데이터 분석: 보안에 대한 인식과 통찰을 높이는 방법

기술이 향상되고 비용이 낮아지면서 많은 수의 보안 팀이 손쉽게 데이터 분석을 채택할 수 있게 되었습니다. 더 포괄적인 상황 인식과 잠재적 위협에 대한 통찰력을 얻기 위해 내부 및 외부의 다양한 소스로부터 데이터를 수집하는 보안 팀이 많아졌습니다. 그러나 실제로 가치가 있는 데이터를 어떻게 구별하고, 실행 가능한 결과는 어떻게 도출하며, 이 필수적이고 새로운 기능을 구축하는 가장 좋은 방법은 무엇일까요?

SBIC(Security for Business Innovation Council)의 회원인 세계 최고의 보안 경영진들이 데이터 분석 프로세스를 구축하며 경험한 사실을 바탕으로 제공한 유용한 조언을 SBIC의 최근 보고서(정보 보안의 변화, 미래 지향적 프로세스)에서 확인할 수 있습니다. 이 보고서에는 수집해야 하는 데이터의 종류와 이러한 데이터를 찾을 수 있는 위치에 대한 정보가 수록되어 있습니다.

SBIC는 쉽게 시작할 수 있는 현실적인 접근 방식을 권장합니다. 데이터 분석에서 답을 얻을 수 있는 질문 유형을 확인한 다음 이러한 질문에 답을 줄 수 있는 데이터가 무엇인지를 고심해 보는 것입니다. 예로 들 수 있는 두 가지 활용 사례는 비정상적 사용과 대지 속도 위반입니다.

가령 특정 시스템에서의 시스템 관리자 활동이 합법적인 사용자를 나타내는 것인지, 아니면 침입자를 나타내는 것인지를 알고 싶다면 여러 자격 증명 집합이 한 시스템에서 연달아 사용되거나 관리자의 작업 순서와 관련이 없는 시스템에 관리자가 연결하는 것과 같은 비정상적인 활동 패턴에서 답을 찾을 수 있을지 모릅니다. 비정상적인 패턴이 발견되는 모든 활동은 추가 조사가 필요합니다.

각 활용 사례에는 데이터 취합, 알고리즘 개발, 테스트 및 정비를 여러 번 실행하는 반복적인 프로세스가 필요합니다.  예를 들어 대지 속도 위반을 찾으려는 경우 다음과 같은 프로세스가 필요할 수 있습니다.

질문: 보안 팀이 “다른 위치의 네트워크에 로그인하는 사용자가 정상적인 이동 속도를 벗어나는 상황은 언제인가(멀리 떨어진 두 물리적 위치에서의 활동이 너무 짧은 시간 안에 일어나는 경우)?”라는 질문을 합니다.

데이터 취합: 이 질문에 대한 답을 찾기 위해 보안 팀은 건물 내 배지 스와이프의 지리적 위치, IP 주소, 모바일 디바이스 연결 및 정적 VPN 연결과 같은 데이터를 살펴보고 이러한 로그의 타임스탬프 및 회사의 출장 기록을 조사하여 사용자가 있어야 하는 위치를 확인합니다.

알고리즘 개발: 데이터 분석가는 사용자의 계산된 이동 속도를 바탕으로 위험 점수를 생성하는 알고리즘을 개발합니다.

테스트 및 정비: 정상임에도 불구하고 높은 위험 점수가 생성될 수 있는 상황을 결정합니다. 거짓 양성(false positive)을 줄일 수 있는 데이터를 추가하는 등의 작업을 통해 알고리즘을 정비합니다.

유용한 데이터의 종류를 결정한 후에 해당 데이터에 바로 액세스할 수 없거나 로그에 필요한 모든 데이터가 포함되지 않는 문제가 발생할 수 있습니다. 일부 경우에는 보안 팀이 원래 디바이스로 돌아가 필요한 데이터를 캡처하도록 저널링을 재구성해야 할 수 있습니다. 저널링 증폭으로 인해 시스템 성능 문제가 발생할 수 있으므로 시스템 담당자가 달가워하지 않을 수도 있습니다. 데이터 분석 기능의 구축에는 보안에 관련된 로그가 생성되도록 시스템 담당자와 타협하는 과정도 포함됩니다.

현재 대부분의 보안 팀에게 데이터 분석 기능을 구축하는 것은 끝나지 않은 미완성 상태의 작업입니다. 실험과 능숙한 타협이 필요하지만 의미 있는 분석은 데이터에 입각한 완벽한 보안 의사 결정으로 이어집니다.

 “데이터 분석에서 가장 어려운 부분은 의미 있는 결과를 얻는 것입니다. 응집된 전략을 개발하는 데 시간을 투자하고, 비즈니스의 기반이 되는 정보를 바탕으로 필요한 질문을 개발하십시오. 그렇지 않으면 데이터의 바다에 잠식될 것입니다.” Timothy McKnight, Fidelity Investments 엔터프라이즈 정보 보안 및 위험 그룹 부사장

No Comments