보안 모니터링 및 공격 탐지 계획 가이드
3장 - 문제 및 요구 사항
업데이트 날짜: 2005년 5월 23일
이 페이지에서
소개
정책 위반 탐지
외부 공격의 식별
법적 분석의 구현
요약
소개
네트워크에 대한 위협을 정확히 평가하는 것은 효과적인 보안 전략의 중요한 부분입니다. 물리적 보안 위험 요소에 대한 관점이 조직에 따라 다르듯이, 네트워크 데이터에 대한 위험 요소를 평가하는 관점 역시 회사마다 다를 수 있습니다. 이러한 관점은 조직이 속한 업종, 데이터의 가치, 이전에 네트워크를 공격 당한 경험이 있는지 여부 등 다양한 요인으로 나타납니다. 보안 위험 관리에 대한 자세한 내용은 The Security Risk Management Guide (영문)을 참조하십시오.
Microsoft 파트너 및 고객의 데이터와 Microsoft 회사 네트워크에서 얻은 정보를 결합하여 분석한 결과, 보안 모니터링 및 공격 탐지에 관련된 세 가지 주요 고려 사항을 확인할 수 있었습니다. 이 세 가지 고려 사항은 다음과 같습니다.
정책 위반의 탐지
외부 공격의 식별
법적 분석의 구현
이 장에서는 각 시나리오에 대해 설명하며, 이러한 위협에 대응하기 위한 보안 모니터링 및 보관 구성 방법에 대해서는 4장, "솔루션 설계"에서 다룹니다.
네트워크에서 비정상적 동작을 식별하려면 해당 환경의 일반적인 동작이 무엇인지부터 알아야 합니다. 이 가이드에서 일반적인 동작과 비정상적 동작을 구분해 보겠습니다.
또한 예외 사항을 식별하려면 모든 컴퓨터에 대한 보안 기준선을 구현해야 합니다. 보안 기준선 없이는 기본적인 요구 사항에 미치지 못하는 컴퓨터를 식별할 수 없습니다.
정책 위반 탐지
정책 위반은 조직이 대처해야 하는 보안 문제의 가장 큰 범주를 차지합니다. 정책 위반에 해당하는 작업의 예는 다음과 같습니다.
적절하지 않은 프로세스로 사용자 계정을 생성
적절한 인증 없이 관리자 권한을 사용
대화형 로그온에 서비스 계정을 사용
사용자가 사용 권한이 없는 파일에 액세스를 시도
사용자가 액세스 권한이 있는 파일을 삭제
승인되지 않은 프로그램을 실행
가장 일반적인 유형의 정책 위반으로는 허가되지 않은 디렉터리를 여는 등의 의도하지 않은 사용자 액세스 시도를 들 수 있습니다. 하지만 액세스 제한 및 제한된 권한을 사용하면 사용자의 이러한 시도를 막아 심각한 피해를 방지할 수 있습니다. 관리자에 의한 정책 위반은 고의적이든 실수이든 보다 큰 영향을 미치게 됩니다.
신뢰할 수 없는 네트워크 관리자는 조직에 심각한 위협이 될 수 있습니다. 관리자는 자신의 작업을 수행하기 위해 높은 수준의 권한 및 시스템 액세스 권한을 필요로 합니다. 관리자는 사용자 계정 생성, 암호 다시 설정, 파일 및 폴더의 소유자 변경과 같은 작업을 할 수 있는 권한을 가집니다. 하지만 관리자가 그러한 절차를 수행할 수 있다고 해서 그렇게 하도록 인증을 받은 것은 아닙니다. 관리자 권한을 통해 관리자는 재무 기록 등 보아서는 안 되는 네트워크 리소스를 볼 수도 있습니다.
업무상의 문제
정책 위반 발생과 그에 따른 잠재적 피해 가능성을 감안했을 때, 대부분의 조직은 정책 위반 탐지에 높은 우선 순위를 두어야 합니다. 정책 위반의 탐지 및 방지와 관련된 업무상 문제를 해결하려면 다음을 수행해야 합니다.
채용전 및 고용 중에 정기적으로 엄격한 이력 확인을 수행
관리자 작업에 대한 독립적인 보안 검사를 실시
보안 모니터링 시스템의 정기적인 검사 수행
보안 위배 행위를 신속하게 식별
보안 위배 행위의 범위를 확인
보안 위배 행위가 유발하는 피해를 제한
규모가 큰 조직은 대개 새 직원이 회사에 입사하기 전에 적절한 보안 확인을 수행합니다. 하지만 많은 조직이 내부 사용자의 위험한 행위에 대한 모니터링을 계속하지 않습니다.
내부 직원은 명시적인 네트워크 보안 모니터링 요구 사항이 기재된 약관 및 사용 조건에 반드시 서명해야 합니다. 또한 사용 권한이 없는 파일을 열거나 공유 위치에 액세스를 시도할 경우 시도가 실패한 사실이 보안 로그에 기록됨을 이해하고 있어야 합니다. 중요한 파일을 다루는 내부 사용자는 그러한 파일에 액세스할 때마다 보안 로그가 해당 내용을 기록함을 알고 있어야 합니다.
참고: 직원이 내부 보안 모니터링에 대해 완전히 이해한 상황에서 고의적으로 기밀 데이터에 액세스하거나 파손했다는 증거 없이는 해당 직원을 기소 또는 해고하기가 점차 어려워지고 있습니다. 데이터 보호 요구 사항 및 개인 권한 규정 역시 명시적인 동의가 필요할 수 있습니다.
임무의 분리
조직은 엄격히 임무를 분리해야 하며, 이를 통해 보안 또는 감사 부서와 같이 다른 개인 또는 그룹이 관리자의 작업을 검사하도록 해야 합니다. 검사 그룹은 관리자의 작업을 수행할 권한을 가질 수 없도록 하여 검사자가 공격자로 돌변하지 못하도록 해야 합니다.
모니터링 기능의 테스트
조직은 모니터링 기능에 대한 정기적인 테스트를 수행해야 합니다. 한 가지 방법은 침투 테스트나 관리자 계정 테스트를 통해 경고 기능이 제대로 작동하는지 확인하는 것입니다. 이러한 테스트는 매주 불규칙한 일정으로 수행하여 공격자가 침투 테스트를 공격 기회로 삼지 못하도록 해야 합니다.
보안 프로세스 및 대응을 정의
보안 위배 행위를 신속히 식별하려면 조직은 특정한 네트워크 작업을 수행하는 방법을 정의하는 포괄적인 프로세스를 갖추어야 합니다. 예를 들어 조직은 사용자 계정 생성(구축)을 위해 MIIS(Microsoft Identity Integration Server) 2003과 같은 ID 관리 시스템을 사용할 수 있습니다. 비록 관리자가 사용자 계정을 직접 만들 수 있어도 조직의 정책에는 이러한 행동을 금지하도록 명시되어 있을 것입니다. 따라서 보안 모니터링 시스템이 이벤트 624(사용자 계정 생성)를 감지한 경우, 이 이벤트는 개별 관리자 계정이 아닌 MIIS 2003 구축 계정으로 연결됩니다.
보안 위배 행위가 유발하는 피해를 제한하려면 조직은 현장 보안 직원의 긴급 동원과 같이 예측되는 사건에 대한 적절한 대응을 정의해야 합니다. 문제에 대한 빠르고 효과적인 대응은 조직의 보안 프로필을 크게 강화합니다. 모든 보안 문제에 활발한 조사가 뒤따른다는 사실을 인지한다면 사용자나 관리자가 보안 정책을 위반하는 시도를 할 가능성도 그만큼 줄어들 것입니다.
외부에서의 네트워크 위협을 보고하는 자료는 매우 풍부합니다. 하지만 경험에 따르면 외부 공격자로 인한 데이터 손실이나 손상 가능성보다는 네트워크 관리자의 잘못된 구성에 의한 데이터 손실 가능성이 더 큽니다. 외부의 위협에 대해 방심해서는 안 되지만, 외부 침입자로부터 네트워크를 보호하는 솔루션은 상당히 많이 판매되고 있는 반면(상대적으로 쉽기 때문) 관리자의 실수나 부정한 행동을 방지하는 패키지는 아무도 판매하지 않음을 유의하십시오.
기술적 문제
Windows 보안 이벤트 로깅을 기반으로 한 실용적 보안 모니터링 및 공격 탐지 시스템을 구현하려면 다음 사항을 수행해야 합니다.
대량의 보안 이벤트를 관리. 고급 보안 이벤트를 처리하려면 어떤 보안 감사 설정을 사용할 것인지 세심히 고려해야 합니다. 이는 특히 방대한 양의 데이터를 생성할 수 있는 파일 및 개체 액세스를 감사할 때 필요한 사항입니다.
대량의 이벤트를 중앙 리포지토리에 저장 및 관리. 이벤트의 저장은 여러 테라바이트에 이르는 양의 데이터 관리로 이어질 수 있습니다. 이러한 기술적 요구 사항은 법적 분석과 밀접한 관련이 있으므로 이 장의 뒷부분에 있는 "법적 분석의 구현"에서 보다 자세히 설명합니다.
공격 패턴을 식별. 공격 서명을 식별하려면 공격을 나타내는 이벤트의 패턴을 알아야 하며 공격 서명으로 침입을 확인하면 항상 적절한 방식과 속도로 대응해야 합니다.
관리자가 보안 감사 제어를 우회하지 못하도록 제한. 관리자가 감사 제어를 우회하지 못하도록 하려면 관리자의 역할을 명확히 구분하고 보안 전문가 그룹을 생성 또는 할당하여 관리자 감사를 감독하도록 해야 합니다.
보안 문제
보안 문제의 식별은 보안 모니터링 및 공격 탐지 시스템의 구심점입니다. 효과적인 보안 모니터링이라면 다음 문제를 식별할 수 있어야 합니다.
파일 사용 권한 변경을 통한 리소스 액세스
암호 다시 설정을 통한 리소스 액세스
새 사용자 생성
사용자를 그룹에 배치
허가되지 않은 관리 계정의 사용
서비스 계정의 자격 증명을 사용하는 콘솔 로그온
허가되지 않은 프로그램의 실행
고의적인 파일 손상(디스크 오류로 인한 손상은 제외)
허가되지 않은 운영 체제의 도입
트러스트 관계의 생성 또는 삭제
일반 관리 계정과 같은 잘못된 계정으로 로그온
보안 정책의 허가되지 않은 변경
이러한 동작을 올바르게 식별하려면 이벤트의 순차적 특성을 파악하고 다른 보안 이벤트에서 이러한 순차적 이벤트를 추출할 수 있어야 합니다.
솔루션 요구 사항
조직적 보안 정책 위반을 탐지하려면 솔루션이 다음을 포함해야 합니다.
모든 네트워크 동작을 처리하는 잘 정의된 보안 절차
포괄적인 보안 감사 로그
분석을 위한 알맞은 필터를 갖춘 안정적으로 중앙 집중된 보안 로그 모음
조정 가능한 수준의 보안 감사
누락, 레코드 손실 등과 같은 불일치에 대한 조사
구성 오류를 식별하려면 솔루션이 다음을 포함해야 합니다.
모든 네트워크 동작을 처리하는 잘 정의된 변경 관리 절차(유효성 검사 포함)
효과적인 보안 감사 로그
안정적으로 중앙 집중된 보안 로그 모음
구성 변경을 식별하기 위한 보안 로그 분석의 자동화
이러한 솔루션 구현 방법에 대한 자세한 내용은 4장, "솔루션 설계"를 참조하십시오.
외부 공격의 식별
외부 공격은 사람에 의한 침입과 악의적 응용 프로그램에 의한 공격의 두 가지로 크게 나눌 수 있습니다. 이러한 두 공격 유형은 서로 다른 특성과 위협 방식을 가집니다. 사람에 의한 공격은 대상 네트워크를 분석하여 그에 맞는 공격을 하는 특징이 있으며, 악의적 응용 프로그램은 여러 컴퓨터에 동시에 영향을 주고 공격자가 악용할 수 있는 통로(back door)를 남긴다는 특징이 있습니다.
악의적 응용 프로그램에는 바이러스, 웜, 트로이 목마와 같은 다양한 위협적 프로그램이 포함됩니다. 이러한 응용 프로그램이 성가시고 상당한 피해를 주는 것은 사실이지만, 사람의 공격보다는 차단하기가 수월합니다.
참고: 이가이드는 인라인 키 입력 로거와 같이 보안 모니터링으로 탐지할 수 없는 하드웨어 장치로의 공격에 대한 정보는 다루지 않습니다.
업무상의 문제
이 가이드는 응용 프로그램 또는 프리젠테이션 계층에서 탐지할 수 있는 외부의 네트워크 침투 시도로 인해 발생하는 업무상의 문제에 대해 설명합니다. 보안 모니터링은 특히 DDoS(분산 서비스 거부 공격)의 식별에는 유용하지 않지만, Microsoft 인터넷 정보 서비스(IIS) 로그와 같은 다른 메커니즘을 사용하여 기간, 패킷 유형, 노출된 IP 주소(위장되었을 가능성이 높음) 및 기타 DDos 공격 세부 정보를 식별할 수 있습니다.
악의적 응용 프로그램의 식별은 모든 업종의 조직에서 상당히 중요하지만 특히 금융 기관이나 규정에 의해 규제를 받는 조직의 경우 더욱 중요합니다. 예를 들어 이러한 조직은 스파이웨어 응용 프로그램의 존재에 더욱 민감한 영향을 받습니다. 스파이웨어 응용 프로그램은 서버나 워크스테이션에 상주하여 기밀 정보를 외부로 유출합니다.
악의적 응용 프로그램과 관련된 가장 중요한 문제는 이러한 응용 프로그램이 네트워크에 존재하는지 확실치 않다는 점입니다. 특히 악의적 소프트웨어가 루트 키트나 이와 흡사한 프로그램일 경우 컴퓨터를 완전히 제어하고 공격자가 컴퓨터를 제어한다는 사실을 감추기 때문에 더욱 곤란한 상황이 됩니다. 루트 키트는 탐지 기술보다 한 발 앞서 자신을 은폐할 수 있으므로 이러한 악의적 응용 프로그램이 실행 중인지 단정하기 어렵습니다.
기술적 문제
미리 구성된 스크립트를 사용하여 취약점을 악용하는 미숙한 공격자들 때문에, 조직을 대상으로 하는 공격의 빈도가 늘어나고 있습니다. 특히 위험한 것은 뛰어난 기술을 갖춘 소수의 숙련된 공격자들로(서로 공조가 가능함), 이들은 네트워크 침입을 시도하는 데 다양한 공격 방법을 사용하고 있습니다.
참고: 이 가이드에서 정의하는 공격자란 의도적으로 공격을 시도하는 사람을 말하며, 자체적으로 작동하는 바이러스, 웜, 트로이 목마는 공격자에 해당하지 않습니다.
악의적 응용 프로그램을 식별하는 주요 방법은 프로세스를 추적하는 것입니다. 프로세스를 추적하면 워크스테이션이나 서버에서 시작 또는 중지되는 각 프로그램을 식별할 수 있습니다. 이 접근 방식의 단점은 관련 없는 내용이 대부분을 차지하는 방대한 이벤트가 생성된다는 점입니다.
추적된 프로세스를 분석하기 어려운 두 영역은 다음과 같습니다.
CGI(Common Gateway Interface)를 사용하는 웹 서버. 각 페이지에 적중할 때마다 새 프로세스를 만듭니다.
개발 워크스테이션. 응용 프로그램 빌드는 짧은 기간에 많은 프로세스를 만듭니다.
이러한 요인으로 인해 짧은 시간에 수많은 이벤트가 생성되거나 지속적으로 많은 이벤트가 생성될 수 있습니다. 양쪽 모두의 경우, 합법적인 이벤트에서 공격 이벤트를 추출하기 위해 효과적인 필터가 반드시 필요합니다.
보안 문제
외부 공격으로 인해 발생하는 보안 문제는 공격자가 네트워크에 침입하는 데 다양한 방법을 쓸 수 있다는 점에서 상당히 심각합니다. 외부 공격자는 다음과 같은 메커니즘을 사용해 네트워크에 침투할 수 있습니다.
암호 해독을 시도
암호를 변경 또는 다시 설정
취약점을 악용
사용자가 악의적 응용 프로그램을 실행하도록 유도
다른 컴퓨터로 확산시킬 목적으로 권한 상향 전달을 이용(아일랜드 하핑(island hopping)이라고 부름)
루트 키트 또는 트로이 목마를 설치
허가되지 않은 워크스테이션을 사용
악의적 웹 사이트로 연결되는 속임수 전자 메일을 사용한 피싱(phishing) 공격
공격자와 악의적 응용 프로그램을 탐지하는 주요 방법은 프로세스를 추적하는 것입니다. 이 방법을 주의 깊게 적용하고 그룹 정책의 소프트웨어 제한 정책과 통합해야 합니다. 경계 네트워크 내의 컴퓨터에서 실행될 수 있는 프로그램의 경우, 이를 제한하는 매우 엄격한 정책을 정의해야 합니다.
참고: 소프트웨어 제한 정책은 휴대용 컴퓨터나 엔터프라이즈 환경에 예기치 못한 영향을 줄 수 있습니다. 항상 GPO(그룹 정책 개체)를 만들어 소프트웨어 제한 정책을 관리하고, 기본 도메인 정책을 통해서는 소프트웨어 제한을 적용하지 마십시오.
소프트웨어 제한 정책 사용에 대한 자세한 내용은 소프트웨어 제한 정책을 사용한 승인되지 않은 소프트웨어 차단페이지를 참조하십시오.
솔루션 요구 사항
외부 공격자를 식별하기 위한 솔루션 요구 사항은 내부 위협 식별을 위해 필요한 요구 사항과 부분적으로 일치합니다. 요구 사항은 다음과 같습니다.
보안 구현을 위한 심층 방어 전략
효과적인 보안 감사 로그
안정적으로 중앙 집중된 보안 로그의 모음
공격 서명 식별을 위한 보안 로그 분석의 자동화
악의적 응용 프로그램을 탐지하기 위한 솔루션 요구 사항은 내부 위협을 식별하기 위한 요구 사항과 부분적으로 일치합니다. 요구 사항은 다음과 같습니다.
네트워크의 허가되지 않은 소프트웨어를 감사하기 위한 효과적인 절차
적절히 구성된 보안 감사 로그
안정적으로 중앙 집중된 보안 로그 모음 및 필터
의심되는 동작을 식별하기 위한 보안 로그 분석의 자동화(필요한 경우 타사 프로그램을 사용)
바이러스 공격에 대응하는 보호에 대한 자세한 내용은 심층적인 바이러스 백신 방어 가이드를 참조하십시오.
법적 분석의 구현
법적 분석을 사용하여 보안 위배 행위의 시기, 심각도 및 미치는 영향을 추적하고 공격자가 손상시킨 시스템을 식별할 수 있습니다. 법적 분석은 다음 사항을 기록해야 합니다.
공격 시간
공격 지속 시간
영향을 받은 컴퓨터
공격자가 네트워크에 수행한 변경 내용
법적 분석은 그 자체로도 큰 주제이므로 이 가이드에서 완전하게 다루기는 힘듭니다. 특히 이 가이드는 보안 이벤트 로그를 제외한 법적 데이터 원본의 범위나 법적 분석의 증거 처리 요구 사항에 대해서는 다루지 않습니다.
업무상의 문제
법적 분석은 실시간이 아닌 문제 발생 후에 조사가 이루어진다는 점에서 다른 솔루션 시나리오와 다릅니다. 법적 분석에서는 하나 이상의 컴퓨터를 대상으로 관련이 있는 모든 이벤트의 상세한 목록을 제공해야 합니다. 분석 시스템은 많은 양의 데이터를 처리하고 적절한 데이터베이스에 보관할 수 있어야 합니다.
업무상의 핵심 결정 사항은 법적 데이터를 얼마나 오래 유지할 것인가 하는 점입니다. 조직은 정보의 유용성이 사라지는 시기인 법적 데이터의 최대 수명을 파악해야 합니다. 다음 표에서는 법적 데이터의 일반적인 보존 시간을 보여 줍니다.
표 3.1: 법적 분석의 저장 한계
| 저장 방식 | 저장 한계 | 설명 |
|---|---|---|
| 온라인 저장소(데이터베이스) | 21일 | 최근 이벤트에 신속히 액세스 가능 |
| 오프라인 저장소(백업) | 180일 | 대부분 조직에 합리적인 한도 |
| 법률 관련 기관 | 7년 | |
| 정보 관련 기관 | 영구 저장 |