Google Drive 문서 외부 공개
사용자가 Google Drive 문서의 공개 범위를 외부에서 접근 가능하도록 수정하는 경우 탐지합니다.
쿼리
Google Drive Activity 작업 유형이 change_document_visibility 에 해당되고, 매개변수 중 visibility_change 값이 external 인 경우 실시간으로 탐지합니다. visibility_change 값은 none , internal, external 3종이 존재하며, external 은 내부 접근만 가능한 상태에서 외부에서 접근 가능한 상태로 변경되었다는 것을 의미합니다.
| search action == "change_document_visibility"
| eval visibility_change = strjoin("", foreach(if(valueof(_1, "name") == "visibility_change", valueof(_1, "value"), ""), params))
| search visibility_change == "external"
메시지
- Google Drive 문서 외부 공개: 사용자 $user, 문서 $doc_title
출력 필드 순서
- _log_time, type, src_ip, user, action, doc_id, doc_type, doc_title, old_visibility, visibility, owner, is_primary_event, is_encrypted, is_team_drive, is_shared_drive, is_billable, originating_app_id, originating_app_name, params
위협 분석
- 내부 사용 목적으로 생성된 문서가 외부 공개로 변경되면 조직의 기밀 정보(예: 고객 데이터, 내부 전략, 재무정보 등)이 외부로 유출될 수 있습니다. 이는 데이터 유출 사고(DLP, Data Loss Prevention)의 주요 원인이 될 수 있습니다.
- 사용자의 실수 혹은 내부자가 의도적으로 외부에게 문서를 공유하는 경우가 있습니다. 특히, “링크를 아는 사람은 누구나” 접근 가능한 설정으로 변경할 경우 조직 외부에서 문서에 접근될 수 있는 리스크가 발생합니다.
오탐 유형
- 문서가 외부 협업을 위해 의도적으로 공유된 경우 (예: 고객, 외부 파트너, 계약자 등), 해당 공유는 정상적인 사용으로 간주될 수 있습니다. 이 경우 탐지 시 “외부 공개”로 알림이 발생하더라도 실제 위협은 아닐 수 있습니다.
대응 방안
- 경보 내용을 확인하고 변경된 문서와 사용자를 식별합니다.
- 문서 내용을 검토하여 기밀 정보 포함 여부와 외부 접근 위험성을 판단합니다.
- 문서 내용에 기밀이 포함된 경우 불필요한 외부 접근을 차단하기 위해 공유 설정을 내부 전용으로 즉시 변경합니다.
- 변경 사용자에게 사유를 확인하고, 계정 탈취 의심 시 비밀번호 초기화 및 세션 종료를 실시합니다.
- 동일 사용자 또는 프로젝트에서 유사 변경이 있었는지 추가 조사하여 재발 방지 조치를 수행합니다.
MITRE ATT&CK
- 전술
- Defense Evasion
- 기법
- 이름: File and Directory Permissions Modification
- ID: T1222
- 참조 URL: https://attack.mitre.org/techniques/T1222/