구글 워크스페이스

구독
다운로드 151
업데이트 2025. 4. 29.

Google Drive 대량 다운로드 탐지

사용자가 회사 외부에서 Google Drive 파일을 대량으로 다운로드한 경우 탐지합니다.

쿼리

사내 공유된 문서(shared_internally, public_in_the_domain, people_within_domain_with_link)를 “사내망 대역”이 아닌 외부의 IP 주소에서 대량으로 다운로드한 경우 탐지합니다. 최소 10건 이상의 문서를 다운로드하고, 다른 사용자 대비 현저하게 많이 다운로드한 경우에 이상으로 탐지합니다.

table from=$("from") to=$("to") *:GOOGLE_DRIVE 
| search action == "download" and isnotnull(src_ip) and in(visibility, "shared_internally", "public_in_the_domain", "people_within_domain_with_link") 
| matchnet guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" field=src_ip invert=t 
| join user 
    [ 
    table from=$("from") to=$("to") *:GOOGLE_DRIVE 
    | search action == "download" and isnotnull(src_ip) and in(visibility, "shared_internally", "public_in_the_domain", "people_within_domain_with_link") 
    | matchnet guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" field=src_ip invert=t 
    | stats values(doc_title) as doc_title, count, dc(doc_id) as doc_count, values(src_ip) as src_ip by user 
    | lof eps=0.1 doc_count 
    | search doc_count >= 10 and _lof >= 1.5 | fields user ]

메시지

  • Google Drive 문서 외부 공개: 사용자 $user, 문서 $doc_title

출력 필드 순서

  • _log_time, type, src_ip, user, action, doc_id, doc_type, doc_title, old_visibility, visibility, owner, is_primary_event, is_encrypted, is_team_drive, is_shared_drive, is_billable, originating_app_id, originating_app_name, params

위협 분석

  • 외부 네트워크에서 사내 공유 범위(내부 공유, 도메인 공개, 링크 접근 허용) 문서를 대량으로 다운로드하는 행위는 내부 정보 유출 가능성을 강하게 시사합니다.
  • 특히 단기간에 다른 사용자 대비 비정상적으로 많은 파일을 다운로드하는 경우 내부 계정 탈취(피싱, 크리덴셜 스터핑 등) 또는 내부자에 의한 인가되지 않은 대량 반출일 수 있습니다.
  • 공격자는 정상 사용자로 가장해 외부에서 접근하기 때문에 단순 접근 로그만으로는 구분이 어렵고, 다운로드 패턴 및 양적 이상징후 분석을 통해 위협을 탐지합니다.

오탐 유형

  • 회사 공인 IP 대역이 “사내망 대역 그룹”에서 누락된 경우, 정상적인 사내 접속임에도 불구하고 외부 접속으로 잘못 분류될 수 있습니다.
  • 출장, 재택근무, 원격 근무 환경에서 임직원이 정상적으로 외부 네트워크를 통해 문서를 다량 다운로드하는 경우에도 탐지될 수 있습니다.
  • 대량 다운로드가 특정 업무(예: 프로젝트 마이그레이션, 대규모 자료 검토 등) 과정에서 필요할 수 있으며, 이 경우 정책적으로 허용된 활동일 수 있습니다.

대응 방안

  • IP 관리: 회사 공인 IP 주소를 “사내망 대역 그룹”에 최신 상태로 유지 관리하여 불필요한 오탐을 줄입니다.
  • 이상 행위 검증: 탐지된 사용자의 활동을 보안팀이 즉시 확인하고, 계정 탈취 가능성을 고려해 MFA 로그, 로그인 위치, 기기 정보 등을 교차 검증합니다.
  • 정책/업무 예외 처리: 대량 다운로드가 업무상 필수적인 경우, 해당 사용자나 부서에 대한 예외 정책을 수립하거나 별도 승인 절차를 마련합니다.
  • 사후 조치: 계정 탈취 의심 시 즉각 비밀번호 초기화, 세션 강제 종료, 추가 인증 절차를 적용합니다. 필요 시 사용자 인터뷰 및 접근 목적을 확인합니다.
  • 지속적 모니터링: 단발성 탐지 외에도 동일 사용자·IP의 반복 패턴을 추적하여 장기적인 데이터 유출 시도를 식별할 수 있도록 합니다.

MITRE ATT&CK