본문 바로가기 주메뉴 바로가기

최신IT소식

침해 방지를 위한 패턴 분석의 중요성

관리자 2019-06-12 조회수 33


침해 방지를 위한 패턴 분석의 중요성

 

사람들을 찬찬히 관찰해 보면 행동에 뚜렷한 패턴이 있습니다. 패턴은 우리가 누구이며 어떤 동기를 갖고 무엇에 관심을 갖고 있는지를 알려주는 여러 신호를 보내는 중요한 역할을 합니다.

 

사람은 심리적으로 익숙한 장소로 돌아갈 때, 그리고 경험을 통해 믿을 수 있는 경로를 선택할 때 편안함을 느낍니다. 패턴은 사람의 정상성, 마음의 상태, 의도, 두려움, 욕망, 동기를 보여줍니다. 패턴은 인간의 속성과 고유함을 드러냅니다. 지금 무엇을 해야 하는지, 미래에 무엇을 하고자 하는지, 어떤 규칙을 준수 또는 위반하기를 선택했는지 등을 보여줍니다. 차량 이동 경로부터 쇼핑 습관까지, 연락을 주고받는 사람들부터 수면 습관과 운동, 여흥 활동까지, 서명하는 방식부터 필기 습관에 이르기까지 패턴은 우리를 정의하고 식별합니다.

 

오래 전 아시아의 한 고객사에서 발생한 지적 재산 도난 의심 사건을 조사한 적이 있습니다. 회사는 대량의 독점 연구개발 정보가 경쟁사로 유출되는 것으로 의심하고 있었습니다. 유출이 됐다면 신제품에 대한 특정 정보에 접근할 수 있는 고객사 내부의 개인을 통한 유출일 가능성이 높았습니다. 제거 과정(process of elimination)을 거친 결과, 역시 유출원은 제조 현장 중 하나의 품질 부서에 속한 개인 또는 그룹일 가능성이 높은 것으로 나타났습니다.

 

오랜 조사를 통해 확실히 드러난 한 가지는 정보를 유출하는 내부자가 누구든 명확한 흔적을 남기지 않기 위해 매우 주의를 기울였다는 점입니다. 당시에는 기술이 지금처럼 정교하지 않았고 명확한 디지털 흔적도 없는 상황에서 조사 팀은 전통적인 방법인 육안 감시를 통해 범인을 잡아내기로 했습니다.

 

어느 날 아침, 고객사 현장의 주차장에 앉아 직원들의 움직임을 관찰하던 저는 엔지니어 중 한 명이 근무 교대 시간보다 훨씬 더 이른 시간에 공장으로 들어가는 것을 발견했습니다. 보통 각자의 역할별 패턴과 개인적인 ‘일상의 패턴’이 있습니다. 이런 패턴의 집합은 조직 전체에 대한 행동의 기준을 형성합니다. 패턴으로부터의 이탈은 경고 신호, 조사해야 할 데이터 포인트를 나타낼 수 있습니다. 이렇듯 패턴이 매우 중요합니다.

 

이 고객사의 경우 대부분의 직원이 거의 항상 근로 시간을 엄수했습니다. 절대 늦는 법이 없었지만 아주 일찍 오는 경우도 없었습니다. 그런데 직원 X는 근무 시작 45분 전에 도착한 것입니다.

 

더 자세히 관찰해 보니 천으로 된 큰 노트북 가방을 들고 있었는데 회전문을 지나치며 펄럭이는 모습으로 봐서 가방 내부는 텅 비어 있는 것 같았습니다. 이 부분 역시 이상했습니다. 당시에는 거의 모든 사람들이 데스크톱 컴퓨터를 사용했기 때문입니다. 노트북은 고가인데다가 보기 드물었습니다. 이 고객사의 직원이 그러한 값비싼 노트북을 개인적으로 구매하기는 거의 어려웠고, 제가 알기로는 회사 역시 보안 우려로 인해 직원에게 노트북을 지급한 적이 없었습니다. 저는 직원 X가 그날 오후 다시 눈에 띌 때까지 기다리기도 했습니다.

 

13시간의 기다림 끝에 직원 X가 마침내 건물에서 나오는 모습이 보였습니다. 근무 시간이 끝나고 1시간이 지나 동료 직원들도 모두 퇴근한 후였습니다.

 

저는 그 직원이 출퇴근 카드를 찍고 외투를 입고 건물 밖으로 나오는 모습을 지켜봤습니다. 힘들게 회전문을 빠져나와 직원 출구를 향해 주차장을 가로질러 걸었습니다.

 

노트북 가방은 더 이상 빈 상태가 아니었습니다. 꽤 떨어진 거리였음에도 노트북 가방이 무거운 상태임을 알 수 있었고, 가방 측면의 열린 지퍼를 통해 많은 서류로 꽉 찬 것이 보였습니다. 회전문을 나올 때 가방의 무게로 인해 애를 먹으면서도 놓치지 않으려고 주의를 기울이는 모습도 보였습니다. 저는 고객 보안 팀에 신호를 보내 직원 X의 행동을 주시할 것을 알렸고 이후 내부 조사가 시작되었습니다.

 

조사 결과 직원 X는 혼자서 방대한 양의 정보를 경쟁사로 유출한 것으로 드러났습니다. 넘겨준 세부 정보 덕분에 경쟁사는 고객사의 제품을 복제했을 뿐만 아니라, 일부 설계를 수정해서 고객사가 정한 출시일보다 몇 개월이나 앞서 발표하기까지 했습니다. 이로 인해 고객사는 시장 우위를 잃고 수백만 달러의 수익과 고객 충성도를 잃어야 했습니다.

 

직원 X는 몇 개월 동안 수동으로 문서를 인쇄해서 서류 형태 그대로 경쟁사에 넘겼고 경쟁사는 그에 대한 수고비로 상당한 돈을 지불했습니다. 해당 부서의 프린터 로그를 살펴보니 정상 업무 시간 전후에 직원 X의 컴퓨터에서 많은 문서가 인쇄된 것으로 나타났습니다. 당시 노트북 가방 안에 있는 내용물과 이전에 유출한 정보가 결합되었다면 고객사는 존립 자체와 5,000개의 일자리가 위험에 처하고 전 세계적으로 조직의 무결성과 제품에 대한 신뢰도 추락했을 것입니다.

 

이러한 내부 공격자가 발생하면 회사 외부 방어 체계는 상당 부분 쓸모가 없게 됩니다. 제 3자로부터 뇌물을 받든 강압이나 부추김이 있든 악의적으로 생각을 갖고 단독으로 행동하든, 악의적인 내부자는 조직에 금전, 평판, 문화, 심리적으로 크나큰 타격을 입힐 수 있으며 탐지하고 차단하기도 어렵습니다. 직원 X는 회사에서 맡은 역할에 따라 고객 회사의 이곳저곳을 자유롭게 다닐 수 있었습니다. 이전에는 의심스러운 행동을 한 적이 없고 ‘모범적 직원’이라는 평가도 받았습니다.

 

그러나 패턴은 중요하며 악의적인 내부자는 어느 시점이 되면 임무를 실행하기 위한 행동을 취해야 합니다. 이 움직임은 일상적인 루틴에서 벗어나고 그 배후에 악의적인 목적이 있음을 시사합니다. 정보가 도난 또는 유출되고 시스템이나 보안 장소에 누군가가 접근하고 운영 규약이 지켜지지 않고 노트북 가방이 채워지는 것 등이 모두 신호이며, 잘 관찰하면 알아차리고 궁극적으로 조치를 취할 수 있습니다.

 

따라서 사람과 디지털의 관점에서 “정상”이 어떤 패턴을 갖는지 아는 것은 모든 조직의 보안 시스템에서 중요한 부분입니다. 이 지식을 갖춘다는 것은 그래프 상의 돌출점, 즉 비정상적인 행동이나 루틴 이탈에서 예외를 인지하고 필요한 조사와 탐침, 예방 조치를 실시할 수 있음을 의미합니다.

기업 데이터에 대한 접근 관리나 액티브 디렉토리(Active Directory) 관리에 있어서도 패턴은 중요합니다. 행동 패턴을 분석하면 권한 탈취나 데이터 유출 시그널을 탐지할 수 있기 때문입니다.


퀘스트는 AD의 패턴 기반 내부자 위협 관리를 위한 솔루션인 체인지 오디터(Change Auditor)와 계정 권한 관리에 특화되어 있는 솔루션을 모두 제공하고 있습니다. 패턴 파악을 통한 내부자 위협 방지에 궁금하신 점이 있으시면 언제든 퀘스트소프트웨어 코리아로 문의 주시기 바랍니다.

  • 등록된 댓글이 없습니다.