[디지털데일리 백지영기자]“대부분의 기업들이 외부로부터 보안 공격에 대해 많은 신경을 쓰지만, 최근에는 내부 보안 리스크를 어떻게 관리하는가가 더 중요해지고 있습니다.”

21일 한국휴렛패커드엔터프라이즈(HPE) 장대욱 부장은 <디지털데일리> 주최로 서울 JW메리어트호텔에서 열린 ‘차세대 기업보안 세미나&전시회(NES) 2016’에서 이같이 말하며 ‘내부정보 유출을 방지하기 위한 프로파일링 기반의 사용자 이상행위 분석시스템’의 중요성에 대해 강조했다.

실제 정보보호업체인 웹센스 시큐리티 랩스가 실시한 조사에 따르면, 대부분의 데이터 유출사고는 인가된 사용자에 의해 발생하는 경우가 대부분이다. 이 조사내용을 살펴보면 내부 직원에 의한 데이터 유출 발생 비율은 50%나 된다. CEO 혹은 임원진들의 극비 데이터 유출도 20%에 달했다.

국내에서도 내부자가 악의적인 목적을 갖고 중요한 내부 정보를 유출하는 경우가 지난 몇 년 간 급속히 늘어나고 있다.

장 부장은 “사실상 내부 사용자가 가장 약한 고리”라며 “이를 어떻게 탐지하고 대응할 것인지가 기업의 중요한 보안 이슈가 되고 있다”고 말했다.

이에 따라 국내에서도 지난해 상반기부터 내부 사용자들의 행위 분석(User Behavior Analytics, UBA) 기술에 대한 필요성이 크게 대두되고 있다는 설명이다. 이는 결국 머신 기반의 자동화 분석의 필요성으로 연결된다.

또한 IP 기반 행위 뿐만 아니라 엔티티 중심 분석, 다른 엔티티 간 이상행위를 상관관계를 분석하는 것이 중요하다. 이를 위해선 맥락(전후사정) 관련한 시각화 분석과 비정상적인 행위 탐지. 위험도 점수화 및 우선순위, 이벤트 기반의 행위 모니터링 등이 필요하다.

그가 제시한 사용자 행위 분석 5단계는 다음과 같다. 우선 신원(ID) 및 행위 콘텍스트 기반의 비정상 행위를 도출한 이후, 데이터마이닝 알고리즘을 통한 사용자 행동패턴 프로파일링을 실시하는 순서다.

그는 “동료그룹의 행동패턴을 학습하고, 이를 기반으로 동료그룹 정상행동패턴 기준을 설정하는 등 사용자의 정상행위를 정의해야 한다”고 말했다.

이어 3단계는 비정상 사용자를 탑지하거나 동료그룹과 비교해 비정상 사용자를 탐지하고, 위험 점수화 및 우선순위를 통해 가장 위험한 사용자를 식별해 내는 것이다. 마지막으로 탐지된 이상징후에 대해 리스크 스코어링 기반 연계분석을 통해 가장 위험한 사용자를 조사하게 된다.

장 부장은 “기업들이 운영하는 SIEM(정보보안 및 이벤트관리) 시스템을 고도화하는 과정에서 UBA를 탑재해야 한다는 얘기가 나오고 있다”며 “인프라, 앱, 데이터 보안 이외에 추가적으로 사용자 행위 분석 보안은 꼭 필요하다”고 강조했다.

<백지영 기자>jyp@ddaily.co.kr