오늘 글에서는 보안 사고와 관련된 내용이 아닌, 접근통제 보안 솔루션에 대해서 짧게 이야기해볼까 합니다. 아마 보안 분야로 취업을 생각해서 공부하는 분이나, 이미 기업의 보안 담당자로 일하시고 계시는 분이라면 접근통제라는 말에 굉장히 익숙하실텐데요. 접근통제가 왜 필요한지를 기술적인 내용은 최대한 줄여서 쉽게 설명하고, 최근 접근통제 보안 솔루션의 트렌드는 어떤지까지 간단하게 말씀드리도록 하겠습니다. 어려운 내용은 없을테니 가볍게 읽어주시면 될 것 같네요. 자, 그럼 오늘도 시작해보겠습니다.
일단 이 접근통제라는 단어를 생각해보면, 말 그대로 누군가 어떤 사물이나 장소에 접근하는 것을 제어한다라는 뜻이죠. 물리적인 측면에서 생각해봤을 때는 군사기밀 시설과 같은 통제구역에 외부인의 접근을 통제하는 것으로 볼 수 있고, 시스템의 보안 측면에서 생각해보면 기업의 중요한 정보가 있는 내부 서버에 권한이 없는 사용자의 접근을 막는 것으로 볼 수 있습니다. 쉽게 생각해보면, 내 집에 누군가 침입하는 것을 막기 위해 도어락을 걸어놓고 비밀번호를 아는 가족만 들어올 수 있게 만드는게 접근 통제의 개념이죠.
결국 중요한 데이터가 있는 기업의 내부망에 접근하는 사람들은 해당 기업의 임직원이 될겁니다. 임직원들에게 내부망에 접속할 수 있는 권한을 부여해주고, 아이디와 비밀번호와 같은 정보를 인증하여 접근을 통제하는 거죠. 접근통제 보안 솔루션을 보면 보통 기업의 데이터를 유출할 목적을 가진 해커와 같은 악의적인 사용자를 막기 위해 외부에서 내부로 들어오는 부분을 확인합니다. 네트워크 접근제어 개념으로 불리는 NAC(Network Access Control) 솔루션이나 서버 접근제어를 칭하는 SAC(System Access Control) 솔루션들이 대부분 그러한데요.
그런데 최근에는 내부망으로 접근하는 부분을 통제하는 것 보다도 내부에서 발생하는 비정상적인 행위를 더 주의깊게 봐야합니다. 이미 시스템 인증을 받아 접근 권한 가진 사용자가 데이터 유출을 목적으로 공격하는 내부자 공격이 많기 때문인데요. 심지어 기업 웹 사이트의 관리자 페이지 등에서 계정 정보를 추측해서 무작위로 대입하던 과거와는 달리 지금은 이미 많은 계정 정보들이 다크웹에 떠돌아다니고 있습니다. 네이버와 같은 일반 웹 사이트에서 사용하는 계정 정보를 기업에서 그대로 사용하는 경우도 있어서 문제가 더 크죠. 해커들이 다크웹에서 기업의 계정 정보를 사고 팔기 때문에 기업의 내부망에 침투하는 것은 더 쉬워졌다고 보셔야 합니다.
물론 기업의 정보 유출이라는게 꼭 해커의 공격뿐만 아니라, 임직원이 악의적인 목적을 가지거나 단순한 실수로 인해 사고가 일어나기 때문에 과거보다 더 많이 발생하고 있습니다. 그러다 보니 인증된 사용자라고 해도 해당 사용자의 행위를 모니터링하고, 다른 시스템에 불필요한 접근을 차단하는 등 계정과 접근 권한도 함께 관리를 해야할 필요성이 생겼죠. 만약 행정일을 처리하는 A라는 직원이 평소와 다르게 일반적으로 접근할 필요가 없는 DB 서버에 접속해서 대량의 정보를 조회한다면, 악의적인 행위로 정의하고 이를 차단해야 할겁니다. 물론 그 전에 먼저 업무를 처리하는데 필요한 서버를 제외하고 DB와 같은 불필요한 서버에 접속하지 못하도록 권한을 제한해야겠죠.
위와 같은 상황이다 보니 요즘 기업에서는 내부 보안 위협을 줄이기 위해서 지속적인 보안 교육과 함께 EDR 같은 위협 탐지 및 대응 솔루션을 도입하기도 합니다. 사실 위협 탐지를 위해서는 사용자의 비정상적인 행위를 정의해야 하는데, 이를 위해서는 사용자의 업무 활동을 기록하는 방대한 행위 로그들이 분석되어야 하죠. 이 로그들을 어디서 얻을 수 있을까 생각해보면, 이미 기업에 도입되어 있는 접근통제 솔루션에서 얻을 수 있습니다. 대부분의 접근통제 솔루션에서는 사용자가 업무 시스템에 접속해서 평소 어떤 작업들을 했는지 행위들이 로그로 저장되어 있는데요. 이 로그들을 위협 탐지 및 대응 솔루션의 학습 데이터로 활용해서 예측 정확도를 좀 더 높일 수 있을겁니다.
[테크칼럼] 내부 보안 위협, 접근통제 솔루션으로 예측하고 대응한다
최근 기업의 기밀 정보를 유출하는 기업 대상 해킹 사고 사례가 증가하고 있다. 그중에서도 국제 사이버 범죄 조직 랩서스(LAPSUS$)의 해킹 공격이 이어지고 있다. 엔비디아, 마이크로소프트, 삼성
www.boannews.com
사실 접근통제 보안 솔루션에 대해 기술적으로 풀자면 더 많은 이야기들을 할 수 있지만, 너무 길어지기도 하니 여기서 줄이도록 하고요. 추후에는 다양한 보안 장비들의 로그들을 한데 모아서 관리하는 SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리)과 이를 자동화하는 SOAR(Security Orchestration, Autmation, Respsone, 보안 운영 자동화 및 대응) 솔루션에 대해서도 소개하는 시간을 가져보도록 하겠습니다. 그럼 이번 포스팅은 여기서 마치도록하겠습니다. 오늘도 읽어주셔서 감사합니다.
'Security Essay' 카테고리의 다른 글
| 망분리 시스템을 공격하는 USB를 이용한 악성코드 (0) | 2022.05.21 |
|---|---|
| 애플리케이션 API 보안 취약점 사례 (0) | 2022.05.15 |
| 카카오톡 이용자보호조치 사칭 피싱 메일 사례 (0) | 2022.05.01 |
| 업비트 사칭 카카오톡 계정 정보 유출 사례 (0) | 2022.04.30 |
| 금융권 클라우드 및 망분리 규제 완화 (0) | 2022.04.24 |
댓글