정보 보안 이야기9 Elastalert를 이용한 보안 위협 탐지 방법 소개 제가 근무중인 회사에서는 평일 기준 평균적으로 엘라스틱서치 클러스터에 축적되는 전체 서비스 보안 이벤트 로그의 상황은 다음과 같은데요. 일별로 기록되는 문서(Document) 수는 약 4억 ~5억건 건 수준이며, 해외의 불특정 다수 IP로부터 스캔성 공격 시도가 지속적으로 발생할 경우 보안 이벤트 로그가 좀더 증가하는 경우도 있습니다. 이와같이 방대한 보안 이벤트 로그를 사람이 개별적으로 일일이 분석하고 검토하는 것은 실질적으로 바닷가 모래사장에서 바늘 찾기에 비유할 수 있을 정도로 비효율적입니다. 보안 위협 로그를 보다 효율적으로 식별할 수 있는 방법은 무엇일까요? 실제 어떻게 보안 위협 이벤트를 식별하고 탐지하는지 사례를 통해 설명드리도록 하겠습니다. 현재 저희 회사 보안 환경은 IDC 전체 트래픽 .. 정보 보안 이야기 2025. 4. 7. 더보기 ›› 파워쉘(Powershell)을 이용한 파일리스 공격 사례 현재 제가 근무하는 보안팀에서 운영중인 특정 솔루션이 보안 취약점으로 인해 랜섬웨어 감염 사례가 빈번히 발생했던 경험을 공유하고자 합니다. 공격자는 해당 솔루션의 취약점을 악용하여 운영 중인 서버에 침투해 피해를 입혔으며, 이에 대한 공격 벡터와 구체적인 공격 방식에 대해 사례를 중심으로 자세히 살펴보겠습니다. 실제 침해사고 분석을 통해 확인된 주요 공격 벡터는 윈도우 명령 프롬프트(cmd)의 권한을 악용한 뒤, 파워쉘(PowerShell)을 사용하여 악성코드를 설치하는 방식입니다. 처음 침투 시에는 파일형식이 없는(Fileless) 형태로 악성코드를 시스템 메모리에 로드하였으며, 이후 실제로 생성된 악성 파일(.ps 파일 등)은 삭제하는 특성을 보였습니다. 이러한 방식은 피해자의 시스템에서 흔적을 최소.. 정보 보안 이야기 2025. 4. 4. 더보기 ›› APT 장비 기반 보안 위협 탐지 룰 설정 예시 실시간으로 발생하는 사이버 보안 위협에 효과적으로 대응하기 위해서는 위협 이벤트에 대한 즉각적인 조치가 필수적입니다. 끊임없이 변화하는 사이버 위협 환경에서 효율적으로 문제를 해결하기 위해서는 보안 위협 이벤트를 탐지할 수 있는 규칙을 설정하고 이를 처리하는 명확하고 체계적인 프로세스를 구축하는 것이 가장 중요한 과제입니다. 이 글에서는 실제 실무에서 보안 위협 탐지를 수행한 사례를 중심으로, 중요한 보안 설정 규칙을 활용한 대응 및 처리 과정에 대해 설명드리겠습니다. 이는 정보 보안 분야에서 종사하시는 분들께 조금이라도 실질적인 도움이 되기를 바라는 마음으로 작성되었습니다. 본문 내용은 저희 회사의 사례를 예로 든것으로 절대적인 정답으로 받아들이기보다는 다양한 관점에서 활용하시기 바랍니다. 해당 내용은.. 정보 보안 이야기 2025. 4. 4. 더보기 ›› SecOps(보안운영) 우리 회사 사례 엿보기 IT 분야에서 최근 주목받고 있는 트렌드 중 하나인 SecOps에 대해 깊이 있는 탐구를 담은 포스팅을 준비했습니다. DevOps와 비슷하게, SecOps는 IT 운영과 보안을 긴밀히 결합하여 조직의 보안성을 극대화하는 방법에 대해서 실무 적인 사례를 들어 알아보도록 하겠습니다. SecOps 정의 DevOps가 소프트웨어 개발자와 운영 팀을 통합하여 효율적인 협업을 추구하듯, SecOps는 IT 보안 팀과 운영 팀 간의 협력을 중심으로 하는 관리 모델입니다. 이는 소프트웨어 개발 및 서비스 출시 단계 전반에 걸쳐 보안 프로세스를 시스템 전반에 통합하는 것을 목표로 합니다. 이와 같은 모델은 조직의 보안 전략을 운영 프로세스와 밀접히 연결하여 전방위적인 보안을 실현할 수 있는 기반을 제공합니다. SecOp.. 정보 보안 이야기 2025. 4. 3. 더보기 ›› 이전 1 2 다음
