기업의 데이터 유출 이젠 그만!

2011.10.06

 

안녕하세요. 안랩인입니다. 최근 기업의 데이터 유출 뉴스가 심심치 않게 들려오고 있습니다. 그렇다면 데이터 유출을 포착하거나 방지하는 능력을 높여주는 값싼 방법과 프로세스란 대체 무엇일까요? IT 관리자와 컨설턴트의 의견을 취합해서 컴퓨터월드가 선정한 기본적인 방법들을 살펴보겠습니다.

로깅만 하지 말고 모니터링하라

버라이즌 연구 결과 데이터 유출의 87%가 로그에 증거를 남겼지만, 60% 정도는 사건의 최초 확인 주체가 내부가 아닌 외부였습니다. 로깅 자체는 보안에 대한 잘못된 인식을 심어주는 것으로 보입니다. 엔지니어링 및 컨설팅 업체 에너넥스(EnerNex)의 보안 엔지니어인 슬레이드 그리핀은 이는 IT 담당자가 로깅과 모니터링의 개념을 혼동하기 때문이라고 지적했습니다. 로깅이 하는 역할은 기록이 전부입니다. 그리핀은 “보통 IT 담당자들은 ‘전부 다 로깅한다’라고 말한다. 그건 좋은데, 그 로그를 살펴보는 사람이 있는가?”라고 물었습니다.

작은 기업이라면 로그를 직접 살펴보는 것이 가능한 경우도 있습니다. 에너지 및 건물 자동화 업체인 ENE 시스템즈는 직원 140명에 자산 규모는 3,000만 달러인 회사입니다. ENE 시스템즈의 네트워크 서비스 관리자 배리 톰슨에 따르면, 요청이나 데이터 유출 증거의 유무와는 무관하게 IT 직원 한 명이 일주일에 하루 로그를 검토합니다. 담당자는 로그에서 비정상적인 항목을 찾지만 포르노, 도박, 인종/종교 증오와 관련된 항목은 자동으로 위험 항목으로 분류됩니다.

규모가 큰 기업의 경우 로그 데이터 분량이 방대해서 직접 살펴보기가 거의 불가능합니다. 이 경우 두 가지 선택안이 있다. 로그 검토를 외면하거나, 로그를 자동으로 모니터링하고 분석하는 고급 소프트웨어를 구입하는 것입니다. 버라이즌 보고서에 따르면 이러한 소프트웨어는 아직 많이 사용되지 않고 있습니다.

이 문제에서 한 가지 중요한 부분은 기업에서 이미 보유하고 있는 소프트웨어 기능을 IT 부서가 제대로 파악하지는 못하고 있는 경우가 많다는 점입니다. 예를 들어 단지 감사에 통과하기 위한 목적으로 로그 분석 제품을 구입하는 경우가 있습니다. IT 부서는 규정 요건에 맞게 시스템을 설정하고는 이후 잊어버립니다.

센터 포 아메리칸 프로그레스(Center For American Progress)의 정보 보안 및 운영 관리자인 닉 리베이는“비용을 지출하지 않고도 그저 구입한 시스템을 최대한 활용하는 후속 조치만으로 많은 일을 할 수 있다”고 말했습니다.

간단하게는 설명서를 읽거나 온라인 자습서를 살펴보는 것도 이런 작업에 해당합니다. 시간에 쫓기는 IT 담당자들은 그냥 지나치기 쉽지만 공급업체들이 무료 교육 서비스를 제공하는 경우도 많습니다. 도구 자체만 보면, 데이터 유출의 징후일 수 있는 비정상 활동을 탐지하는 기술이 나날이 발전하고 있습니다. 그러나 담당자가 감당할 수 없을 정도로 많은 경고를 남발한다면 도움이 되지 않습니다.

버라이즌 보고서는 그 중간 지대를 택할 것을 권장합니다. 즉, 바늘을 찾지 말고 건초더미를 보라는 이야기입니다. 기술의 도움을 받든 직접 검토하든 큰 변화, 즉 로그 내에서 예외적으로 길이가 긴 행, 데이터 볼륨의 급작스러운 변경 등에 주목하는 것이 중요합니다.

보고서는 “데이터 유출이 발생한 후 로그 항목의 수가 500%까지 증가하는 경우, 공격자가 로깅을 꺼서 몇 달 동안 로깅 기록이 아예 없는 경우, QL 주입 및 기타 여러 공격이 로그 내에서 정상 활동에 비해 긴 행을 남기는 경우 등이 관찰됐다”고 전했습니다. <Ahn>

*더 자세한 내용은 안랩 홈페이지 및 한국 IDG(원문)에서 보실 수 있습니다.