내부자 위협, 어떻게 막아야 할까?
대퇴직 시대를 맞아 내부자 위협에 대한 우려가 커지고 있다. 내부자 위협은 기업 내부의 시스템 정보와 액세스 권한을 가진 부주의하거나 악의적 목적을 가진 직원이 초래하는 보안 위협이다. 최근에는 기업에 RPA(Robotic Process Automation) 프로세스가 도입되면서, 인간이 아닌 소프트웨어 봇에 의해 기밀 정보가 유출된다는 문제도 제기됐다. 하지만 내부자 위협을 조기 탐지하고 예방하는 보안 태세가 미흡한 경우가 많다. 기업의 보안 담당자는 무엇을 감시해야 하는지 정확히 파악하고, 내부자 위협에 대비하는 전략을 수립해야 한다.
올해 4월 한 미군이 기밀 문건을 유출한 혐의로 체포됐다. 이 군인은 미국이 전 세계에서 수집한 350여 건의 기밀을 온라인 비공개 채팅방에 공유한 것으로 알려졌다. 특별한 이념적 동기 없이 자기 과시욕을 채우려는 목적으로 기밀을 유출한 사례로서, 해당 사건을 계기로 ‘새로운 유형의 내부자 위협’에 대한 경고등이 켜졌다.
해당 용의자는 미국 정부가 ‘프리즘’이라는 프로그램을 운용하며 최소 35개국 정상의 전화를 도청했다고 폭로했다. 미국 시민의 전화 통화를 무차별 수집하는 방식의 정보기관 활동을 비판하기 위한 목적이었다. 미국이 자국의 이익을 위해 전쟁을 활용한다고 여겨 이라크 전쟁과 아프가니스탄 전쟁 관련 문서 25만 건을 유출한 것이다.
미국의 주방위군 소속 군인 한 명이 미국의 가장 중요하고 민감한 기밀을 누설한 이후, 보안 전문가들은 내부자 위협으로부터 기밀이나 지적재산을 보호할 수 있는 가장 좋은 방법이 무엇인지 고민하기 시작했다. 이런 내부자 위협은 보안 부문에서 오랫동안 안고 가야 할 숙제이다.
내부자 위협은 보안 분야의 오랜 숙제
내부자 위협은 회사 자산을 사용할 권한이 있고 합법적인 액세스가 가능한 직원, 퇴사자, 아웃소싱 직원 등의 사용자가 고의 또는 실수로 자산을 남용한 경우에 발생하는 보안 위협을 말한다.
글로벌 정보보안업체 프루프포인트(Proofpoint)의 ‘2022 내부자 위협의 비용 글로벌 보고서’에 따르면, 내부자 사고 총계는 6,803건으로 연간 평균 총 비용이 1,540만 달러에 달했다. 이 가운데 업무 과실과 관련된 사고는 56%이며, 과실에 의한 연간 비용은 660만 달러로 집계됐다.
이 조사에 따르면, 39%의 기업이 내부자로 인해 사이버 보안 피해를 입은 것으로 나타났다. 특히 최근 코로나 팬데믹이 끝나가면서 내부자 위협이 기승을 부리기 시작했다. 보험사 직원이 고객의 개인정보를 흥신소에 팔아 넘긴 사건도 있었고, 공무원이 개인정보를 유출한 사고가 잇달아 발생하기도 했다.
해당 보고서에서 주목할 만한 점은 전 세계 기업 1,600곳의 CISO 1,600명을 대상으로 한 설문조사에서 대다수 CISO가 '퇴사자가 데이터 손실사고에 영향을 미친다'라고 응답했다는 사실이다.
보고서에서 CISO 1,600명 중 82%는 직원의 퇴사가 데이터 손실 사고에 영향을 미친다고 답했으며, 지난 1년간 민감 데이터 유출 문제를 처리한 적이 있다고 답한 비율은 63%였다. 이 중에서도 국내 CISO가 응답한 비율은 42%였으며, 이는 스웨덴, 독일, 미국이 각각 87%, 85%, 76%인 것에 비해 낮은 수치이다.
위협 환경에 대한 CISO의 관점에서 향후 1년 내 가장 큰 사이버보안 위협은 ▲ 이메일 사기(비즈니스 이메일 사기 공격) 33% ▲ 내부자 위협(부주의, 우발적, 악의적) 30% ▲ 디도스 공격 29% 등으로 해당 설문에서도 내부자 위협이 높은 순위를 기록했다.
내부자 위협을 막는 방법
기업 내 임직원의 잦은 입사, 퇴사, 이직은 사이버 보안 업계에서 매우 큰 이슈를 차지하고 있다. 사이버 공격은 끊임없이 증가하는 상황 가운데 직원들의 행위 분석 및 권한 관리에 대한 필요성은 증가하고, 잦은 입 퇴사로 인한 인사 데이터 과부하 등에 직면하면서 보안 팀의 업무 부담이 더욱 과부하되고 있기 때문이다.
먼저 내부 직원이 합법적인 ID와 접근 권한을 가지고 있을 경우 보안 위협을 식별하는 것이 특히 어려워진다. 특히 클라우드가 보편화 되면서 데이터 접근 방식이 과거 전통적인 데이터 저장 및 접속 방식보다 사용자의 ID 및 계정에 훨씬 더 의존하고 있는 것이 사실이다.
퇴사자 및 아웃소싱 직원의 계정이 관리되지 않은 채 방치된다면 그만큼 공격자가 공격할 수 있는 지점이 더 늘어나게 된다. 그 이유는 피싱 메일을 통한 ID 탈취, 멀웨어, 크레덴셜 스터핑 공격 등 계정을 탈취할 수 있는 방법이 다양해지기 때문이다.
내부자 위협을 방지하려면 어떻게 해야 할까? 방화벽 또는 안티바이러스 시스템과 같은 전통적인 보안 조치는 외부자 위협에 중점을 두고 있으며, 조직 내부에서 발생하는 위협을 항상 식별할 수 있는 것은 아니다. 내부자 공격은 탐지나 예방이 더 어려울 수 있으며, 몇 달, 더 길게는 몇 년 동안 눈치채지 못할 수 있다.
내부자 위협으로부터 데이터와 네트워크를 방어하기 위한 첫 번째 방법은 제로 트러스트와 행동 분석이다. 제로 트러스트를 도입하면 아무리 내부 자료에 대한 권한을 가진 내부자라고 하더라도 쉽사리 악성 행위를 실시할 수 없게 된다. 행동 분석 기술과 조합이 되면 방어력은 더욱 상승한다.
특히 지적재산을 철저히 보호하기 위해서는 제로 트러스트가 필수이다. 지적재산은 핵심 정보이기 때문에 이를 둘러싼 제로 트러스트는 사무실에서 내근을 하든 재택 근무를 통해 외근을 하든, 지위 고하를 막론하고 언제 어디에서나 적용돼야 하는 기본 개념이라고 할 수 있다.
내부자 위협을 예방하기 위해 명확하게 문서화된 조직의 보안 정책을 수립하는 것도 중요하다. 이런 정책을 시행함으로써 잘못된 이해를 피하는 데 도움이 될 수 있다. 정책에는 사고 대응 정책 뿐만 아니라 악의적인 활동을 예방하고 탐지하는 절차도 포함돼야 한다.
이 밖에, 성공적으로 내부자 위협 탐지 전략을 시행하려면 가시성을 높이고 직원 행동을 추적하는 여러 보안 툴을 이용할 것을 권장한다. 그 예시로는 UAM(User Activity Monitoring), SIEM(Secure Information and Event Management Systems), UBA(User Behavior Analytics), DLP(Data Loss Prevention) 등이 있다.
한편, 내부자 위협의 증가는 엔드포인트에 대한 개인정보 보호 인식 제고와 더불어, 기술적관리적 보호 체계 구현의 필요성이 대두된 원인 중 하나로 볼 수 있다. 다시 말해, 개인정보에 특화된 보안 솔루션 도입이 필요한 이유이기도 하다. AhnLab EPP Privacy Management는 안랩의 엔드포인트 보안 플랫폼 기반 개인정보 유출 방지 솔루션으로, 이메일, 웹사이트, 프린터, 메신저, 네트워크, P2P 등 엔드포인트의 다양한 경로를 통해 개인정보가 포함된 파일이 유출되는 것을 탐지하고 원천 차단한다. 실시간 검색, 자동 격리, 백신 및 패치 관리, 취약 시스템 조치 등 다양한 기능을 바탕으로 개인정보 현황 파악은 물론, 강력한 조치 및 엔드포인트 위협 대응 역량을 제공한다. 이 밖에, AhnLab EPP의 단일 매니지먼트 및 단일 에이전트를 기반으로 효율적인 정책 적용과 보안 운영도 가능하다.
출처 : AhnLab