정보보호 마지막 단계는 모니터링입니다. 보안에 완벽이란 없다!라는 말처럼, 보안은 살아있는 생명체처럼 계속 진화하기에 완벽보다는 최선의 보안이란 표현이 더 적합하죠. 데이터 “탐지 – 분류 – 보호”에 뒤이은 최선의 보안을 위한 다음 단계는 “모니터링”입니다. 모니터링이 정상적으로 이루어져야 우리가 설정한 탐지, 분류 정책에 따라 제대로 정리되는지 그리고 잘 보호되는지 알 수 있기 때문이죠.
관련 블로그 링크(데이터 보호): 링크 추가 예정
그림 1) 정보보호 4단계 라이프 사이클
모니터링을 통한 세부적이고 정확한 정보 보호
모니터링은 크게 가시성 확보와 필요 행동을 도출하기 위한 것으로 나눌 수 있습니다.
1. 가시성 확보를 위한 모니터링
문서(데이터)의 배포, 공유, 액세스 등 일련의 과정을 모니터링해 보안 위험, 비정상적 행위 및 예외 사항 등이 발생하는지 파악하고 그에 따른 필요 조치를 하는 것을 의미합니다. 아래 항목들이 포함됩니다.
- 정책 위반: 조직이 설정한 보안 및 정보 관련 정책을 위반하는지 여부를 모니터링합니다. 예를 들어, 프린터 출력이 금지된 중요 문서를 출력하거나 외부 공유가 금지된 자료를 이메일 발송하는 행위가 될 수 있죠. 실수 혹은 고의로 발생할 수 있지만, 정확히 발견하면 적절한 대응이 가능하겠죠.
- 비정상적 활동 (Anomalous activity): 이 부분은 많이 설명되었기에 그냥 넘어가겠습니다.
- 사용자 재정의 (End-user overrides): 사용자가 파일(데이터), 앱 등을 변경하는 것을 의미합니다. 원래는 앱 화면 및 인터페이스 등의 변경을 말하지만, 보안에서는 파일 속성 및 권한 변경같이 보안 위험을 증가시킬 수 있는 행위를 의미합니다.
권한 없는 사용자의 이런 시도를 정책 위반이나 공격으로 인식하고 사용자 격리나 권한을 제거할 수 있습니다.
-
문서 접근 및 공유: 특정 문서가 누구에게 배포 및 공유되었는가? 누가 해당 파일에 액세스 했는가? 그들은 정상적 권한을 가졌는가 등을 모니터링합니다. 아래 그림에 오렌지색으로 표시된 호주 인원은 권한이 없다는 의미인데, 권한이 없을 수도 있고 필요한 인원인데 권한을 부여하지 않아 생긴 문제일 수 있습니다.
필요에 따라 권한을 부여하거나, 정책을 위반했다면 아래처럼 권한을 취소할 수 있겠죠.
그림 2) 문서 공유와 접근 상황 모니터링
그림 3) 클라우드 앱 사용 모니터링
- 클라우드 데이터 가시성: 분류 및 레이블링 작업이 완료된 데이터와 그렇지 않은 데이터를 클라우드 앱에서 공유하고 위험을 식별하는 모니터링 작업입니다.
- 클라우드 앱 위험 평가: Microsoft가 개발해 적용하는 60가지 보안 및 컴플라이언스 관련 위험 요소를 토대로 앱 위험성을 평가합니다. 예를 들어, 오피스 365에서 제공하는 “컴플라이언스 매니저”라는 서비스를 이용해 지난 5월 시행에 들어간 유럽연합 (EU) GDPR 관련한 앱의 위험성을 평가할 수 있습니다. (그림 4)
그림 4) 오피스 365 컴플라이언스 매니저를 이용한 GDPR 위험 평가
2. 행동 모니터링
모니터링 작업을 통해 파악된 이슈나 문제를 해결하기 위한 행동을 취하는 것을 의미하는데, Microsoft가 제공하는 보안 체계에서는 아래 작업이 가능합니다.
- 조정 & 개정: 많은 경우
사전에 잘 준비하고 점검을 했어도 실제 적용하면 예상치 못한 일들이 많이 벌어집니다. 정보보호도 예외일 수 없겠죠. 데이터 탐지, 분류 및 보호 정책을 잘 준비해 실행해도 정책, 기술 및 기존 환경 등의 이슈로 다양한 수정 사항이 생기게 됩니다. 이는 자연스런 현상이기 때문에 빠르게 조정 및 개정하는 유연성이 필요합니다. 이 출발도 모니터링에서 출발합니다. 오피스 365 컴플라이언스 매니저, 데이터 거버넌스 및 GDPR 관리 툴 등으로 할 수도 있고 회사 정책이나 프로세스를 변경해야 하는 작업일 수도 있습니다.
그림 5) 오피스 365 데이터 거버넌스 화면
- 사용자 격리: 글자 그대로 보안 정책을 위반하거나 비정상적 행위를 한 사용자 계정을 격리시키는 작업을 의미합니다.
- 파일 격리: 바이러스, 악성코드에 감염되었거나 비정상 행위를 반복하는 파일들을 격리하는 작업입니다.
- 권한 취소: 특정 사용자에게 할당한 권한을 취소하는 작업입니다. 해당 사용자의 부정 행위나 정책 위반에 대한 대응이거나 특정 업무를 위해 일시적으로 부여했던 권한을 회수할 수 있습니다.
권한 관리가 수작업으로 진행되는 경우에는 권한 회수가 적시에 이뤄지지 않는 경우가 자주 발생합니다. 심지어 퇴사한 직원 계정이 처리되지 않고 살아있는 경우도 자주 일어나는 사건이죠. 상시적이고 체계적인 모니터링 체계가 갖춰지지 않으면, 이런 사고는 항상 발생할 수 있습니다.
- 워크플로우 및 SIEM (Security Information & Event Management 연동: 여기까지 읽으면 질문이 생기실 겁니다. 데이터 탐지, 분류, 보호 방안 그리고 상시 모니터링까지 다 좋은데,,,이걸 누가 다 하지? 그 많은 이벤트 탐지와 조치까지 신속히 해야 하는데 현재 인력과 업무량을 볼 때 그게 현실적인가? 등의 질문과 답답함이죠. 이런 상황을 위한 대안이 워크플로우 혹은 Security Information & Event Management (SIEM)이란 SW입니다. SIEM는 기업의 보안 끝단부터 사용자까지의 전체 보안 영역에 대한 로그를 수집, 저장 및 분석하고 이에 대한 종합적 보고 및 규제 준수, 빠른 공격 탐지, 차단 및 대응을 위한 실시간 모니터링 기능을 제공하는 제품으로 정의할 수 있습니다.
그림 6) SIEM 서비스의 역할
이렇게 해서 Microsoft 정보보호 4단계 (탐지 – 분류 – 보호 – 모니터링)를 알아보았습니다. 우리 회사 상황과 연계해 생각해 보시면, 어떤 부분에 무슨 일을 우선적으로 해야할지 정리가 되지 않을까 합니다. 마무리해보면, (1) 정보보호는 정책과 기준을 세우고 단계별로 진행한다 (2) 업무 데이터와 정보가 위치하는 영역을 대상으로 설계하는 것이 필요하며, (3) 업무 및 시스템에 대한 개별적 접근이 아닌 통합적 접근이 중요하다. 그리고 (4) 시스템 및 자동화된 보안 체계의 도입과 활용이 필요하다! 고 결론을 내릴 수 있을 것 같습니다.
Microsoft 365 알아보기: https://cloud.gowit.co.kr/microsoft-365/
Microsoft 365 및 클라우드 도입 문의
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.