사용자 및 엔터티 행동 분석(User and Entity Behavior Analytics), 즉 UEBA는 행동 분석, 머신 러닝 알고리즘 및 자동화를 사용하여 비정상적이며 잠재적으로 위험한 사용자와 디바이스 행동을 식별하는 보안 소프트웨어의 한 유형입니다. UEBA는 팀에 더 나은 보안 인사이트를 제공하고 제로 트러스트 보안 프로그램을 강화합니다.
2015년 Gartner가 처음 만든 용어인 UEBA는 사용자 행동 분석(User Behavior Analytics, UBA)에서 발전한 개념입니다. 최종 사용자의 행동 패턴만 추적하는 UBA와 달리 UEBA는 서버, 라우터, 사물 인터넷(IoT) 디바이스와 같은 비사용자 엔터티를 대상으로 보안 위협이나 공격일 수 있는 비정상적인 행동이나 의심스러운 활동을 모니터링합니다.
UEBA는 승인된 네트워크 트래픽을 모방하여 다른 보안 툴을 우회할 수 있는 내부자 위협(악의적인 내부자 또는 도용된 내부자 자격 증명을 사용하는 해커)을 식별하는 데 효과적입니다.
UEBA는 보안 운영 센터(SOC)에서 다른 엔터프라이즈 보안 도구와 함께 활용되며, UEBA 기능은 종종 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR), 신원 및 접근 관리(IAM) 등과 같은 엔터프라이즈 보안 솔루션에 포함되어 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
UEBA 솔루션은 데이터 분석과 머신 러닝을 통해 보안 인사이트를 제공합니다. UEBA 시스템의 행동 분석 툴은 여러 소스에서 대량의 데이터를 수집하고 분석하여 권한이 있는 사용자와 엔터티의 일반적인 행동에 대한 기준을 생성합니다. 그런 다음 해당 기준을 구체화하기 위해 머신 러닝(ML)을 사용합니다. 머신 러닝이 점진적으로 학습함에 따라 정확한 기준을 생성하기 위해 UEBA 솔루션이 수집하고 분석할 정상 행동 샘플 수가 줄어듭니다.
UEBA는 기준 행동을 모델링한 후 동일한 고급 분석 및 머신 러닝 기능을 현재 사용자 및 엔터티 활동 데이터에 적용하여 기준에서 벗어난 의심스러운 편차를 실시간으로 식별합니다. UEBA는 가능한 많은 엔터프라이즈 소스의 데이터를 분석하여 사용자 및 엔터티 행동을 평가합니다. 이러한 소스는 많을수록 좋으며, 일반적으로 다음 사항이 포함됩니다.
네트워크 장비 및 네트워크 액세스 솔루션: 방화벽, 라우터, VPN, IAM 솔루션 등
안티바이러스 및 안티멀웨어 소프트웨어, EDR, 침입 탐지 및 방지 시스템(IDPS), SIEM 등과 같은 보안 도구 및 솔루션이 있습니다.
인증 데이터베이스(예: Active Directory)는 사용자 계정, 시스템 내의 활성 컴퓨터 및 사용자가 수행할 수 있는 활동을 포함하여 네트워크 환경에 대한 중요한 정보를 포함합니다.
위협 인텔리전스 피드 및 프레임워크: MITRE ATT&CK(제로데이 공격, 멀웨어, 봇넷, 기타 보안 위험 등 일반적인 사이버 위협 및 취약성에 대한 정보 제공) 등
전사적 자원 관리(ERP) 또는 인사(HR) 시스템에는 퇴사 의사를 밝힌 직원이나 불만을 가진 직원 등 잠재적 위협이 될 수 있는 사용자 관련 정보가 포함됩니다.
UEBA는 학습한 내용을 사용하여 비정상적인 행동을 식별하고 해당 행동이 나타내는 위험에 따라 점수를 매깁니다. 예를 들어, 짧은 시간 내에 인증 시도가 여러 번 실패하거나 비정상적인 시스템 액세스 패턴을 보이는 경우 내부자 위협일 수 있으며 낮은 점수의 경고가 생성됩니다. 마찬가지로 사용자가 USB 드라이브 여러 개를 연결하고 비정상적인 다운로드 패턴을 보이는 경우 데이터 유출일 수 있으며 더 높은 위험 점수를 할당받게 됩니다.
보안 팀은 이 점수 메트릭을 사용하여 오탐을 방지하고 가장 큰 위협에 우선순위를 지정하는 동시에 느리게 진행되지만 심각한 위협일 수 있는 낮은 수준의 경고를 시간 경과에 따라 문서화 및 모니터링할 수 있습니다.
UEBA는 기업이 의심스러운 행동을 식별하고 데이터 손실 방지(DLP) 노력을 강화하는 데 도움이 됩니다. UEBA는 이러한 전술적 용도 외에도 사용자 데이터 및 개인정보 보호와 관련된 규정을 준수하는 것을 입증하는 등 보다 전략적인 목적으로도 사용될 수 있습니다.
악의적인 내부자: 승인된 권한, 심지어 특권을 보유한 상태에서 기업 네트워크를 대상으로 사이버 공격을 시도하는 사람을 뜻합니다. 로그 파일이나 이벤트 기록 같은 데이터만으로는 이들을 항상 감지할 수 없으나 고급 분석 기법을 이용하면 이를 식별할 수 있습니다. UEBA는 IP 주소가 아닌 특정 사용자 단위에서 인사이트를 제공하므로 보안 정책을 위반하는 개별 사용자를 식별할 수 있습니다.
도용된 내부자: 피싱, 무차별 대입 공격 등 다양한 방식으로 인증 사용자 또는 디바이스의 자격 증명을 획득한 공격자입니다. 도용된 합법적 자격 증명을 사용할 경우 공격자가 정상적인 권한을 가진 사용자로 인식되어 일반 보안 도구로는 이를 감지하지 못할 수 있습니다. 내부에 진입하면 공격자는 네트워크 전반에 걸쳐 수평 이동하면서 추가 자격 증명을 확보하고 권한을 높여 더욱 민감한 자산까지 접근할 수 있습니다. 공격자가 정상적인 자격 증명을 사용하더라도, UEBA는 비정상 행위를 식별하여 공격을 사전에 차단할 수 있습니다.
손상된 엔터티: 많은 조직, 특히 제조업체와 병원은 보안 설정이 거의 없거나 전혀 없는 상태에서 IoT 디바이스 등 다수의 연결 디바이스를 사용합니다. 보호 조치의 부족으로 인해 이들 엔터티는 해커의 주요 공격 대상이 되며, 해커는 이러한 디바이스를 탈취해 민감한 데이터에 접근하거나 업무를 방해하고 분산 서비스 거부(DDoS) 공격까지 수행할 수 있습니다. UEBA는 침해 징후가 드러나는 이상 행동을 식별해 위협이 확산되기 전에 신속히 대응할 수 있도록 지원합니다.
데이터 유출: 내부자 위협과 악의적인 행위자는 종종 개인 정보, 지적 재산 또는 비즈니스 전략 문서를 손상된 서버, 컴퓨터나 기타 장치로부터 탈취하려고 시도합니다. UEBA는 비정상적인 다운로드 및 데이터 접근 패턴을 보안 팀에 알려 실시간으로 데이터 유출을 발견할 수 있도록 지원합니다.
제로 트러스트 보안 구현: 제로 트러스트 보안 접근 방식은 네트워크 외부뿐 아니라 이미 내부에 있는 모든 사용자와 개체를 신뢰하지 않고 지속적으로 검증하는 방식입니다. 제로 트러스트를 적용하려면 애플리케이션과 데이터에 대한 액세스 권한을 부여받기 전에 모든 사용자와 엔터티를 인증, 권한 부여 및 검증해야 합니다. 액세스 권한이 부여되면 세션 전반에 걸쳐 해당 액세스 권한을 유지하거나 확장하기 위해 지속적으로 재인증, 재권한 부여 및 재유효성 검증을 수행해야 합니다.
효과적인 제로 트러스트 아키텍처는 네트워크의 모든 사용자, 디바이스, 자산 및 엔터티에 대한 최대한의 가시성을 확보해야 합니다. UEBA는 보안 분석가에게 네트워크에 연결을 시도하는 디바이스, 권한을 초과하는 활동을 시도하는 사용자 등 모든 최종 사용자 및 엔티티 활동에 대한 풍부한 실시간 가시성을 제공합니다.
GDPR 준수: 유럽 연합의 일반 데이터 보호 규정(GDPR)은 민감한 데이터를 보호하기 위해 조직에 엄격한 요구 사항을 제시하고 있습니다. 기업은 GDPR에 따라 어떤 개인 데이터가 누구에 의해 액세스되었는지, 어떻게 사용되었는지, 그리고 언제 삭제되었는지를 추적해야 합니다. UEBA 도구는 사용자 행동과 사용자가 액세스하는 민감한 데이터를 모니터링하여 기업의 GDPR 준수를 지원할 수 있습니다.
최근 보안 도구들은 대부분 UEBA 또는 UEBA와 유사한 기능을 포함하고 있습니다. UEBA는 독립형 제품으로 사용할 수도 있지만 포괄적인 사이버 보안 체계 내 도구 중 하나로 보는 것이 바람직합니다. 특히 UEBA는 다음과 같은 도구와 함께 사용되거나 내장되어 있는 경우가 많습니다.
보안 정보 및 이벤트 관리(SIEM) – SIEM 시스템은 서로 다른 내부 보안 툴의 보안 이벤트 데이터를 단일 로그에 집계하고 해당 데이터를 분석하여 비정상적인 행동과 잠재적 위협을 탐지합니다. UEBA는 내부자 위협 탐지 및 사용자 행동 분석 기능을 통해 네트워크에 대한 SIEM 가시성을 확장할 수 있습니다. 오늘날 많은 SIEM 솔루션에 UEBA가 포함되어 있습니다.
엔드포인트 탐지 및 대응(EDR) – EDR 툴은 노트북, 프린터, IoT 디바이스와 같은 시스템 엔드포인트에서 위협을 의미하는 비정상적인 행동의 징후가 있는지 모니터링합니다. 위협이 감지되면 EDR이 자동으로 확산을 차단합니다. UEBA는 이러한 엔드포인트에서 사용자의 행동을 모니터링하여 EDR 솔루션을 보완하며 종종 EDR 솔루션의 일부로 사용되기도 합니다. 예를 들어 의심스러운 로그인은 EDR에 낮은 수준의 경고를 발생시킬 수 있지만, 엔드포인트를 사용해 기밀 정보에 액세스하려는 행동을 탐지하면 UEBA가 경고 수준을 적절히 높여 신속하게 처리할 수 있습니다.
ID 및 액세스 관리(IAM) – ID 및 액세스 관리 도구는 권한이 있는 사용자와 디바이스가 필요할 때 적절한 애플리케이션과 데이터를 사용할 수 있도록 보장합니다. IAM은 사전 예방적 방식으로 무단 액세스를 방지하는 동시에 승인된 액세스를 용이하게 합니다. UEBA는 자격 증명이 손상된 징후나 권한이 있는 사용자의 권한 남용을 모니터링하여 보호 수준을 한 단계 더 높입니다.