데이터보안

내부자 위협 방지 및 탐지

거미손 노랑이 2010. 6. 16. 21:49

지난 번에 소개해 드린 내부자 위협에 이어, 2009년에 카네기 멜론 대학 CERT(컴퓨터 사고 대응 팀)에서 발간한 '내부자 위협 방지 및 탐지에 대한 상식 안내서 3판' 중에서 내부자 위협 방지 및 탐지에 대한 16가지 모범 사례를 소개합니다.

원문 다운로드

  1. 전사적 위험 평가에 있어서 내부자 및 비즈니스 파트너로부터의 위협을 고려하라
    조직에 있어 주요한 자산이 무엇인지 정한 다음, 그러한 자산을 내부자 및 외부자로부터 보호하기 위한 위험 관리 전략을 세우는 것이 중요합니다.


  2. 정책과 통제를 명확하게 문서화하고 지속적으로 강제하라
    보안 정책과 통제를 명확하게 문서화하고 지속적으로 강제함으로써 내부자 사고를 줄일 수 있습니다. 다른 직원에 비해 불평등한 처우를 당하고 있다고 느끼는 것이 고용주의 IT 시스템을 공격하는 동기가 되기도 합니다. 다른 내부자들은 일관적이지 못하거나 강제성 없는 정책으로 인해 정보를 훔치거나 변조할 수 있습니다.


  3. 모든 직원을 위한 정기적인 보안 인식 훈련을 연구하라
    조직의 모든 직원은 보안 정책 및 절차가 존재하며, 그러한 것들이 있어야 할 이유가 있으며, 그것들은 반드시 강제성을 띄고 시행되어야 하며, 위반에 대해서는 심각한 결과가 초래될 수 있다는 것을 인지하여야 합니다.


  4. 의심스럽거나 혼란을 일으키는 행동을 채용 과정에서부터 감시하고 대응하라
    장차 심각한 범죄 행위로 발전할 수 있는 반복적인 정책 위반 사항을 감시함은 물론, 직원을 고용하기 전부터 의심스러운 행동을 감시해야 합니다.


  5. 직장 내 문제를 예측 및 관리하라
    책임과 제한 사항 및 이에 대한 위반에 따르는 결과를 직원에게 명확히 알려주고 지속적으로 강제해야 합니다. 건전하고 생산적인 근무 환경을 조성하며, 직장 내의 여러 문제에 대하여 자유롭게 토의할 수 있으며 그에 따른 불이익이 따를 수 있다는 불안감이 들지 않도록 해야 합니다. 대부분의 내부자 IT 사보타지 공격은 해고와 관련하여 발생하므로, 적대적인 직원을 내보낼 때에는 최대한 조심해야 합니다.


  6. 시설과 장비에 대한 접근을 통제하고 보호하라
    시설과 장비에 대한 권한을 필요로 하는 직원 및 계약자라 할지라도, 직장의 모든 분야에 대한 권한을 부여할 필요는 없습니다. 시설과 장비에 대한 접근을 기록하고 감사하여 위반 사항을 적발하여야 합니다. 퇴직 직원, 계약자, 비즈니스 파트너가 조직의 비공개 시설에 접근하도록 해서는 안됩니다.


  7. 엄격한 비밀 번호와 계정 관리 정책 및 관행을 수립하라
    비밀번호와 계정 관리 정책 및 관행은 직원, 계약자, 비즈니스 파트너에 공히 적용해야 합니다. 인가되지 않은 계정에 대한 접근, 사회 공학적 시도에 대한 보고 체계를 갖추어야 합니다. 불필요하거나 만료된 계정을 식별하고 비활성화하기 위한 감사가 필요합니다.


  8. 업무를 격리하고 최소한의 권한을 부여하라
    모든 직원에게 적절한 보안 인식 훈련을 하고, 중요 업무에 대한 책임을 직원들 간에 분할하면, 한 개인이 다른 이의 협조 없이 사기 또는 파괴를 저지를 가능성을 줄일 수 있습니다.


  9. 소프트웨어 개발 수명 주기에서 내부자 위협을 고려하라
    많은 내부자 사건이 소프트웨어의 결함과 직· 간접적인 관련이 있습니다. 소스 코드 내에 해로운 코드가 삽입되는 것과 같은 직접적인 관련도 있고, 업무 분할이 부적당한 점을 악용하는 것과 같은 간접적인 관련도 있습니다.


  10. 시스템 관리자 및 기술자 또는 권한을 가진 사용자에 대하여 특히 주의하라
    시스템 관리자 및 데이터베이스 관리자는 악의적인 행위를 저지르고 은폐할 기술적인 능력을 갖고 있습니다. 업무 분장, 상호 감시, 암호화, 불필요한 계정 비활성화 등을 통하여 피해를 줄이고 위험을 감지할 수 있습니다.


  11. 시스템 변경 통제를 구현하라
    시스템 관리자 또는 권한이 있는 사용자가 백도어 계정, 키보드 입력 기록기, 논리 폭탄 또는 시스템 또는 네트워크에 해로운 프로그램을 배포할 수 있습니다. 소프트웨어와 하드웨어 구성에 대한 기준을 세우고, 이를 현재의 구성과 비교하여 불일치를 감지하고 관리자에게 통보할 수 있습니다.


  12. 직원의 온라인 작업을 기록, 감시 및 감사하라
    데이터 누출 도구를 활용하면 시스템에 대한 무단 변경, 지적 재산권과 같이 기밀 정보 또는 중요한 정보, 고객 또는 의뢰자 정보 및 개인 정보의 다운로드를 탐지할 수 있습니다.


  13. 원격 공격에 대하여 계층화된 방어를 사용하라
    자신의 행위가 기록되고 감시되고 있다는 것을 알게 되면, 직원들은 시스템이나 네트워크에 대한 공격을 주저하게 됩니다. 원격 접근에 대한 정책과 절차는 세심하게 수립하여야 합니다. 원격 접속이 꼭 필요하다면, 조직이 소유한 장비를 통해서만 접근하도록 하고 원격 접근을 기록하며 자주 감사하여 위험을 줄이도록 해야합니다.


  14. 고용 종료시 컴퓨터 접근을 비활성화하라
    직원이 퇴직하면 물리적 장소, 네트워크, 시스템, 애플리케이션, 데이터에 대한 모든 접근 경로를 봉쇄해야 합니다. 빠른 처리를 위해서는 컴퓨터 계정, 공유 비밀번호, 카드 통제 시스템 등을 지속하고 엄격하게 추적·관리하는 것이 필요합니다.


  15. 안전한 백업 및 복구 절차를 정립하라
    내부자 공격의 위험을 완전히 없앨 수는 없습니다. 내부자 공격의 가능성에 대비하고 대응 시간을 최소화하기 위하여 안전한 백업 및 복구 절차를 구현하고 정기적으로 테스트합니다.


  16. 내부자 사고 대응 계획을 개발하라
    내부자 사고 대응 계획을 수립해야 하며, 피해 발생시 증거를 확보하고 적절한 후속 조치를 수행해야 합니다.