mobile background

자료실

내부자 위협 탐지에 대해 알아야 할 모든 것 – 1부


Quick Overview 

기업은 매년 20건 이상의 내부자 위협 사고를 겪고 있으며, 이로 인해 연평균 1,540만 달러의 비용을 부담하고 있습니다. 조직에 큰 위험이 되는 내부자 위협을 탐지하고 방지하기 위한 전략은 중요합니다. 내부자 위협에 효과적으로 대비하려면 다양한 유형별 특성을 고려해야 합니다.  


내부자 위협 탐지가 현재 화두인 이유는 명확합니다. 계속 증가 중이고 그 여파도 커지고 있기 때문입니다. 실제로 2022년 포네몬 전 세계 내부자 위협 비용 보고서(2022 Ponemon Cost of Insider Threats Global Report)에 따르면, 기업의 67%는 매년 20건 이상의 내부자 위협 사고를 겪고 있으며, 이로 인해 연평균 1,540만 달러에 달하는 비용을 지출합니다.  

 

따라서 보안, 규정 준수 및 비즈니스 연속성을 위해서는 네트워크 내부의 위협을 즉각 발견하고 완화하는 것이 필수적이라는 사실을 인식하는 조직도 자연스럽게 증가하고 있습니다. 내부자 위협이란 정확히 무엇이고, 효과적인 내부자 위협 탐지 전략을 수립하려면 어떻게 해야 할까요? 나아가 내부자 위협 탐지는 더 큰 범위의 조직 사이버 보안 및 사이버 회복탄력성 전략에 어떻게 부합할까요? 이 중요한 주제에 대해 살펴보도록 하겠습니다. 

 

내부자 위협의 유형은? 

내부자 위협 탐지를 구현하기 위해서는 일단 무엇을 찾아야 하는지를 알아야 합니다. 내부자는 직원, IT 담당자 또는 계약업체와 같이 네트워크에서 유효한 자격 증명을 가진 모든 사람입니다. 내부자 위협은 다음의 3가지 범주로 분류할 수 있습니다. 

 

  1. 악의적 내부자 

  2. 부주의한 내부자 

  3. 훔친 자격 증명을 보유한 공격자 



악의적 내부자 

‘내부자 위협 탐지’라고 했을 때 대부분 사람은 악의적 내부자, 즉 액세스 권한을 의도적으로 악용하는 사용자를 떠올립니다. 일반적인 시나리오는 직원이 회사 사유 데이터를 회사 외부로 훔쳐내는 것입니다. 애플, 구글 계열사 웨이모(Waym)의 엔지니어가 경쟁사에 제공하기 위해 자율주행 차에 대한 IP를 훔친 사건이 대표적입니다. 야후, 맥아피, 프루프포인트를 포함해 이와 유사한 악의적 내부자 데이터 도난 사건은 매우 많습니다. 

 

악의적 내부자의 목적은 데이터 절도를 통해 이득을 얻는 것이 전부가 아닙니다. 불만을 품은 내부자, 특히 높은 액세스 권한을 가진 내부자는 회사를 상대로 적극적으로 사보타주할 수 있습니다. 유명한 사례로 보너스에 불만을 품은 UBS 페인웨버(UBS PaineWebber) 관리자 사건이 있습니다. 이 관리자는 회사 주가를 교란하기 위해 맬웨어를 퍼뜨려 400곳 지점의 2,000개 서버를 마비시키는 논리 폭탄을 심었습니다. 

 

게다가 오늘날 사이버 범죄자는 악의적 내부자가 되도록 직원을 적극적으로 유혹합니다. 특히 랜섬웨어 공격집단은 몸값의 일정 비율을 지급하겠다며 직원을 매수해 회사 네트워크에 랜섬웨어를 배포하도록 유도합니다. (테슬라를 표적으로 삼았던 한 랜섬웨어 공격에서는 고정 수수료로 100만 달러를 제시하기도 했습니다.) 돈이 필요하고 회사에 대한 특별한 충성심이 없는 직원은 내부 액세스 브로커가 되어 자격 증명을 판매하라는 제안에 쉽게 넘어갈 수 있습니다. 

 


부주의한 내부자 

효과적인 내부자 위협 탐지 전략이 되기 위해서는 부주의한 내부자, 즉 합법적 액세스 권한을 조심성 없이 오용하는 사용자도 고려해야 합니다. 예를 들면 다음과 같습니다. 

 

  • 민감한 데이터 보호에 실패 – 중요한 데이터를 암호화되지 않은 형식으로 노트북에 저장하는 행위는 침해의 원인이 됩니다. 라이프스팬 헬스 시스템(Lifespan Health System)에서 일어난 사건이 여기에 해당합니다. 

  • 피싱 – 기업의 84%는 2022년 성공적인 이메일 기반 피싱 공격으로 인해 한 차례 이상 피해를 입었습니다. 

  • 이메일 실수 – 영국 정보 위원회에 따르면, 실수로 엉뚱한 수신자에게 민감 정보가 담긴 이메일을 보내는 사고는 사이버와 관련된 데이터 침해의 주요 원인입니다. 또 다른 흔한 실수는 ‘숨은 참조’ 필드가 아닌 ‘받는 사람’ 필드에 이름을 넣어 대량 이메일의 수신자를 노출하는 경우입니다. 

  • 보안 정책 미준수 – 업무 완수에 집중하는 사용자는 자신이 번거롭거나 불필요하다고 생각하는 보안 통제 수단을 우회하는 경우가 많습니다. 예를 들어, 보안 옵션을 바로 사용할 수 없는 경우 안전하지 않은 방법을 통해 동료와 데이터를 공유합니다.


 

일반 비즈니스 사용자의 부주의한 행동도 충분히 나쁜 일인데, 높은 액세스 권한을 가진 관리자나 기타 사용자가 부주의하게 행동하면 더 나쁜 상황이 발생할 수 있습니다. 예를 들어, 마이크로소프트 관리자들이 의도치 않게 로그인 자격 증명을 노출하는 바람에 공격자들에게 마이크로소프트 애저 서버 및 기타 내부 시스템에 대한 액세스 권한이 부여될 뻔한 적이 있습니다. 흥미로운 점은 노출된 자격 증명을 발견한 것은 마이크로소프트의 내부자 위협 탐지가 아니라 사이버보안 연구 업체였다는 사실입니다. 


관리자가 흔히 저지르는 또 다른 실수는 일반 사용자 계정을 사용해야 하는 부분에서 특권 계정을 사용하는 것입니다. 이 경우 강력한 자격 증명이 워크스테이션의 메모리에 남기 때문에 공격자가 확보해서 악용할 위험이 있습니다. 

 


훔친 자격 증명을 보유한 공격자 

내부자 위협 탐지 전략에서 다뤄야 하는 3번째 사용자 유형은 얼핏 납득이 되지 않을 수 있습니다. 조직 내부가 아닌 외부의 공격자이기 때문입니다. 그러나 자격 증명 도난이 발생하는 즉시 악의적 외부자는 악의적 ‘내부자’가 됩니다. 다른 통제 수단이 없다면 훔친 자격 증명을 보유한 공격자는 해당 계정의 합법적 소유자가 액세스할 수 있는 모든 핵심 데이터와 정보에 액세스할 수 있습니다. 

 

해커들은 네트워크에 진입하기 위해 다양한 공격 벡터를 이용합니다. 사용자 계정을 탈취하기 위한 전통적인 수법인 비밀번호 스프레이, 자격 증명 스터핑 및 기타 무차별 대입 공격은 여전히 사용되고 있습니다. 요즘은 피싱과 피싱의 변종인 스피어 피싱, 비싱, 스미싱과 같은 소셜 엔지니어링 공격도 점점 증가하고 있습니다. 공격은 여러 계층으로 구성되기도 합니다. 한 사례에서 공격자들은 소셜 엔지니어링 공격을 통해 내부 시스템에 액세스할 수 있는 엑스(X, 구 트위터) 직원들의 자격 증명을 침해한 다음, 유명인 계정의 트윗을 통해 자신들이 통제하는 주소로 비트코인을 보내면 2배로 늘려서 돌려주겠다고 약속하는 또 다른 소셜 엔지니어링 캠페인을 시작했습니다. 

 

어떤 기업이 위험한가? 

언론의 보도는 대기업에서 발생한 사고에만 초점을 두는 경향이 있지만, 규모에 관계없이 모든 조직에 심각한 위험입니다. 실제로 중소규모 기업(SMB)을 대상으로 한 공격이 증가하고 있는데, 가장 큰 이유는 공격자들이 SMB의 내부자 위협 탐지 및 보호 수단이 상대적으로 견고하지 않을 것으로 여기기 때문입니다. 


공격을 극복할 금전적 여력이 부족한 기업이라면 막대한 피해를 입을 수 있습니다. 또한 오늘날의 복잡한 공급망으로 인해 SMB에 대한 공격의 영향은 매우 광범위하게 퍼질 수 있습니다. 예를 들어, 코로나19 팬데믹 기간 한 의료 패키징 회사의 전 부사장이 중요한 배송 데이터를 삭제하는 바람에 의료 시설로 가는 개인 보호 장비(Personal protective equipment, PPE) 배송이 지연된 사례가 있습니다. 공격자가 SMB의 네트워크에 잠입해서 더 규모가 큰 고객과 파트너 기업에 침투한 다른 사례도 있습니다. 

 

어느 유형의 내부자 위협이 가장 위험한가? 

내부자 위협 탐지 전략을 수립할 때는 다양한 내부자 위협 유형의 발생하는 상대적인 빈도와 비용을 고려하는 것이 좋습니다. 포네몬 연구에 따르면, 대부분 사고 원인은 부주의한 내부자에게 있지만, 대처하는 데 가장 많은 비용이 드는 사고는 자격 증명 도난입니다. 아래 표에는 포네몬 보고서에서 발췌한 관련 통계가 나와 있습니다. 흥미로운 점은 악의적 내부자, 즉 ‘내부자 위협’이라는 용어에서 가장 흔히 연상되는 그룹이 실제로는 사고 빈도나 비용 측면에서 최상위가 아니라는 것입니다. 



추세에 대해서도 생각해야 합니다. 자격 증명 도난 사고는 지난 2년 동안 거의 2배 증가한 반면, 악의적 내부자로 인한 사고는 소폭 증가, 부주의한 내부자로 인한 사고는 소폭 감소한 것에 그치며 큰 변화 없는 추세입니다.  

 

좋은 소식은 내부자 위협 탐지 전략에서 내부자 위협 유형 간에 우선순위를 정할 필요는 없다는 것입니다. 잠시 후에 살펴보겠지만 많은 내부자 위협 탐지 및 예방 모범 사례는 세 가지 유형에 모두 적용됩니다. 

 

내부자 위협 탐지란 무엇이고 왜 중요한가? 

내부자 위협 탐지는 악의적 내부자, 부주의한 내부자 또는 훔친 자격 증명을 사용하는 공격자를 불문하고 내부자 위협을 식별하는 것입니다. 


내부자 위협 탐지는 중요합니다. 데이터 침해에 따른 비용이 크기 때문입니다. 포네몬 보고서에 따르면 2022년 데이터 침해로 인한 평균 비용은 435만 달러(약 58억 72만 원)로, 2020년보다 13%가량 증가했습니다. 총비용에는 ▲비즈니스 손실 ▲탐지 및 에스컬레이션 ▲알림 ▲침해 후 대응 4가지 범주에 걸친 비용 요소가 포함됩니다. 구체적으로 다음과 같습니다. 


  • 시스템 다운타임으로 인한 매출 손실 

  • 고객 손실 및 신규 고객 확보 비용 

  • 평판 훼손 및 고객 호감도 하락 

  • 규정 대응 요구사항 평가 

  • 데이터 주체, 규제 기관 및 기타 제3자에게 알리기 위한 비용 

  • 헬프 데스크 및 인바운드 커뮤니케이션 

  • 신원 보호 서비스 또는 제품 할인 등 영향을 받은 고객을 위한 서비스 

  • 법적 비용 

  • 벌금 

 

지금까지 내부자 위협의 정의와 종류, 내부자 위협을 탐지해야 하는 이유에 대해 살펴보았습니다. 2부에서는 내부자 위협의 지표와 가장 일반적인 탐지 방법, 방지하기 위한 베스트 프랙티스를 알아봅니다.  


계정 보안 및 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB