내부자 위협

1. 내부자 위협 시각화

- 정당한 접근 권한을 가진 악의적인 내부자의 행위는 위반행위로 여겨지지 않기 때문에 보안시스템 모니터링에 로깅되지 않음

- 내부자 범죄의 종류 : 정보 탈취, 부정 행위, 파괴 행위

- 주로 애플리케이션 로그 등을 통해 파악 가능

- 기존의 통계적 기법이나 결정론적 방법을 이용해 내부자 위협을 분석 증명하기 위해 시각화 활용

- 정적인 패턴을 통해 탐지할 경우 부정 행위자는 쉽게 적응하게 되므로 시각화를 이용해 패턴을 찾아낼 수 있음

 

2. 내부자 범죄 행위

가. 정보 탈취

- 디지털 정보는 복사가 용이하기 때문에 몰래 유출이 용이하며 탐지가 어렵다.

- DLP 등에서 생성되는 로그를 이용하여 탐지

 

나. 부정 행위

- 로그 파일 또는 감사 증적을 이용해 파악할 수 있는 부정 행위의 종류는 부정 수령, 재무 제표 사기, 자산 횡령, 부정 거래, 컴퓨터/인터넷 사기 등

- 이런 부정 행위는 감사 증적, 애플리케이션, 파일 변경, 중요 파일 접근, 데이터베이스 테이블 접근 등 모니터링을 통해 감시

- 하나의 툴로 감시 불가

 

다. 사보타주

- 사보타주 사례의 절반 이하만이 기술적으로 복잡한 방법 사용 -> 쉽게 파악할 수 있는 가능성

- 하나의 툴로 감시 불가

 

3. 악의적인 내부자 탐지 절차

가. 전조증상 모니터링

- 사용자 행위를 모니터링하기 위해 애플리케이션 로그, 네트워크 트래픽, 카드 리더/카메라 등 물리적 보안 장비 등에서 정보 수집

- 사용자 행위를 기반으로 판정 (시그니처 매칭, 정책 모니터링, 이상 행위 탐지)

- 전조 증상에 점수를 매겨 표현

- SEC 또는 ArcSight를 이용하여 상관분석 수행 가능

- 인사팀 등 외부 조직과 정보 연계 (퇴직자 목록 등)

- 특정한 감시 대상에 오른 사용자에게만 일부 전조증상을 한정하여 모니터링 가능

 

나. 내부 후보자 목록 생성

- 시각화 등의 방법을 이용하여 후보자 목록 생성

- 링크 그래프를 이용하여 비슷한 행동을 보인 사용자 집단 구별/군집 형성

- 전조증상의 종류별로 후보자 그룹 형성

- 트리맵을 이용하여 전조증상 횟수, 점수 기반으로 분석

- 행위자가 어느 감시대상에 올랐느냐에 따라 점수 조정

 

다. 임계치 수정

- 임계치를 조정해 작은 점수의 데이터는 제외

- 각 사용자별 바 차트를 이용해 임계치 조정의 범위 예측 가능

 

라. 내부 후보자 목록 업데이트

- 악의적인 내부자를 확실히 파악

 

4. 기타

가. 감시대상

- 관리자와 영업사원 등 역할에 따라 감시 대상자를 선정

- 역할에 따라 전조증상의 점수를 조정하여 모니터링 가능