사고 대응에서 UEBA 및 UEBA의 역할 이해

디지털 환경에서 보안 침해 사례가 늘어남에 따라, 조직들은 이러한 문제에 효과적으로 대응하기 위한 해결책을 모색하고 있습니다. 사용자 및 엔터티 행위 분석(UEBA)은 이러한 위협을 감지하고 대처하는 데 핵심적인 역할을 합니다.

UEBA는 이전에는 사용자 행위 분석(UBA)으로 알려졌으며, 조직 내 사용자(사람)와 엔터티(네트워크 장치 및 서버)의 일반적인 행태를 분석하여 실시간으로 비정상적인 활동을 탐지하는 데 사용되는 첨단 사이버 보안 기술입니다.

UEBA 시스템은 다음과 같은 위험 요소를 내포한 변칙적이거나 의심스러운 행위를 식별하고 보안 담당자에게 경고를 보낼 수 있습니다.

측면 이동
권한 계정 오용
권한 상승 시도
자격 증명 침해
내부자 위협

또한, UEBA는 위협 수준을 상세하게 평가하고 적절한 대응 전략을 수립하는 데 도움이 되는 위험 점수를 제공합니다.

이제 UEBA의 작동 원리, 조직이 UEBA를 도입하는 이유, UEBA의 주요 구성 요소, 사고 대응 과정에서의 역할, 그리고 UEBA 운영 모범 사례에 대해 자세히 알아보겠습니다.

사용자 및 엔터티 행위 분석은 어떻게 작동하는가?

UEBA는 먼저 데이터 레이크나 데이터 웨어하우스와 같은 다양한 데이터 저장소 또는 SIEM 시스템을 통해 조직 내 사람과 시스템의 예상 행위에 대한 정보를 수집합니다.

수집된 정보를 바탕으로 UEBA는 정교한 분석 기법을 사용하여 직원들의 로그인 위치, 접근 권한 수준, 자주 사용하는 파일과 서버, 접근 시간과 빈도, 그리고 사용 기기 등과 같은 행동 패턴의 기준선을 설정하고 상세하게 정의합니다.

이후, UEBA는 사용자 및 엔터티의 활동을 지속적으로 모니터링하며, 이 활동들을 기 설정된 기준 행동과 비교하여 공격을 유발할 수 있는 잠재적 행위를 식별합니다.

UEBA는 사용자가 일상적인 활동을 수행할 때와 실제 공격이 발생할 때를 구별할 수 있습니다. 공격자가 직원 계정 정보를 획득할 수는 있지만, 실제 직원의 일상적인 활동 패턴을 완전히 모방하기는 어렵습니다.

UEBA 솔루션의 주요 구성 요소

데이터 분석: UEBA는 각 사용자가 일반적으로 어떻게 활동하는지에 대한 표준 프로필을 생성하기 위해 사용자 및 엔터티 데이터를 수집하고 정리합니다. 그런 다음, 통계 모델을 개발 및 적용하여 비정상적인 활동을 탐지하고 보안 팀에 알립니다.

데이터 통합: 시스템의 견고성을 강화하기 위해 UEBA는 시스템 로그, 패킷 캡처 데이터, 그리고 기존 보안 시스템으로부터 수집된 데이터를 포함한 다양한 소스의 데이터를 상호 비교 분석합니다.

데이터 표현: UEBA 시스템이 분석 결과를 전달하고 적절한 조치를 취하는 과정입니다. 일반적으로 보안 분석가가 비정상적인 행위를 조사하도록 요청하는 과정을 포함합니다.

사고 대응에서 UEBA의 역할

UEBA는 머신 러닝 및 딥 러닝 기술을 활용하여 조직 내부의 사람과 시스템의 일반적인 행태를 모니터링하고 분석합니다.

규칙적인 패턴에서 벗어난 행위가 감지되면 UEBA 시스템은 이를 식별하고, 해당 행위가 실제 위협인지 여부를 판단하기 위한 심층 분석을 수행합니다.

이러한 분석을 위해 UEBA는 데이터베이스, Windows AD, VPN, 프록시, 출입 시스템, 파일 시스템 및 엔드포인트 등 다양한 로그 소스에서 데이터를 수집합니다. 수집된 데이터와 학습된 행동 패턴을 융합하여 위험도를 평가하고 최종적으로 위험 점수를 산출, 보안 담당자에게 상세 보고서를 제공합니다.

예를 들어, UEBA는 특정 직원이 아프리카에서 VPN을 통해 처음으로 접속하는 것을 감지할 수 있습니다. 이러한 행위 자체가 반드시 위협을 의미하지는 않습니다. 해당 직원은 출장 중일 수도 있습니다. 그러나 만약 해당 직원이 평소와 달리 갑자기 재무 관련 네트워크에 접근한다면, UEBA는 이 활동을 의심스러운 것으로 간주하고 보안팀에 경고를 발송합니다.

또 다른 관련된 시나리오를 살펴보겠습니다.

뉴욕 마운트 시나이 병원의 직원인 해리는 금전적인 어려움에 직면해 있습니다. 어느 날, 해리는 모든 직원이 퇴근한 후인 저녁 7시에 환자의 민감한 정보를 USB 드라이브에 다운로드합니다. 그는 이 정보를 암시장에서 고가에 판매하려 합니다.

운 좋게도 마운트 시나이 병원은 병원 네트워크 내의 모든 사용자 및 엔터티의 행위를 모니터링하는 UEBA 솔루션을 사용하고 있습니다.

해리가 환자 정보에 접근할 권한을 가지고 있지만, UEBA 시스템은 그의 일상적인 활동 패턴에서 벗어난 것을 감지합니다. 특히, 오전 9시부터 오후 5시 사이에 주로 환자 기록을 조회, 생성 및 편집하는 그의 행태에서 벗어나, 저녁 7시에 정보를 접근하려고 시도하는 것을 인지하고 위험 점수를 높입니다.

시스템은 이러한 시간 및 패턴의 불규칙성을 분석하여 위험 점수를 할당하고, 보안 팀에 경고를 보내 추가 조사를 요청하거나, 또는 의심스러운 사이버 공격을 방지하기 위해 해당 직원의 네트워크 접근을 자동으로 차단하는 등의 즉각적인 조치를 취할 수 있도록 설정할 수 있습니다.

왜 UEBA 솔루션이 필요한가?

UEBA 솔루션은 공격자들이 더욱 정교한 방식으로 공격을 수행하며 탐지가 어려워지고 있는 현시점에서 조직에게 필수적입니다. 특히, 내부자로부터 비롯되는 위협의 경우에는 더욱 그렇습니다.

최근의 사이버 보안 통계에 따르면, 전 세계 기업의 34% 이상이 내부자 위협의 영향을 받고 있으며, 기업의 85%는 내부자 공격의 실제 비용을 정확히 파악하기 어렵다고 합니다.

이러한 상황으로 인해 보안 팀은 새로운 탐지 및 사고 대응 방식을 도입하고 있습니다. 기존의 SIEM 및 기타 레거시 보안 시스템과 함께 UEBA와 같은 기술을 통합하여 보안 시스템의 균형을 맞추고 강화하고 있습니다.

UEBA는 기존의 다른 보안 솔루션에 비해 내부자 위협을 감지하는 데 더 강력한 기능을 제공합니다. 비정상적인 인간 행동뿐만 아니라 의심스러운 측면 이동까지 모니터링합니다. 또한, 클라우드 서비스, 모바일 기기, 그리고 IoT 장치의 활동까지 추적합니다.

정교한 UEBA 시스템은 다양한 로그 소스로부터 데이터를 수집하고 보안 분석가에게 상세한 공격 보고서를 제공합니다. 이러한 기능을 통해 보안팀은 공격으로 인한 실제 피해를 분석하기 위해 수많은 로그를 검토하는 시간을 절약할 수 있습니다.

다음은 UEBA의 다양한 활용 사례 중 일부입니다.

UEBA의 6가지 주요 사용 사례

#1. UEBA는 사용자가 정상적인 활동 범위를 벗어나 위험한 행위를 할 때 내부자 권한 남용을 감지합니다.

#2. UEBA는 여러 소스에서 수집된 의심스러운 정보를 통합하여 위험 점수를 생성, 위험 순위를 결정합니다.

#3. UEBA는 오탐을 줄여 사고의 우선순위를 정하는 데 도움을 줍니다. 경고 피로를 줄이고 보안팀이 고위험 경고에 집중할 수 있도록 합니다.

#4. UEBA는 네트워크 내에서 이동하거나 외부로 전송되는 중요 데이터를 감지할 때 시스템 경고를 전송하여 데이터 손실 및 데이터 유출을 방지합니다.

#5. UEBA는 네트워크 내에서 직원 로그인 정보를 훔친 공격자의 측면 이동을 탐지하는 데 도움이 됩니다.

#6. UEBA는 자동화된 사고 대응 기능을 제공하여 보안팀이 보안 사고에 실시간으로 대처할 수 있도록 지원합니다.

UEBA가 UBA 및 SIEM과 같은 기존 보안 시스템을 어떻게 개선하는가

UEBA는 기존 보안 시스템을 대체하는 것이 아니라 더욱 효과적인 사이버 보안을 위해 다른 솔루션과 함께 사용되어야 합니다. UEBA는 사용자 행위 분석(UBA)과 달리 서버, 라우터, 엔드포인트와 같은 '엔터티' 및 '이벤트'를 포함한다는 점에서 차이가 있습니다.

UEBA 솔루션은 단순한 사용자가 아닌 프로세스와 시스템 엔터티를 모니터링하여 위협을 보다 정확하게 식별할 수 있기 때문에 UBA보다 더 포괄적입니다.

SIEM은 보안 정보 및 이벤트 관리를 의미합니다. 전통적인 레거시 SIEM은 실시간 위협 모니터링을 위해 설계되지 않아 그 자체로는 정교한 위협을 감지하지 못할 수 있습니다. 공격자들이 일회성 공격을 피하고 대신 정교한 공격을 수행한다는 점을 고려하면, SIEM과 같은 기존의 위협 탐지 도구로는 몇 주 또는 몇 달 동안 탐지하지 못할 수 있습니다.

정교한 UEBA 솔루션은 이러한 한계를 극복합니다. UEBA 시스템은 SIEM에 저장된 데이터를 분석하고 함께 작동하여 실시간 위협을 모니터링하여 침해에 더욱 빠르고 쉽게 대응할 수 있도록 지원합니다.

따라서 UEBA와 SIEM 도구를 통합함으로써 조직은 위협 탐지 및 분석에서 더욱 효율적이게 되며, 취약점을 신속하게 해결하고 공격을 예방할 수 있습니다.

사용자 및 엔터티 행위 분석 모범 사례

다음은 사용자 행동 기준을 설정할 때 참고할 수 있는 5가지 UEBA 모범 사례입니다.

#1. 사용 사례 정의

UEBA 솔루션으로 식별하고자 하는 사용 사례를 명확히 정의해야 합니다. 예를 들어, 권한 있는 계정 남용, 자격 증명 침해, 또는 내부자 위협을 감지하는 데 초점을 맞출 수 있습니다. 명확한 사용 사례 정의는 모니터링을 위해 수집해야 할 데이터를 결정하는 데 도움이 됩니다.

#2. 데이터 소스 정의

UEBA 시스템이 처리할 수 있는 데이터 유형이 많을수록 기준선 설정의 정확도가 향상됩니다. 시스템 로그 또는 직원 성과 기록과 같은 인사 데이터가 유용한 데이터 소스입니다.

#3. 수집할 데이터에 대한 동작 정의

여기에는 직원의 근무 시간, 자주 액세스하는 애플리케이션 및 장치, 타이핑 패턴 등이 포함될 수 있습니다. 이러한 데이터는 오탐 발생 시 그 이유를 더 잘 이해하는 데 도움이 됩니다.

#4. 기준 설정 기간 설정

기준 기간의 길이를 결정할 때 비즈니스의 보안 목표와 사용자 활동을 고려하는 것이 중요합니다.

기준 기간은 너무 짧거나 길어서는 안됩니다. 너무 짧은 기간은 정확한 정보를 수집하는 것을 방해하여 오탐률을 증가시킬 수 있으며, 반대로 너무 긴 기간은 악의적인 활동이 정상적인 활동으로 인식될 수 있는 위험을 초래할 수 있습니다.

#5. 정기적인 기준 데이터 업데이트

사용자 및 엔터티 활동은 시간이 지남에 따라 변화하기 때문에 기준 데이터를 정기적으로 업데이트해야 합니다. 직원은 승진하거나, 업무나 프로젝트가 변경될 수 있으며, 그에 따라 접근 권한 수준 및 활동 패턴이 변할 수 있습니다. UEBA 시스템은 이러한 변화를 자동으로 감지하고 기준 데이터를 조정하도록 설정할 수 있습니다.

마지막으로

기술에 대한 의존도가 높아짐에 따라 사이버 보안 위협은 더욱 복잡해지고 있습니다. 대기업은 대규모 보안 침해를 방지하기 위해 자체 데이터와 고객의 민감한 데이터를 저장하는 시스템을 보호해야 합니다. UEBA는 공격을 효과적으로 방지할 수 있는 실시간 사고 대응 시스템을 제공합니다.