ISMS-P 2.11.3 이상행위 분석·모니터링 High Risk

이상행위 분석 및 모니터링이 수행되고 있는가?

ISMS-P 2.11.3은 이상행위 탐지 및 모니터링 체계 구축을 요구합니다. 클라우드 환경에서는 GuardDuty, Detective, VPC Flow Logs, Macie를 통해 내부자 위협과 이상행위를 실시간으로 탐지해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.11.3 이상행위 분석·모니터링 요구사항

2.11.3

이상행위 분석 및 모니터링

인증 기준 정의

"내부 정보의 불법 유출, 비인가 접근, 침해시도 등 이상행위를 탐지·분석하기 위하여 네트워크 및 데이터 흐름 수집, 내부 사용자 및 정보시스템에 대한 이상행위 탐지·분석 체계를 수립·운영하여야 한다."

📌 클라우드 환경 적용 포인트

GuardDuty 위협 탐지 활성화
Detective 상관 분석 연동
VPC Flow Logs 전체 적용
Macie 민감데이터 탐지

⚠️ 미준수 시 심사 영향

결함: 이상행위 탐지 체계 미구축
결함: 네트워크 흐름 분석 미수행
권고: 탐지 이력 정기 분석 미흡

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ Amazon GuardDuty ↗

📰

실제 보안 사고 사례

이상행위 탐지 실패로 발생한 실제 사고

2020.08

Tesla 내부자 위협 탐지 실패

전 직원이 AWS 인프라에 악성코드 배포 시도. 내부자 이상행위 탐지 체계 부재로 외부 제보로 발각. 랜섬웨어 협박 미수.

💡 교훈: CloudTrail 기반 내부자 이상행위 실시간 탐지 필수

2025.04

SK텔레콤 BPFDoor 장기 잠복

HSS 서버에 BPFDoor 악성코드 설치 후 수개월간 잠복. 방화벽 우회 및 이상행위 탐지 체계 부재로 2,695만 건 유심 정보 유출.

💡 교훈: GuardDuty + 네트워크 이상행위 실시간 탐지 체계 필수

출처: 보안뉴스 ↗

⚡

클라우드 환경의 위험

이상행위 탐지 체계 부재 시 발생하는 상황

위험 설정 (AS-IS) - 탐지 체계 미구축

# 이상행위 탐지 미설정
resource "aws_vpc" "main" {
  cidr_block = "10.0.0.0/16"
  # VPC Flow Logs 미연동
}

# GuardDuty 비활성화
# Detective 비활성화
# Macie 비활성화
# 이상행위 알람 없음

위협 탐지, 네트워크 분석, 상관 분석 모두 불가

권장 설정 (TO-BE) - 다계층 탐지 체계

# 다계층 이상행위 탐지 체계
resource "aws_guardduty_detector" "main" {
  enable = true
  datasources { s3_logs { enable = true } }
}
resource "aws_detective_graph" "main" {}
resource "aws_flow_log" "main" {
  vpc_id = aws_vpc.main.id
  traffic_type = "ALL"
}
resource "aws_macie2_account" "main" {}

GuardDuty + Detective + Flow Logs + Macie 통합 탐지

🚨

발견 사례: 이상행위 탐지 체계 전면 미구축

GuardDuty, Detective, VPC Flow Logs, Macie가 모두 비활성화되어 있어 내부자 위협, 비정상 네트워크 통신, 민감데이터 유출을 탐지할 수 없는 상태입니다.

ISMS-P 2.11.3 위반 사항

●

위협 탐지 불가: GuardDuty 비활성화

●

네트워크 분석 불가: VPC Flow Logs 미수집

●

상관 분석 불가: Detective 미활성화

●

데이터 유출 미탐지: Macie 비활성화

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

이상행위 탐지 체계 점검 로직

판단 조건	조건 값	결과
🛡️ GuardDuty 상태	`aws_guardduty_detector 존재` + `enable = true`	✓ 통과
🛡️ GuardDuty 상태	`리소스 미존재` 위협 탐지 불가	Critical - PR 즉시 차단
🔗 Detective 상태	`aws_detective_graph 존재`	✓ 통과
🔗 Detective 상태	`리소스 미존재` 상관 분석 불가	High - 차단 + Slack 알림
📊 VPC Flow Logs	`모든 VPC에 aws_flow_log 연결`	✓ 통과
📊 VPC Flow Logs	`일부/전체 VPC 미연결`	High - 네트워크 분석 불가

🔔

사후 대응 방안

런타임 모니터링 및 이상행위 탐지

이상행위 런타임 이벤트 대응 로직

판단 조건	조건 값	결과
👤 Root 계정 로그인	`업무 시간 (09~18시)` 정상 범위	Medium - Slack 알림
👤 Root 계정 로그인	`야간/휴일 (22~06시)` 비정상	Critical - PagerDuty 호출
📤 대량 데이터 전송	`S3 대량 GetObject` 1시간 내 1000건+	High - 데이터 유출 의심
📤 대량 데이터 전송	`외부 IP 대량 전송` VPC Flow Logs 이상	Critical - 침해 의심 대응
🔑 권한 상승 시도	`비정상 AssumeRole` 미승인 역할	High - Detective 상관 분석
🔑 권한 상승 시도	`IAM Policy 무단 변경`	Critical - 즉시 롤백 검토

모든 알림에 포함되는 정보

GuardDuty Finding ID 영향받는 리소스 행위 주체 (IAM/IP) Detective 분석 링크

✓

조치 가이드

즉시 적용 가능한 권장 설정

권장 설정 (복사하여 적용)

anomaly-detection.tf

# 1. GuardDuty 전체 활성화
resource "aws_guardduty_detector" "main" {
  enable = true
  finding_publishing_frequency = "FIFTEEN_MINUTES"

  datasources {
    s3_logs      { enable = true }
    kubernetes   { audit_logs { enable = true } }
    malware_protection { scan_ec2_instance_with_findings { ebs_volumes { enable = true } } }
  }

  tags = { ISMS-P = "2.11.3" }
}

# 2. Detective 활성화 (상관 분석)
resource "aws_detective_graph" "main" {
  tags = { ISMS-P = "2.11.3" }
}

# 3. VPC Flow Logs 활성화
resource "aws_flow_log" "main" {
  vpc_id                   = aws_vpc.main.id
  traffic_type             = "ALL"
  log_destination_type     = "cloud-watch-logs"
  log_destination          = aws_cloudwatch_log_group.flow_logs.arn
  iam_role_arn             = aws_iam_role.flow_logs.arn
  max_aggregation_interval = 60

  tags = { ISMS-P = "2.11.3" }
}

# 4. Macie 활성화 (민감데이터 탐지)
resource "aws_macie2_account" "main" {
  status = "ENABLED"
  finding_publishing_frequency = "FIFTEEN_MINUTES"
}

# 5. Root 로그인 알람
resource "aws_cloudwatch_metric_alarm" "root_login" {
  alarm_name          = "root-console-login-alarm"
  namespace           = "CloudTrailMetrics"
  metric_name         = "RootAccountUsage"
  statistic           = "Sum"
  period              = 300
  threshold           = 1
  comparison_operator = "GreaterThanOrEqualToThreshold"
  evaluation_periods  = 1
  alarm_actions       = [aws_sns_topic.security_alerts.arn]
}

💡 핵심: GuardDuty로 위협을 탐지하고, Detective로 상관 분석하고, VPC Flow Logs로 네트워크를 분석하고, Macie로 민감데이터 유출을 탐지합니다. 다계층 탐지 체계가 핵심입니다.

📚 참고 자료

☁️ Amazon GuardDuty 공식 문서 ↗ 🔗 Amazon Detective 공식 문서 ↗ 📊 VPC Flow Logs 공식 문서 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

GuardDuty 활성화 상태
Detective 연동 상태
VPC Flow Logs 적용률
Macie 민감데이터 탐지 현황
이상행위 알람 설정 현황

📅 리포트 주기

일간

GuardDuty Finding 요약

주간

탐지 체계 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack PagerDuty

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

단일 서비스 활성화 여부만 검사

GuardDuty 활성화 여부만 확인
Detective 연동 미검사
VPC Flow Logs 적용률 미확인
이상행위 알람 구성 미확인

한계: 개별 서비스 활성화만 확인하고 통합 탐지 체계 검증 불가

BSG 접근 방식

ISMS-P 관점 통합 점검

탐지: GuardDuty + Detective 통합 검증
네트워크: VPC Flow Logs 전체 적용 확인
데이터: Macie 민감데이터 탐지 검증
증적: 탐지 이력 + 대응 로그 자동화

차별점: 인증 기준 관점에서 탐지 → 조치 → 증적 전 과정 자동화

← ISMS-P 인증 시나리오로 돌아가기