본문 바로가기 주메뉴 바로가기

최신IT소식

변경 모니터링과 실시간 감사 솔루션을 통해 보안과 생산성을 개선한 정부 기관

관리자 2018-12-06 조회수 24

Quest_Thumb_20181127.jpg

 
변경 모니터링과 실시간 감사 솔루션을 통해 보안과 생산성을 개선한 정부 기관

정부 기관 역시 효율적인 운영을 위해서는 SMB와 대기업 못지않게 기술이 필요하며 일반적으로 IT 인력을 최소한으로 유지합니다. 예를 들어 북중부 텍사스 행정협의회(NCTCOG)는 이메일 및 VoIP 시스템과 같은 기본적인 기술 뿐만 아니라 지리 정보 시스템, 문서 관리 시스템, 도로 모델링 애플리케이션과 같은 전문화된 시스템에도 많은 부분을 의존합니다. NCTCOG의 IT 보안 팀은 변경 모니터링을 자동화하고 보안 조사의 속도를 높이기 위해 퀘스트의 윈도우 관리 솔루션 모음을 사용합니다.

AD 및 파일 시스템에 대한 실시간 모니터링의 필요
북중부 텍사스 행정협의회는 댈러스와 포트워스 인근의 16개 카운티와 다수의 도시, 학구, 특구로 구성된 자율적 협의체입니다. NCTCOG는 구성원들이 공통적으로 필요한 부분을 계획하고 지역 차원의 기회를 발굴하고 불필요한 중복을 제거하도록 지원합니다. 예를 들어 이 협의회의 교통 부서는 지방 정부 기관과 협력해서 도로 프로젝트의 우선 순위를 정하고 이러한 우선 순위에 따라 자금을 배정하며, 인력 부서는 교육 기회를 제공하고 보육 서비스를 범위를 넓힙니다. 또한 다른 부서 역시 지역 혜택을 위해 비슷한 협력을 추진합니다.

NCTCOG의 IT 팀은 사용자, 그룹, 권한에 대한 핵심 정보를 저장하는 AD(Active Directory)가 이러한 모든 애플리케이션의 보안과 가용성을 위해 중요한 요소라는 사실을 명확히 인지하고 있습니다. 그룹 권한을 잘못 변경하는 사례가 한 번이라도 발생하면 해당 그룹의 모든 구성원이 중요한 리소스에 액세스하지 못하게 되고 중요한 비즈니스 프로세스의 진행이 막힐 수 있습니다. 더 나쁜 상황은 그룹의 모든 사람이 봐서는 안 될 민감한 데이터에 액세스할 수 있게 되는 경우입니다. 이 경우 조직은 보안 침해와 규정 위반, 두 가지 위험에 모두 노출됩니다.

NCTCOG는 몇 년 전에 바로 이러한 상황에 처해 있었습니다. 북중부 텍사스 행정협의회의 정보 보안 담당자인 브렛 오글레트리는 “AD에서 무슨 일이 일어나는지 알 방법이 없었습니다. 예를 들어 누군가 계정을 삭제하거나 그룹 정책 개체를 변경하더라도 누가 그랬는지, 우발적인 사고인지 의도적인 행동인지 여부를 알 수 없었습니다. 그저 당사자가 솔직하게 말해주기를 기대하는 것이 할 수 있는 전부였습니다”라고 설명했습니다.

문제는 그뿐만이 아니었습니다. IT 팀에는 AD 외에 파일 시스템을 대상으로 한 실시간 감사

도 필요했습니다. 예를 들어 중요한 파일이 수정되거나 삭제되면 누가 변경을 했는지, 이들이 액세스할 수 있는 네트워크의 다른 리소스는 무엇인지를 신속하게 파악해야 합니다. 파일 시스템에 대한 시야는 AD보다 양호했지만 충분하지는 않았습니다.

 오글레트리는 “처음에는 네이티브 툴을 사용해서 파일 시스템을 변경한 사람이 누구인지 파악하려고 했지만 그 과정이 무척 번거로웠습니다. 정확히 어떤 일이 발생했는지 알아내려면 많은 작업이 필요했습니다. 그래서 누가 파일을 수정하거나 삭제했는지, 네트워크에서 그 파일에 액세스가 가능했던 특정 사용자 또는 사용자 그룹이 누구인지를 확인할 수 있는 솔루션을 구매했습니다”라고 말했습니다.

그러나 이 솔루션을 통해 얻은 정보는 최대 24시간이 지난 정보였으므로 유용성이 떨어졌습니다. 오글레트리는 “그 툴은 실시간 파일 서버 감사 기능을 제공하지 않았고, 매일 야간에 일정에 따라 파일 서버를 훑으며 중요한 데이터를 살피는 방식이었으므로 우리가 얻는 정보는 항상 시간이 지난 정보였습니다. 예를 들어 사라진 폴더의 전후 사정에 대한 확인을 오늘 정오에 요청하면 다음 날 아침이 되어야 요청에 대한 답을 확인할 수 있었습니다. 이로 인해 생산성 손실은 물론 파일 시스템 보안이 위험에 노출될 수도 있는 상황이었습니다”라고 말했습니다.

퀘스트의 포괄적인 실시간 감사
NCTCOG의 IT 팀은 일단 AD 감사 기능의 부재부터 해결하기로 했습니다. 여러 솔루션을 신중히 검토한 IT 팀은 AD용 퀘스트 
체인지 오디터(Change Auditor)를 선택했습니다. 이 솔루션은 AD의 모든 변경을 실시간으로 추적해서 네이티브 툴의 복잡함과 번거로운 과정 없이 보안 또는 비즈니스 연속성을 위협할 수 있는 잠재적인 내부자 공격과 우발적인 수정을 신속하게, 쉽게 탐지할 수 있게 해줍니다. IT 팀은 클릭 한 번으로 무단 또는 부적절한 변경을 되돌리고, 특정 조직 단위(OU) 또는 그룹 정책 개체(GPO)와 같은 가장 중요한 AD 개체에 대한 변경을 선제적으로 방지할 수 있습니다.

이 솔루션의 결과는 매우 성공적이어서 NCTCOG는 파일 감사를 위해 자매 제품 격인 윈도우 파일 서버용 체인지 오디터와 EMC용 체인지 오디터에도 관심을 갖게 되었습니다. 특히 NCTCOG는 AD에 대해 확보한 실시간 뷰를 파일 시스템에서도 얻고자 했습니다. 

이미 AD용 체인지 오디터를 위한 인프라는 설치된 상태였으므로 평가를 위해 애플리케이션 두 개를 추가로 구축하는 과정은 매우 간단해서, 평가판 키를 설치한 것이 전부였습니다.

윈도우 파일 서버용 체인지 오디터와 EMC용 체인지 오디터를 통해 이제 IT 팀은 파일 및 폴더를 대상으로 하는 모든 변경에 대한 실시간 추적, 감사, 보고, 경보를 구현하고 보안 위협과 가용성 문제, 사용자 요청에 신속하게 대응할 수 있게 되었습니다. 또한 체인지 오디터는 “누가, 언제, 어디서, 무엇을 했는지, 그 행위를 한 워크스테이션은 무엇인지”를 변경되기 전 원래 값 및 현재 값과 함께 보여줍니다. 이는 빠른 문제 해결을 위한 필수 정보입니다. 또한 중요한 파일과 폴더가 수정되거나 우발적으로 삭제되지 않도록 보호하는 역할도 합니다.

기능적 이점 외에, NCTCOG는 퀘스트 솔루션으로 전환한 이후 두 가지 부가적인 혜택을 얻었습니다. 첫째, 체인지 오디터 솔루션 제품군으로 통합함으로써 유지보수와 운영이 간소화되었습니다. 

둘째, 훨씬 더 많은 가치를 얻게 되었습니다. 오글레트리는 “퀘스트에서 필요한 모든 요소를 패키징하는 방법으로 비용 효율성
을 높였습니다. 이전 솔루션에 지출했던 것과 같은 연간 유지보수 비용으로 퀘스트의 여러 제품을 사용하고 있습니다”라고 말했습니다.


실시간 경보로 위협에 신속한 대응 가능
이제 NCTCOG의 IT 팀은 체인지 오디터 애플리케이션을 통해 중대한 변경이 발생하면 하루 뒤가 아니라 그 즉시 알 수 있습니다. 오글레트리는 “심각성이 큰 이벤트가 발생하면 체인지 오디터가 이메일로 경보를 전송하므로 변경 관리 프로세스를 통해 이 변경이 적절한지 아니면 해커에 의한 악의적인 변경인지 여부를 판단할 수 있습니다. 예를 들어 AD용 체인지 오디터를 사용해서 보호되는 건강 정보를 다루는 부서와 같은 민감한 그룹의 멤버십에 대한 변경 발생 시 경보가 울리도록 설정할 수 있습니다”라고 설명했습니다.

체인지 오디터는 NCTCOG의 파일 시스템에도 비슷한 실시간 경보 기능을 제공합니다. 오글레트리는 “승인되지 않은 사람이 보안 폴더에 액세스할 경우 경보를 받고자 한 관리자가 있었습니다. 이전 솔루션에는 이를 구현할 기능이 없었지만 이제는 간단히 경보를 설정하기만 하면 체인지 오디터가 자동으로 의심스러운 활동을 감시합니다”라고 말했습니다.


사고 조사 과정 능률화
NCTCOG는 체인지 오디터의 유연하고 종합적인 보고 기능을 통해 의심스러운 변경과 기타 사용자 행동에 대한 부가적인 뷰를 얻습니다. 오글레크리는 “사고에 대한 포렌식 조사를 손쉽게 실시할 수 있습니다. 뒤로 돌아가서 시스템에서 정확히 어떤 일이 발생했는지 보면 됩니다. 예를 들어 이전 솔루션에서는 폴더가 사라지면 다음 날이 되어서야 그 이유를 설명할 수 있었습니다. 지금은 체인지 오디터를 통해 즉시 폴더에 무슨 일이 발생했는지 알 수 있습니다. 어떤 사람이 실수로 폴더를 옮겼다면 다시 제자리로 옮기도록 안내하거나 우리가 대신 옮길 수 있습니다. 폴더가 삭제된 경우 과거에는 원격지에서 테이프를 가져오도록 요청하고 도착할 때까지 기다린 다음 복원 프로세스를 진행해야 했습니다. 지금은 즉시 폴더를 복원할 수 있습니다”라고 설명했습니다.

보고서를 자동으로 생성해서 당사자에게 배달할 수도 있습니다. 이 예약된 보고 기능은 데이터와 시스템 변경을 각각의 비즈니스 소유자가 정기적으로 검토하도록 유도하여 잘못된 변경을 즉각 인지할 수 있도록 합니다. 오글레트리는 “파일 시스템의 특정 영역에 실시된 변경을 보여주는 보고서를 설정해서 매주 해당 데이터 소유자에게 배달되도록 할 수 있습니다. 

예를 들어 특정 부서에서 드물게 사용하는 파일이 있는데 그러한 파일이 여러 개 수정되거나 사라진 경우 체인지 오디터를 도입하기 전에는 이를 뒤늦게 인지하고 최종적으로 파일을 사용한 이후 시스템에 무슨 일이 일어났는지 재현해야 했습니다. 체인지 오디터를 사용하는 지금은 매주 파일에 수행된 작업을 점검하므로 뒤늦게 문제를 발견하는 일이 없습니다”라고 설명했습니다.

또한 모든 체인지 오디터 애플리케이션과 다른 여러 퀘스트 윈도우 관리 솔루션에는 강력한 인터랙티브 검색 엔진이 함께 제공됩니다. IT Security Search는 수많은 시스템과 디바이스의 개별 IT 데이터를 하나의 콘솔 내에 결합해서 보안 사고 대응과 포렌식 분석의 속도를 높여줍니다.

전사적 가시성 확대
AD와 파일 시스템에 대한 실시간 시야는 NCTCOG에 여러 가지 면에서 혜택을 제공합니다. 오글레트리는 “체인지 오디터는 보안을 개선할 뿐만 아니라 비즈니스의 생산성을 높여주고 시간도 절약할 수 있게 해줍니다이 기능은 금전적 가치로 표현하기 어려울 만큼 매우 유용합니다”라고 강조했습니다.

NCTCOG는 AD, 윈도우 파일 서버 및 EMC 감사 용도로 체인지 오디터 솔루션을 도입해서 성공을 거둔 이후 두 가지 체인지 오디터 애플리케이션을 추가하기로 했습니다. 바로 SQL 서버용 체인지 오디터와 셰어포인트용 체인지 오디터입니다.

오글레트리는 “AD, EMC, 파일 서버에 대한 시야 개선에 만족했으므로 셰어포인트와 SQL 서버에도 이와 동일한 시야를 얻고자 했습니다. 예를 들어 데이터베이스 스키마 변경을 비롯한 SQL 서버 환경 내에서의 변경을 모니터링하면 시스템 정상 가동을 유지하고 그 안의 데이터를 안전하게 보호하는 데 도움이 됩니다”라고 설명했습니다.

NCTCOG는 최근 엔터프라이즈 리포터 스위트(Enterprise Reporter Suite)도 도입했습니다. 이 솔루션의 포괄적인 액세스 평가와 내장된 보고 기능은 마이크로소프트 환경 전반의 사용자, 그룹, 권한 및 기타 구성에 대한 심층적인 시야를 제공합니다. 

오글레트리는 “이전에는 수십 개의 SQL 서버에서 데이터베이스 소유자(DBO) 역할을 가진 사람을 확인하기가 쉽지 않았습니다. 각 서버를 개별적으로 확인해야 했습니다. 엔터프라이즈 리포터를 사용하면 손쉽게 그러한 정보를 확인할 수 있습니다”라고 강조했습니다. 또한 엔터프라이즈 리포터 스위트에 대한 투자를 통해 NCTCOG는 이제 시큐리티 익스플로러(Security Explorer)의 모든 기능을 이용할 수 있게 되었습니다. 시큐리티 익스플로러는 IT 팀이 단일 콘솔에서 마이크로소프트 플랫폼 전반의 액세스 제어, 권한 및 보안을 관리할 수 있도록 보고 및 교정 기능을 결합해 제공합니다.
  • 등록된 댓글이 없습니다.