본문으로 건너뛰기
보안 지식

UEBA와 MonitorDog: 내부자 이상행동 탐지를 화면 보안까지 확장하기

|
약 9분
모니터독(MonitorDog) 팀
모니터독(MonitorDog) 팀
AI 기반 시각적 해킹 차단 솔루션

보안 사고는 항상 외부 공격자가 방화벽을 뚫고 들어오는 방식으로만 일어나지 않습니다. 퇴사를 앞둔 직원이 고객 정보를 열람하거나, 협력업체 계정으로 평소와 다른 시간대에 접속하거나, 정상 권한을 가진 사용자가 민감 화면을 스마트폰으로 촬영하는 상황도 충분히 현실적인 위협입니다.

이런 문제를 다룰 때 자주 등장하는 개념이 UEBA(User and Entity Behavior Analytics) 입니다. 한국어로는 보통 사용자 및 엔터티 행위 분석, 또는 사용자 이상행동 분석이라고 부릅니다. 핵심은 단순합니다. "이 사용자가 권한을 가지고 있는가"에서 멈추지 않고, "지금 이 행동이 평소와 다른가" 를 함께 보는 것입니다.

3줄 요약

  • UEBA는 사용자, 계정, 기기, 애플리케이션 등의 평소 행동 패턴을 기준으로 이상 징후를 탐지하는 보안 접근 방식입니다.
  • 내부자 위협은 정상 권한을 이용하는 경우가 많아, 로그인 성공 여부나 접근 권한만으로는 충분히 판단하기 어렵습니다.
  • MonitorDog은 화면 촬영 시도, 자리 비움, 다수 인원 탐지, 캡처 시도 같은 업무 화면 앞의 행동을 이벤트로 기록하고 시나리오 기반 의심 행위로 연결해 UEBA의 관측 범위를 화면 보안까지 확장합니다.

UEBA를 한 문장으로 이해하기

UEBA는 사용자와 시스템 객체의 평소 행동을 학습하고, 그 기준에서 벗어난 행동을 위험 신호로 보는 분석 방식 입니다.

여기서 사용자는 임직원, 관리자, 외주 인력, 협력사 계정처럼 실제 사람이 사용하는 계정을 뜻합니다. 엔터티(Entity)는 PC, 서버, 애플리케이션, 서비스 계정, 저장장치, IP 주소처럼 보안 이벤트를 만들어내는 대상을 넓게 포함합니다.

전통적인 보안은 주로 정해진 규칙을 기준으로 동작했습니다. 예를 들어 "차단된 프로그램이 실행되면 알림", "USB 저장장치가 연결되면 기록", "권한 없는 사용자가 관리자 페이지에 접근하면 차단" 같은 방식입니다. 이런 규칙은 여전히 필요합니다. 하지만 내부자 위협이나 계정 탈취 공격은 규칙만으로 잡기 어려울 때가 많습니다.

문제의 사용자가 실제 권한을 가지고 있을 수 있기 때문입니다. 그래서 UEBA는 다음과 같은 질문을 추가합니다.

  • 이 사용자가 평소보다 훨씬 많은 민감 화면을 열람하고 있지는 않은가?
  • 같은 이벤트가 짧은 시간에 반복되고 있지는 않은가?
  • 평소와 다른 위치, 기기, 시간대에서 활동하고 있지는 않은가?
  • 특정 행동이 여러 신호와 결합될 때 위험도가 높아지지는 않는가?

즉, UEBA는 단일 이벤트를 보는 기술이 아니라 행동의 맥락을 보는 방법 에 가깝습니다.

왜 내부자 위협에는 UEBA가 필요한가?

내부자 위협이 어려운 이유는 공격자가 이미 "정상"처럼 보인다는 점입니다.

외부 공격자는 악성코드, 취약점 악용, 비정상 네트워크 접속처럼 비교적 명확한 흔적을 남길 수 있습니다. 반면 내부자는 업무용 계정으로 로그인하고, 허용된 애플리케이션을 사용하고, 접근 가능한 데이터에 들어갑니다. 계정이 탈취된 경우에도 겉으로는 정상 사용자의 행동처럼 보일 수 있습니다.

예를 들어 다음 상황을 생각해 볼 수 있습니다.

  • 고객 상담원이 평소보다 훨씬 많은 고객 상세 화면을 반복해서 조회합니다.
  • 특정 직원의 PC에서 짧은 시간 동안 화면 캡처 시도가 여러 번 발생합니다.
  • 재택근무 중 자리 비움과 얼굴 인증 실패가 반복됩니다.
  • 민감 업무 화면을 띄운 상태에서 스마트폰 사용 이벤트가 연속적으로 감지됩니다.
  • 평소와 다른 IP나 디바이스에서 접속한 뒤 캡처 프로그램 실행이 이어집니다.

각각의 이벤트만 따로 보면 "그럴 수도 있는 일"처럼 보일 수 있습니다. 하지만 시간, 사용자, 기기, 업무 맥락을 함께 보면 이야기가 달라집니다. UEBA는 바로 이 지점에서 힘을 발휘합니다.

UEBA가 보는 대표적인 신호

UEBA는 조직마다 다른 데이터를 활용하지만, 기본적으로 다음과 같은 신호를 봅니다.

1. 로그인과 접근 패턴

접속 시간, 접속 위치, IP, 디바이스, 로그인 성공과 실패 횟수는 가장 기본적인 분석 대상입니다. 평소 서울 사무실에서 근무하던 계정이 새벽에 해외 IP로 접속하거나, 짧은 시간에 여러 번 인증에 실패한다면 점검이 필요합니다.

2. 데이터 접근과 사용량

평소보다 많은 고객 정보 조회, 대량 다운로드, 반복적인 검색, 민감 시스템 접근 증가도 중요한 신호입니다. 내부자 사고는 한 번의 큰 행동보다 작은 행동이 반복되며 진행되는 경우가 많습니다.

3. 엔드포인트와 애플리케이션 행동

금지 프로그램 실행, 캡처 프로그램 사용, 외부 저장장치 연결, 비정상 프로세스 실행은 사용자의 업무 환경에서 발생하는 중요한 행동 데이터입니다. 이런 신호는 단독으로도 의미가 있지만, 사용자별 기준선과 결합하면 더 정확해집니다.

4. 물리적·시각적 행동

많은 UEBA 논의에서 놓치기 쉬운 영역이 바로 화면 앞의 행동입니다. 사용자가 민감한 데이터를 파일로 내려받지 않아도, 화면에 띄운 뒤 스마트폰으로 촬영하면 정보는 이미 조직 밖으로 나갈 수 있습니다.

화면 촬영 시도, 다수 인원 탐지, 자리 비움, 화면 잠금 해제 실패, 캡처 시도 같은 이벤트는 내부자 이상행동을 판단할 때 중요한 보조 신호가 됩니다. 데이터가 실제로 노출되는 마지막 접점은 결국 화면이기 때문입니다.

규칙 기반 탐지와 UEBA는 어떻게 다른가?

규칙 기반 탐지는 "정해진 조건이 발생했는가"를 봅니다. 예를 들어 1분 안에 스마트폰 감지 이벤트가 3회 발생하면 의심 행위로 분류하는 식입니다.

UEBA는 여기서 한 단계 더 나아갑니다. 단순히 조건 충족 여부만 보는 것이 아니라, 이 행동이 특정 사용자에게 평소와 다른지, 이전 이벤트와 어떤 순서로 이어졌는지, 같은 부서나 같은 업무군의 일반적인 패턴과 비교했을 때 얼마나 벗어나는지를 봅니다.

둘 중 하나만 선택해야 하는 것은 아닙니다. 실무에서는 보통 다음처럼 함께 사용합니다.

  • 명확히 위험한 행동은 규칙 기반으로 빠르게 차단합니다.
  • 애매하지만 반복되는 행동은 UEBA 관점으로 누적 분석합니다.
  • 여러 낮은 위험 신호가 결합되면 의심 행위로 승격합니다.
  • 관리자는 리뷰와 코멘트를 통해 실제 위험 여부를 판단하고 정책을 조정합니다.

보안 운영에서 중요한 것은 모든 이상 징후를 자동으로 사고라고 단정하는 것이 아닙니다. 검토해야 할 신호를 놓치지 않고, 우선순위를 정해 대응하는 것 입니다.

MonitorDog은 UEBA와 어떻게 연결되는가?

MonitorDog은 전통적인 UEBA 솔루션을 대체한다기보다, UEBA가 보기 어려웠던 화면 앞의 사용자 행동 을 보안 이벤트로 가져오는 역할을 합니다.

모니터독 에이전트는 사용자의 PC에서 발생하는 다양한 행위를 이벤트로 기록합니다. 예를 들어 스마트폰 사용, 다수 인원 탐지, 자리 비움 탐지, 로그인과 로그아웃, 웹캠 켜짐과 꺼짐, 미팅 모드 변경, 스크린샷, 얼굴 인증 성공과 실패, 시스템 단축키 같은 신호가 이벤트가 될 수 있습니다.

이 이벤트들은 단순 기록에서 끝나지 않습니다. 관리자는 어드민 콘솔에서 시나리오를 만들고, 특정 이벤트가 짧은 시간에 과다 발생하거나, 허용 범위를 초과하거나, 일반적인 사용자 패턴과 일치하지 않을 때 의심 행위 로 분류할 수 있습니다.

예를 들어 다음과 같은 시나리오를 생각할 수 있습니다.

  • 1분 안에 스마트폰 사용 이벤트가 여러 번 발생하면 '높음' 등급 의심 행위로 등록합니다.
  • 자리 비움 이후 얼굴 인증 실패가 반복되면 관리자 승인 및 비밀번호가 필요한 잠금으로 대응합니다.
  • 캡처 시도와 금지 프로그램 실행이 같은 사용자에게 반복되어도 '높음' 등급 의심 행위로 등록합니다.

이렇게 하면 "한 번 스마트폰이 보였다"는 단편적인 이벤트가 아니라, 누가, 언제, 어떤 기기에서, 어떤 맥락으로, 어떤 행동을 반복했는지 를 기준으로 내부자 이상행동을 판단할 수 있습니다.

화면 보안이 UEBA에서 중요한 이유

대부분의 보안 로그는 시스템 내부에서 발생한 일을 기록합니다. 파일을 열었는지, 네트워크로 보냈는지, USB에 복사했는지, 어떤 프로세스가 실행됐는지 같은 정보입니다.

하지만 스마트폰으로 모니터를 촬영하는 행위는 시스템 내부 이벤트가 아닙니다. 운영체제의 스크린샷 API를 호출하지 않고, 네트워크를 통과하지도 않으며, 회사 PC의 파일 시스템에 흔적을 남기지도 않습니다. 사용자의 개인 스마트폰 카메라가 화면을 이미지로 저장할 뿐입니다.

그래서 화면 보안은 UEBA의 관측 범위를 넓힙니다. 내부자 위협을 정말로 다루려면 "계정이 무엇을 했는가"뿐 아니라 "정보가 표시된 순간 사용자가 화면 앞에서 무엇을 했는가" 도 봐야 합니다.

MonitorDog은 웹캠 기반 AI 모델을 통해 화면 주변의 스마트폰 사용과 다수 인원 탐지 같은 이벤트를 포착하고, 필요할 경우 화면을 잠그거나 관리자 승인이 필요한 절차로 연결할 수 있습니다. 이벤트 발생 시점의 스크린과 웹캠 이미지는 기본적으로 비공개 처리되며, 관리자가 확인해야 할 때는 보안 감사 절차를 통해 제한적으로 열람하도록 설계되어 있습니다.

이 접근은 보안과 프라이버시 사이의 균형에도 중요합니다. 내부자 위협을 관리하려면 기록이 필요하지만, 기록 자체가 또 다른 개인정보 리스크가 되어서는 안 되기 때문입니다.

UEBA 도입 전 점검해야 할 질문

UEBA를 도입하거나 내부자 이상행동 탐지 체계를 정비할 때는 먼저 다음 질문을 던져보는 것이 좋습니다.

  • 우리 조직에서 민감 정보가 가장 자주 표시되는 화면은 어디인가?
  • 정상 업무와 이상행동을 구분할 수 있는 기준선이 있는가?
  • 단일 이벤트가 아니라 여러 이벤트의 조합을 볼 수 있는가?
  • 의심 행위가 발생했을 때 누가 리뷰하고, 어떤 기준으로 조치하는가?
  • 화면 촬영, 자리 비움, 다수 인원 탐지처럼 시스템 밖에서 벌어지는 물리적 행동도 관측할 수 있는가?
  • 보안 이벤트 이미지나 로그를 열람할 때 권한, 사유, 시간 제한, 히스토리가 남는가?

UEBA의 목적은 직원을 의심하는 문화를 만드는 것이 아닙니다. 오히려 반대입니다. 기준 없는 감시가 아니라, 명확한 정책과 기록을 바탕으로 실제 위험 신호를 구분하는 체계를 만드는 것입니다.

실무 적용을 위한 기본 원칙

첫째, 처음부터 모든 것을 자동 차단하려고 하지 않는 것이 좋습니다. 업무 환경마다 정상 행동의 범위가 다르기 때문에, 초기에는 이벤트를 기록하고 리뷰하면서 조직에 맞는 기준을 잡는 과정이 필요합니다.

둘째, 위험 등급을 나눠야 합니다. 모든 이벤트를 '높음'으로 처리하면 보안팀은 금방 알림 피로에 빠집니다. 반복성, 민감 데이터 접근 여부, 시간대, 사용자 역할, 물리적 화면 노출 가능성을 함께 보고 낮음, 중간, 높음으로 구분해야 합니다.

셋째, 대응 절차를 미리 정해야 합니다. 어떤 의심 행위는 단순 확인으로 충분하지만, 어떤 행위는 즉시 화면 잠금이나 관리자 승인 절차가 필요할 수 있습니다. MonitorDog의 시나리오 설정처럼 잠금 없음, 사용자 직접 해제, 관리자 승인 필요를 구분해 적용하면 업무 연속성과 보안성을 함께 고려할 수 있습니다.

넷째, 감사 가능한 방식으로 운영해야 합니다. 보안 담당자가 이벤트 이미지를 확인할 때도 무제한 열람이 아니라 사유와 기간이 남아야 합니다. MonitorDog의 보안 감사 절차처럼 기본 비공개, 제한된 시간의 열람, 히스토리 기록이 있는 구조가 필요합니다.

MonitorDog: 내부자 이상행동을 화면 앞까지 확장하다

UEBA의 핵심은 "정상 권한을 가진 사용자의 비정상 행동"을 놓치지 않는 것입니다. 그리고 많은 정보 유출은 권한이 없는 사람이 시스템을 해킹해서가 아니라, 권한이 있는 사람이 화면에 표시된 정보를 부적절하게 다루면서 시작됩니다.

MonitorDog은 이 지점을 보안 운영의 관측 범위 안으로 가져옵니다. 이벤트를 기록하고, 시나리오를 통해 의심 행위로 묶고, 위험 등급과 리뷰 상태를 관리하며, 필요한 경우 이벤트 락이나 리모트 락으로 즉시 대응할 수 있습니다.

기존 UEBA가 로그인, 계정, 네트워크, 애플리케이션 로그를 중심으로 내부자 위협을 분석한다면, MonitorDog은 여기에 화면 앞의 실제 행동 이라는 신호를 더합니다. 스마트폰 촬영 시도, 다수 인원 탐지, 자리 비움, 캡처 시도처럼 기존 로그만으로는 보기 어려웠던 순간을 기록 가능한 보안 이벤트로 전환하는 것입니다.

UEBA는 거창한 분석 플랫폼의 이름이기 전에, 보안 운영의 기본 질문입니다.

"이 사용자의 이 행동은 지금 정상인가?"

이 질문을 화면 보안까지 확장할 때 내부자 위협 대응은 훨씬 현실적이 됩니다. 민감 정보가 실제로 노출되는 마지막 접점은 화면이고, 그 화면 앞에서 벌어지는 행동을 볼 수 있어야 내부자 이상행동 탐지도 완성됩니다.

MonitorDog이 실제 업무 환경에서 스마트폰 촬영 시도와 의심 행위를 어떻게 탐지하고 기록하는지 확인하고 싶다면 무료 데모를 신청해 보시기 바랍니다.

데모 신청하기

참고 자료

최신글

보기

security

2026년 6월 11일

제로 트러스트란 무엇인가: 화면 보안과 연결해서 이해하기
security

2026년 6월 2일

2026 DBIR로 보는 기업 보안 사각지대: 취약점은 빨라졌고, 유출은 여전히 화면에서 시작된다
security

2026년 4월 24일

로그가 없는 유출: 스마트폰 촬영 사고가 뒤늦게 드러나는 이유