몇 년 전 까지만 해도 정보유출 사고의 대부분은 내부자의 고의 혹은 실수로 인해 발생했다. 그러나 사이버 공격이 지능화되면서 60% 이상의 공격이 외부 해킹으로 인해 발생하는 것으로 조사되고 있다. 지능화된 타깃 공격은 사용자를 교묘하게 속여 침투한 후, 타깃 시스템으로 접근한 후 정상 사용자의 권한을 획득하고 정상 프로세스를 이용해 정보를 수집, 유출한다.
정보유출 단계에서 본다면, 해킹에 의한 유출이든 내부 사용자에 의한 유출이든 정상적인 사용자 권한을 이용해 정보를 빼낸다는 것은 동일하다. 따라서 불법적인 정보유출을 방지하기 위해서는 사용자 ‘계정’의 행위를 살펴보고 정상적인 절차에 의한 정보접근이라 할지라도 불법적인 행위가 일어날 가능성이 있는지 모니터링해야 한다.
VDI·VPN 환경서도 정보유출 면밀히 감시
이 때문에 최근 사용자 행위분석(UBA), 사용자 계정 행위 분석(UEBA)이 주목받고 있다. 보안 솔루션 유통 전문기업 리마가 국내에 공급하는 ‘옵저브잇(ObserveIT)’은 정보유출 패턴을 기반으로 위협행위를 차단하는 UBA 솔루션이다. 국내 대형 제조기업, 에너지 관련 기업, 금융·통신 등에서 사용하고 있으며, 데스크톱 가상화(VDI), 재택·모바일 근무, 외주직원 등 다양한 업무환경에서 일어나는 정보유출 행위를 모니터링한다.
정윤석 리마 상무는 “정보유출 사고의 많은 경우, 사용자가 인지하지 못한 상태에서 일어나며, 장기간에 걸쳐 은밀하게 진행된다. 고의로 사고를 일으키는 경우에도 보안 정책과 시스템을 우회해 빼내기 때문에 기존의 정보유출 방지 시스템으로 탐지하는데 한계가 있다”며 “특히 가상화, 원격환경 등 보안의 사각지대에 있는 사용자까지 아루는 모니터링 시스템이 필요하다”고 강조했다.
옵저브잇은 마치 CCTV처럼 사용자 행위를 기록하는데, 텍스트와 비디오 로그를 남겨 감사 혹은 사고조사용으로 사용할 수 있도록 한다. 또한 정보유출 룰셋을 정해 정보유출 정황을 탐지하면 알리게 되며, 고객이 룰셋을 자유롭게 변경해 운영할 수 있다.
옵저브잇은 시트릭스 공식 파트너로, VDI·애플리케이션 가상화 환경에서 사용자 행위를 모니터링 할 수 있으며, VM웨어 등 다른 가상환경도 폭넓게 지원한다. 윈도우, 유닉스, 맥 등 OS 제약 없이 설치 가능하며, 5유저 소규모 사업장부터 글로벌 기업에 이르는 대규모 사업장까지 지원할 수 있다.
개발자 친화적인 시큐어코딩 제공
리마는 글로벌 시큐어코딩 전문기업 체크막스의 총판이기도 하다. 체크막스는 정적분석 솔루션으로, 개발자 친화적인 환경을 제공해 개발조직의 생산성을 저해하지 않으면서 소스코드 보안을 이룰 수 있다.
체크막스는 베스트 픽스 로케이션 기능을 제공해 개발된 코드의 보안 취약점이나 장애 요소의 중요 지점을 알려줘 수정 작업을 보다 용이하게 할 수 있도록 하며, 증분스캔 기능을 제공해 스캔 시간을 대폭 줄인다.
정 상무는 “시큐어코딩 시장에서 동적분석이 정적분석보다 우월한 것으로 인식되고 있지만, 정적분석 없이 동적분석만으로 소프트웨어를 보호할 수는 없다. 또한 동적분석과 정적분석의 알고리즘이 다르기 때문에 하나의 솔루션으로 두 방법을 동시에 진행하는 것도 어려운 일”이라고 말했다.
그는 “특히 IoT에서는 정적분석의 중요성이 더욱 강조될 것이다. IoT를 위한 소프트웨어는 라이프사이클이 매우 짧기 때문에 분석 시간을 단축해야 하며 동적분석보다 정적분석에 더 무게를 둘 것”이라며 “IoT에서 체크막스의 활용도는 더욱 높아질 것으로 기대한다”고 덧붙였다.
