[기업 보안 강화 전략]내부 사용자 작업 및 활동 추적하기
[Update News]2025년 3월 Microsoft 365 업데이트 소식
2025년 3월 28일상반기 출시 앞둔 GoWorks Pro 공유형에 대해 궁금한 질문들
2025년 6월 5일Related posts
갈수록 교묘해지는 고도화된 공격자들의 전략과 기법이 증가하고 생성형 인공지능(AI)의 활용 확산과 국제 정치 환경 변화 등에 따라 그에 따른 기업의 우려와 걱정은 더욱 커지고 있는 실정입니다. 2024년 업종별 침해 사고의 경우, 제조업과 공공 분야가 각각 18%로 가장 높은 비중을 차지하며 주요 타깃이 된 것으로 나타났습니다. 이처럼 공격 전략이 점차 다각화 되어 발생되고 있는 만큼 다양한 보안 위협에 대해 이해하고 이에 대응할 수 있는 보안 전략을 세우는 것이 무엇보다 중요한데요,
저희 고우아이티는 지난해부터 중소기업이 직면한 보안 우려와 고민에 대한 걱정을 덜어드릴 수 있도록 주요 보안 이슈와 관련한 중소기업(조직)에 적합한 보안 가이드를 적용할 수 있도록 각 단계별 보안 시스템을 가이드라인으로 제공해드리고 있습니다.
(관련 포스트 보러가기 >> [중소기업 보안의 모든것 2탄] 보안, 이렇게 시작하세요 – 단계별 보안 가이드 안내 – – 고클라우드 )
우선 보안 위협은 크게 해킹이나 악성코드, 자연재해 등 외부 위협과 내부로부터 데이터 무단 복사나 전송 그리고 권한 승격 등의 유형으로 발생하는 내부 위협으로 나뉠 수 있습니다. 보통 외부 위협으로 인한 피해가 더 크고 빈번하게 발생한다고 알고 계시는 분들이 많지만 실제로는 내부자로 인한 데이터 유출이나 침해 위협이 외부 위협보다 더 크고 사전 탐지 및 대응도 어렵고 까다롭습니다.
조직의 기밀 데이터를 인지하고 데이터의 정확한 위치까지 알고 있는 내부 사용자가 마음먹고 유출하는 데이터의 중요도와 가치는 비교적 높기 때문입니다. 따라서 조직은 다양한 보안 위협을 고려한 외부 접근 가능 여부에 대한 보안 점검에 주의를 기울여야 할 뿐만 아니라 내부에 존재하는 내부 위협(유출)에 대한 취약점을 사전에 진단하고 파악하는 것이 중요합니다.
앞서 보안 콘텐츠에서 계속 언급되는 ‘내부자 위협’이란 직원, 비즈니스 파트너 등 조직내 권한이 있는 사용자가 조직의 중요 정보 또는 시스템에 부정적인 영향을 미치는 액세스 권한을 오용할 때 발생하는 사이버 보안 위협을 의미합니다.
트렐릭스(Trellix)에서 조사한 2024년 사이버 위협 예측에 따르면, 내부자 위협은 지난 2년동안 47%가량 증가했습니다. 이를 증명이라도 하듯 2024년은 260억개의 개인 정보가 유출된 MOAB(Mother Of All Breaches)사건을 시작으로, 5번째로 큰 대출 기관인 론디포(Loan Depot)가 사이버 공격을 받아 1600만명 이상의 고객의 민감한 정보가 노출되는 아찔한 사례가 발생했습니다.
이처럼 내부 위협으로 인한 피해는 막대한 피해로 이어질 수 있으며 이는 지적 재산 손실 뿐 아니라 기업 이미지(평판)손상과 같이 기업의 브랜드 이미지에도 치명적인 타격을 입힐 수 있습니다.
이에 마이크로소프트는 Microsoft 365 서비스를 통해 내부로부터 발생하는 위협을 최소화하기 위한 다양한 기능들을 제공하고 있는데요, 이번 포스트에서는 내부 위협을 관리하기 위한 다음 6가지 기능에 대해 하나씩 살펴보도록 하겠습니다.
감사 기능
Entra ID 로그
경고 정책
활동 탐색기
준수 관리자
Cloud Discovery
1. 감사 솔루션
직장인들이 하루에 얼마나 많은 문서들을 접하고 있는지 알고 계시나요?
뜬금없이 무슨 질문이냐구요..?^^ 조직내 사라진 문서에 대해 아무도 행방을 알지 못할 때 사라진 문서를 어디서 찾아야 할까요?
그 해답은 바로 “감사 기능“에 있습니다.
이 감사 솔루션에는 Microsoft 365 서비스에서 발생되는 모든 활동이 기록되며 해당 내용을 토대로 ‘문서 공유’ 및 ‘삭제’와 같은 활동에 대한 기록 확인이 가능합니다.
감사 솔루션은 조직이 보안 이벤트, 법의학적 조사, 내부 조사 및 규정 준수 의무에 효과적으로 대응할 수 있도록 지원하는 통합 솔루션으로, 사용자 및 관리자 작업은 조직의 통합 감사로그에 캡쳐/기록/유지되며 수행된 활동에 대한 가시성을 제공하는 솔루션이라고 이해하시면 되겠습니다.
감사 기능 안내
감사는 다음과 같이 다양한 기능들을 제공함으로써 조직의 소중한 정보들을 보호합니다.
첫째, 무단 활동을 감지하고 시스템 구성 변경 및 액세스 이벤트에 대한 세부 정보를 캡쳐하여 조직의 보안을 강화합니다.
둘째, 로그 데이터를 통해 시스템 문제를 신속하고 정확하게 파악하여 문제 해결에 도움을 줄 수 있습니다.
셋째, 규정 준수 요구사항 즉, 필수적으로 지켜야 하는 법적 및 규제 요구사항을 충족하고 준수하는데 도움을 줍니다. 여기서 규정 준수란, 법률, 규정, 표준을 준수하는 것을 의미합니다. 이는 기업이 법적 의무를 이행하고 규제 요건을 충족하여 고객과 신뢰를 유지하며 비즈니스 연속성을 보장하는 것을 의미하기도 합니다.
넷째, 활동을 실행한 사람, 활동이 발생한 시기 및 위치, 활동의 결과를 식별할 수 있습니다.
2. Entra ID 로그
사용자 로그인 로그
Entra ID 관리 대시보드에서 사용자의 로그인 로그를 확인할 수 있습니다. 로그인 로그는 사용자가 로그인을 시도할 경우 생성되며 현재 기준으로 지난 1개월까지 검색이 가능합니다.
로그에서 확인 가능한 주요 정보는 ‘로그인 성공 여부’, ‘로그인 애플리케이션’, ‘접속 위치를 나타내는 IP 및 국가’, ‘디바이스 정보’, ‘조건부 액세스‘ 등이 있습니다.
※ 해당 로그는 로그인 실패 원인을 분석하거나 외부로부터의 접근 시도가 있을 때 대응하기 위해 사용됩니다.
3. 경고 정책
Office 365 보안 센터에서 조직의 비정상적인 활동에 대한 경고 정책을 확인할 수 있습니다.
Microsoft에서는 기본 경고 정책을 제공하고 있는데요. 해당 정책은 ‘이메일 위협’, ‘계정 위협’, ‘문서 위협’에 대한 다양한 기본 알림을 제공하고 있습니다. 기본 알림 정책만으로는 불안하다고 생각하시는 경우 사내 필요성에 따라 새로운 경고 정책 생성도 가능합니다.
경고 정책 모니터링
경고 정책으로 발생된 경고 이력들은 다음 경고에서 확인할 수 있습니다.
발생된 알림은 메일과 경고에서 관련 정보를 확인할 수 있는데요. 이력은 현재 기준으로 6개월 이전까지 검색 가능합니다. 확인 가능한 주요 정보로는 영향을 받은 대상자인 ‘사용자’나 ‘장비’ 그리고 ‘메시지’와 ‘활동 기록’이 있습니다.
4. 활동 탐색기 기능
활동 탐색기를 통해 문서 콘텐츠 작업과 레이블 활동에 대한 세부 정보들을 탐색할 수 있습니다.
해당 메뉴에서는 문서나 레이블에 대한 변경 활동을 1개월 전까지 확인 가능합니다.
문서 수정이나 삭제 활동까지 조회 가능하며 탐색 가능한 주요 정보는 ‘변경 레이블’, ‘변경 사유’, ‘변경한 사용자’ 등이 있습니다.
5. 준수 관리자
준수 관리자를 통해 서비스 보호와 관련된 위험 상황을 측정하고 조치할 수 있습니다.
해당 메뉴에서는 시스템에서 제안하는 규정 준수에 대한 점수를 확인하고 주요 개선 조치사항을 확인하여 조치를 취할 수 있습니다. 상세 사항을 살펴보면 조치 이유와 조치 방법 그리고 관련 컨트롤 정보 확인이 가능합니다. 또한 조치가 완료되면 대시보드에 점수가 반영됨으로써 일련의 프로세스가 마무리 됩니다.
6. Cloud Discovery
Cloud Discovery를 통해 Shadow IT 대시보드를 구성할 수 있습니다. 사내 방화벽 장치와 연결하여 Syslog 수집이 가능한데요. 자동 로그 업로드 구성이 필요한 연속 보고서와 일회성으로 업로드하는 방식인 스냅샷 보고서가 제공됩니다. 보고서에 검색되는 App은 Microsoft에서 관리하는 App 기준으로 검색하여 대시보드와 보고서가 제공됩니다.
Cloud Discovery 대시보드에서는 조직의 보안과 관련된 다양한 정보를 확인 가능합니다. 해당 자료들을 활용하여 보고 시 유용하게 사용 가능합니다. :)
이번 포스트에서는 내부 사용자들의 작업 또는 활동을 기록하고 추적하여 모니터링 하는 여러 솔루션들에 대해 살펴봤는데요. 보다 근본적인 내부 위험 관리 솔루션으로. 내부 잠재적인 데이터 보안을 위협할 수 있는 내부자 위험을 감지하고 데이터 손실을 효과적으로 방지할 수 있는 DLP(데이터 손실방지) 기능과 사용자의 로그인 및 액세스 활동을 제어할 수 있는 조건부 액세스(Microsoft Entra ID 등)에 대한 설명은 이전 포스트에서 확인 가능합니다.
내부자 위협을 최소화하고 피해를 방지하기 위해 관리자는 내부 사용자들이 취하는 작업들을 면밀히 살펴보고 대응할 수 있어야 합니다. 내부 사용자들이 수행한 작업들을 추적하고 기록하기 위해서는 조직에서 사용중인 시스템에 대한 이해도를 높이고 잘 활용할 수 있는 능력을 키우는 것이 중요합니다.
내부에 툴을 보유하고 있지만 어떻게 적용하고 활용해야할지 경험과 스킬이 부족해 고민이시라면 그건 걱정하지 마십시오.^^ 마이크로소프트 보안(Security) 파트너인 고우아이티는 15년간 Microsoft CSP로 활약하며 900여 기업들을 대상으로 기업의 디지털트랜스포메이션으로의 전환 뿐 아니라 보안 분야에서 성공 구축, 솔루션 제안, 컨설팅 등을 통해 업종별로 다양한 경험을 쌓아왔고 그에 대한 경험과 데이터를 기반으로 중소기업을 위한 Microsoft 365를 활용한 보안 가이드 라인을 제공하고 있습니다.
기업 보안과 관련하여 고민이 있으시거나 문의사항이 있다면 어려워하지 마시고 편하게 문의주시기 바랍니다. 귀사의 기업 환경과 현 상황에 맞게 적용할 수 있도록 적합한 솔루션과 방안을 모색하여 조직의 소중한 자산을 안전하게 지킬 수 있도록 도움 드리겠습니다. 감사합니다. ^^