내부자 위협이란?

내부자 위협은 액세스 권한이 있는 조직에 가까운 사람이 조직의 중요한 정보 또는 시스템에 부정적인 영향을 미치는 액세스 권한을 오용할 때 발생할 수 있습니다. 그 사람이 반드시 직원일 필요는 없습니다. 타사 공급자, 도급자 또는 파트너도 위협이 될 수 있습니다. 내부자 위협은 위협 의도에 따라서 의도치 않게 또는 악의적으로 발생할 수 있습니다. 의도하지 않은 내부자 위협은 부주의한 직원이 피싱 공격의 피해자가 될 수 있습니다. 악의적인 위협은 의도적인 데이터 도용, 기업 스파이 활동 또는 데이터 손상으로 인한 것일 수 있습니다.

가장 큰 자산은 또한 가장 큰 위험입니다. 내부자 위협의 근본 원인은 무엇일까요? 바로 인적 자원입니다. 하지만 대부분의 보안 소프트웨어는 컴퓨터, 네트워크 또는 시스템 데이터만 분석합니다.

모든 보안 사고의 25%는 내부자와 관련이 있기 때문에 위협은 모든 수준에서 그리고 모든 사람으로부터 다가올 수 있습니다.^[1]

최근 내부자 위협 통계에 따르면 69%는 자신의 조직에 지난 12개월 동안 데이터 위협 및 데이터 손상 시도가 있었거나 공격으로 피해를 보았다고 밝혔습니다.

• 배지 또는 액세스 장치를 소유한 사람.
• 조직에서 컴퓨터 또는 네트워크에 액세스를 제공한 사람.
• 제품 및 서비스를 개발하는 사람.

• 조직의 기본 원칙을 잘 아는 사람.
• 보호된 정보에 접근할 수 있는 사람.

내부자 위협은 모든 직원, 공급업체, 임원, 도급자, 그 외에 조직과 직접 연결되어 일하는 사람을 뜻합니다. 악의적인 내부자는 의도적으로 조직에 해를 끼치기 위해 데이터를 오용하는 사람입니다. 악의적인 내부자는 자신의 흔적을 숨긴 채 잡히지 않고 데이터를 훔치거나 손상시켜야 한다는 것을 알고 있기 때문에 외부 위협보다 감지하기 어렵습니다. 또한 직무 때문에 데이터에 합법적으로 액세스할 수 있는 경우가 많아서 감지하기가 더 어렵습니다.

악의적인 내부자는 모든 직원, 도급자가 될 수 있지만 일반적으로 높은 데이터 접근 권한을 가지고 있습니다. 예를 들어, 소프트웨어 엔지니어는 고객 정보에 대한 데이터베이스 액세스 권한을 갖고 있으며 경쟁업체에 판매하기 위해 그 정보를 훔칠 수 있습니다. 이러한 활동은 감지가 어려운데, 소프트웨어 엔지니어는 데이터베이스에 합법적으로 액세스할 수 있기 때문입니다.

• 데이터 보호 및 규정 준수 규칙을 자주 위반.
• 다른 직원과의 끊임없는 갈등.
• 지속적으로 낮은 성과 보고서.
• 프로젝트나 기타 업무 관련 과제에 관심 없음.

• 여행 및 비용의 남용.
• 관련 없는 다른 프로젝트에 관심을 가짐.
• 병가를 자주 사용함.

• 원격으로 또는 내부에서 데이터에 오픈 액세스하기 위한 백도어.
• 시스템에 원격으로 액세스하기 위한 하드웨어 또는 소프트웨어 설치.
• 승인되지 않은 계정을 위해 비밀번호 변경.
• 바이러스 백신 도구 및 방화벽 설정을 무단으로 비활성화.

• 멀웨어 설치.
• 승인되지 않은 소프트웨어 설치.
• 민감한 데이터가 포함된 다른 사용자 기기 또는 서버에 액세스 시도.

• 네트워크 관리자, 임원, 파트너 및 중요한 데이터에 대한 권한이 있는 기타 사용자처럼 권한이 높은 사용자.
• 개발 또는 스테이징 환경을 사용하여 데이터에 액세스할 수 있는 개발자.
• 프로필 및 자격 증명이 활성화된 사직하거나 해고된 직원.

• 인수 관리자 및 직원.
• 내부 액세스 권한이 있는 공급업체.
• 내부 액세스 권한이 있는 도급자.
• 내부 액세스 권한이 있는 파트너.

모든 조직의 1/3이 내부자 위협 사건에 직면했습니다.^[2] 나머지는 그저 아직 모르고 있을 뿐입니다.

50%

개인 정보 또는 민감한 정보가 의도치 않게 노출된 사건의 비율^[3]

40%

직원 기록의 손상 또는 도난 사건의 비율^[3]

33%

고객 기록의 손상 또는 도난 사건의 비율^[3]

32%

기밀 자료(영업 비밀 또는 지적 재산)의 손상 또는 도난 사건의 비율^[3]

• 금융 서비스
• 통신
• 기술 서비스

• 보건 의료
• 정부

내부자 위협은 감지하기가 더 어렵기 때문에 때로는 수년 동안 지속되기도 합니다. 내부자 위협의 한 예로 캐나다 금융 회사에서 발생한 사건이 있습니다. 데자르뎅 그룹의 사용자는 모든 사람이 사용할 수 있도록 고객 데이터를 공유 드라이브에 복사해야 했습니다. 악의적인 내부자는 2년 동안 이 데이터를 지속적으로 복사했고 회사는 970만 명의 고객 기록이 공개되었음을 깨달았습니다. 데자르뎅 그룹은 위반을 경감하는 비용으로 1억 800만 달러가 소요됐습니다.

기술 직원 또한 데이터를 손상시킬 수 있습니다. 클리브랜드를 기반으로 하는 한 조직은 개발자 중 한 명이 시스템에 악성 코드를 배포한 후 서버 충돌로 DDoS(분산 서비스 거부) 공격을 겪었습니다. 멀웨어는 사용자 프로필과 파일을 삭제하여 조직의 생산성을 불가능하게 만들었습니다.

데이터에 합법적으로 액세스할 수 있는 직원이나 사용자와 같은 내부자 위협은 감지하기 어렵습니다. 이러한 위협은 데이터에 합법적으로 액세스할 수 있는 이점이 있어 데이터에 대한 액세스 권한을 얻고 데이터를 훔치기 위해 방화벽, 액세스 정책, 사이버 보안 인프라를 우회할 필요가 없습니다.

악의적인 내부자 공격에서 권한이 높은 사용자는 가장 치명적일 수 있습니다. 이러한 사용자는 거의 감지되지 않아서 자유롭게 데이터를 훔칠 수 있습니다. 이들이 항상 직원인 것은 아닙니다. 이들은 공급업체, 도급자, 파트너 및 모든 민감한 데이터에 높은 수준의 액세스 권한을 가진 기타 사용자일 수 있습니다.

기업이 외부 위협을 감지하고 차단하기 위한 인프라를 구축하는 데는 수천 달러가 소요됩니다. 이러한 외부 위협은 사이버 보안 차단을 우회하고 내부 네트워크 보안 데이터에 액세스하더라도 내부자로 간주되지 않습니다. 내부자 위협은 내부 네트워크에 합법적으로 액세스할 수 있으며 신뢰할 수 있는 특정 사용자를 뜻합니다. 이들은 합법적인 자격 증명을 가지고 있기 때문에 관리자는 이들에게 필요한 데이터를 작업할 수 있는 액세스를 제공합니다. 내부자 위협은 신뢰할 수 있는 직원, 공급업체, 도급자, 임원이기 때문에 데이터에 액세스하기 위해 정교한 멀웨어나 도구가 필요하지 않습니다.

신뢰할 수 없는 외부의 알 수 없는 소스에서 발생하는 모든 공격은 내부자 위협으로 간주되지 않습니다. 내부자 위협은 의심스러운 트래픽 동작을 탐지할 수 있는 정교한 모니터링 및 로깅 도구가 필요합니다. 기존의 전통적인 방식에서는 맹목적인 신뢰로 사용자 관리가 이뤄졌지만 요즘 사이버 보안을 위한 최신 전략은 제로 트러스트 네트워크라는 데이터 손실 방지(DLP) 솔루션입니다. 그리고 이 솔루션에서 관리자와 정책 작성자는 모든 사용자와 내부 애플리케이션을 잠재적인 위협으로 고려해야 합니다.

외부 위협에는 일반적으로 금전적 동기가 있습니다. 외부 위협의 목표는 데이터를 훔치고, 돈을 갈취하고, 잠재적으로 다크넷 시장에 훔친 데이터를 판매하는 것입니다. 내부자 위협의 목표는 비슷할 수 있지만 일반적으로 정교한 피싱 또는 사회 공학적 공격에 실수로 빠지게 하거나 악의적인 위협의 경우 데이터를 훔쳐 조직에 피해를 주는 것이 목표입니다.

악의적인 내부자 위협의 특성에는 사기, 산업 스파이, 경쟁사에 영업 비밀 공개를 위한 데이터 액세스 남용 등이 있습니다. 모든 내부자 위협이 악의적인 것은 아니지만 정교한 시스템으로도 특성을 식별하기 어렵습니다. 사용자는 일반적으로 파일 및 데이터에 합법적으로 액세스할 수 있기 때문에 뛰어난 내부자 위협 탐지 솔루션은 비정상적인 동작 및 액세스 요청을 찾아내어 이 동작을 벤치마킹된 통계와 비교합니다.

공급업체, 직원, 도급자가 내부 데이터에 액세스할 수 있는 모든 조직은 내부자 위협의 위험에 노출되어 있습니다. 일부 대기업은 내부자 위협의 희생양이 되었습니다. 일부 대기업은 뛰어난 사이버 보안 태세를 갖추고 있지만 내부자 위협은 일반적으로 관리하기가 훨씬 어렵습니다.

다음은 몇 가지 예시입니다.

• 테슬라: 일론 머스크의 메모에 따르면 악의적인 내부자는 테슬라 시스템에 “상당히 광범위하게 피해를 주는 산업 스파이” 역할을 하면서 테슬라 제조 운영 체제에 대한 코드를 변경하고 매우 민감한 테슬라 기업 정보를 제3자에게 내보냈습니다.
• 페이스북: 2018년 페이스북은 보안 엔지니어가 내부 도구 및 데이터를 사용하여 여성을 괴롭혔다는 사실을 발견했습니다.
• 코카콜라: 조사관은 코카콜라 직원이 약 8000명의 직원 데이터를 개인 외장 하드 드라이브에 복사한 것을 발견했습니다. 코카콜라는 데이터 유출 사실을 알게 된 후 직원들에게 이를 알리고 1년 동안 무료 신용 정보 모니터링을 제공했습니다.
• 선트러스트 뱅크: 전 선트러스트 뱅크 직원은 은행 고객의 이름, 주소, 전화번호 및 계좌 잔액 정보 150만 개를 훔쳤습니다. 다른 민감한 데이터에 접근하지는 않았지만 은행과 고객에게 위험을 초래했습니다.

• 사보타주: 내부자 위협의 목표는 시스템을 손상시키거나 데이터를 파괴하는 것.
• 사기: 데이터 절도 또는 변경이 사기를 목적으로 하는 경우 공격자의 목표는 사기이며 기업 혼란을 일으킬 가능성이 높음.

• 지적 재산 도용: 모든 독점 정보는 조직에 가치가 있으며 이를 훔치려는 공격자는 장기적으로 금전적인 피해를 입힐 수 있음.
• 스파이 활동: 모든 민감한 영업 비밀, 파일 및 데이터는 공격자가 경쟁업체에 판매하기 위해 훔치는 스파이 활동에 취약함.

• 인적 오류
• 잘못된 판단
• 피싱
• 멀웨어

• 의도하지 않은 원조 및 방조
• 도난당한 자격 증명
• 편의

• 특정 사용자가 저장하거나 액세스한 대량의 데이터.
• 민감한 데이터가 포함된 이메일이 제3자에게 전송된 경우.
• 업무 외 시간 또는 불규칙한 근무 시간에 네트워크 및 데이터에 원격 액세스.
• 차단된 웹 사이트에 여러 번 액세스 시도.

• USB 포트 및 장치에 액세스 시도.
• 직원의 직무와 관련 없는 데이터에 대한 빈번한 액세스 요청.
• 허가 없이 회사 기계를 집으로 가져가는 것.

• 직원 역할과 직무 수행을 위한 데이터 필요성에 따라 방침 및 보안 액세스 적용.
• 액세스 요청 성공과 실패 모두 모니터링.

• 사용자가 의심스러운 활동을 표시할 때 경고 및 알림을 허용하는 사이버 보안 및 모니터링 솔루션 사용.
• 내부자 위협 및 악의적인 데이터 액세스에 대한 사용자 행동을 특별히 모니터링하는 인프라 구축.

악의적이든 의도치 않았든, 내부자 위협을 막으려면 모든 사용자의 활동을 지속적으로 모니터링하고 사건이 발생하면 조치를 취해야 합니다.

내부자 위협의 잠재적 위험은 멀웨어 설치, 금융 사기, 데이터 손상 또는 귀중한 정보 도용 등 다양합니다. 이러한 가능한 모든 시나리오에 대응하기 위해 조직은 6가지 주요 기능을 갖춘 내부자 위협 솔루션을 구현해야 합니다.

내부 위협 감지

비정상적인 행동을 식별하여 위험한 사용자 활동을 발견합니다

사고 조사

며칠이 아닌 몇 분 만에 의심스러운 사용자의 활동 조사합니다

사고 방지

실시간 사용자 알림 및 차단으로 위험을 줄입니다.

사용자 개인 정보 보호

사용자 데이터를 익명화하여 직원 및 도급자의 개인 정보를 보호하고 규정을 준수합니다.

규정 준수 충족

간소화된 방식으로 내부자 위협에 관한 주요 규정 준수 요구 사항을 충족합니다.

도구 통합

내부자 위협 관리 및 탐지와 SIEM, 다른 보안 도구를 통합하여 더 많은 인사이트를 확보합니다.

[1] 버라이즌. “데이터 위반 조사 보고서”
[2] SANS. “내부자 위협 및 신속하고 직접적인 대응의 필요성”
[3] CSO 매거진. “미국 사이버 범죄 현황 보고서”