로 찾아내어 익스플로잇 시키고 있어 이에 대한 관심과 관리가 요구된다.

“이를 해결하면, 특히 모든 로컬 도메일 관리자 암호를 헬프데스크에 간단한 요청만으로 알 수 있는 프로세스를 가진 기업이나 골든 이미지(golden image)를 주로 사용하는 기업들의 성장에 발판이 될 것이다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>