IT Solutions/Security

“우리가 남이가? 우리는 남이다!” 내부자 위협(Insider Threat) 대처 방안

2020. 9. 11. 09:30

일반적으로 보안은 크게 해킹이나 악성코드 등 외부 위협에 대응하는 영역과 내부에서 외부로의 데이터 유출 등 내부 위협에 대응하는 영역으로 나눌 수 있습니다.


내부자로 인한 데이터 유출, 침해 등의 위협은 외부 공격보다 그 피해가 크며 사전 탐지 및 대응이 매우 어렵고 까다롭습니다. 2014년에 발생한 국내 3개 금융 회사의 개인 신용 정보 1억 4천만 건 유출, 최근 N번방 피의자 중 한 명에 의한 주민 정보 불법 조회 및 유출 등은 모두 외부 요인에 의한 사고가 아니라 외주 업체 직원, 공익 요원 등 모두 내부자에 의해 발생한 사고였습니다.


이번 글에서는 내부자 위협의 정의와 현황을 확인하고, 위험을 최소화하기 위한 대처 방안에 대해 이야기하고자 합니다.


 내부자 위협이란?


내부자 위협이란 조직의 보안, 데이터 및 시스템에 관한 내부 정보를 가지고 있는 직원, 전직 직원, 계약자와 같은 조직 내의 사람들로 인해 발생하는 조직에 대한 악의적인 위협을 말합니다. 이러한 위협에는 기밀 또는 가치 있는 정보나 지적 재산의 유출, 시스템 가용성 침해 등이 포함됩니다.


일반적으로 내부자들은 업무 수행을 위해 시스템에 대한 합법적인 접근 권한을 가지고 있으며, 이러한 권한이 오남용될 경우 조직에 큰 피해를 끼칠 수 있습니다. 내부자는 조직의 데이터 및 지적 재산을 보호하기 위한 보안 프로세스를 잘 알고 있어서 이를 우회하는 방법도 알 수 있습니다.



데이터에 대한 물리적 접근이 가능하다는 의미는 외부로부터 방화벽 등의 경계 보안 대책들을 우회하기 위한 해킹이 필요 없으며, 별다른 방해 없이 조직 내부의 네트워크에 직접 접근할 수 있다는 것을 의미합니다. 따라서, 내부자 위협은 외부로부터의 공격보다 방어하기가 훨씬 어려울 뿐만 아니라 피해 규모도 훨씬 클 수 있습니다.


 내부자 위협 현황은?


내부자 위협은 최근에만 발생하는 위협이 아닙니다. 이미 오래전부터 발생해왔으며 여러 기업이나 보안 연구소, 보안 컨설팅 회사에서 관련된 연구 및 조사를 진행했습니다.


IBM은 2016 Cyber Security Intelligence Index에서 모든 위반의 60%는 전•현직 내부자에 의해 수행되었으며, 위반의 44.5%는 직원들이 악의적으로 행했고, 15.5%는 직원들의 부주의로 인해 발생했다고 밝혔습니다.


‘The State of Cybersecurity and Digital Trust 2016’에 따르면 기업의 내부자가 기업이나 개인 데이터 유출시 핵심적인 역할을 한 것으로 확인되었으며, 응답자의 69%가 지난 12개월 동안 회사 내부자가 데이터 도난 또는 침해를 시도했거나 성공한 적이 있다고 응답했습니다.


l 출처: Accenture


Insider Threat 2018 보고서는 조사 대상 기업의 53%가 지난 12개월 동안 조직에 대한 내부자 공격을 확인했으며, 27%는 내부자 공격이 더 빈번해졌다고 응답했습니다. 연구에 따르면 내부자 공격의 70% 이상이 외부로 공개되지 않았습니다. 그런데도 매년 내부자 관련 위반 건수가 증가하고 있습니다.


또한 Verizon 2019 데이터 유출 조사 보고서에 따르면 2018년 모든 보안 규정 위반의 34%가 내부자에 의해 발생했다고 합니다. 이러한 내부자에 의한 정보 유출은 꾸준히 증가하고 있으며, 이로 인한 비용 또한 지속해서 증가하고 있습니다.


l 악의적 내부자로 인한 피해 기업의 비율 (출처: EKRAN)


l 내부자 공격에 의한 비용 상승 (출처: EKRAN)


 내부자 위협의 문제점은?


내부자 위협은 아래와 같이 크게 세 가지 범주로 나뉩니다.

  1. 부주의한 내부자. 즉, 보안 정책을 무시하고 실수로 인해 조직을 위험하게 하는 자

  2. 의도적인 내부자. 즉, 악의적인 목적으로 접근 권한을 이용해 조직에 해를 가하는 자

  3. 해킹된 사용자. 즉, 해킹을 통해 합법적인 접근 권한을 가진 사용자를 도용하는 외부 행위자


Ponemon 연구소가 발표한 2016 내부자 위협에 따른 비용 보고서에 따르면, 데이터 유출 피해 유형은 부주의한 내부자(64.9%), 의도적인 내부자(21.8%), 해킹된 사용자(9.7%) 순으로 단지 10% 정도만이 외부인에 의한 해킹으로 드러났습니다.


l 3가지 데이터 유출 유형에 대한 발생 비율 (출처: Ponemon Institute)


또한, 유형별 평균 피해 금액에서도 부주의한 내부자(229.2만 달러), 의도적인 내부자(122.8만 달러), 해킹된 사용자(77.6만 달러) 순으로 나타났습니다. 즉, 전체적인 피해액에서도 외부 해킹으로 인한 피해 금액보다 내부자로 인한 피해액이 월등히 크다는 것을 의미합니다.


l 3가지 데이터 유출 유형에 대한 연간 평균 피해 금액 (출처: Ponemon Institute)


여기서 하나 짚고 넘어가야 할 점은 외부 해킹이나 내부자의 부주의한 실수에 의한 사고의 경우, 유출된 정보가 우연하게도 가치가 높다면 피해가 함께 커지지만, 의도적인 내부자는 이미 가치가 있는 데이터가 무엇이고 어디에 저장되어 있는지 잘 알고 있기 때문에 유출 시 피해는 당연히 커질 수밖에 없습니다.


더군다나 내부자는 기업 내 어떠한 보안 솔루션이 구현되어 있는지 알고 있기 때문에 내부자로 인한 데이터 유출은 특히 탐지하기가 어렵고 탐지에 더욱더 많은 시간이 요구됩니다. 따라서 내부자 위협에 대한 방어는 의도적인 내부자에 대한 유출을 신속히 탐지하고 대응하는 것이 핵심이 됩니다.


 내부자 위협에 대한 대응


이미 대다수의 기업이 중요 데이터의 유출 방지를 위해 DLP(Data Loss Prevention) 및 매체 제어 솔루션 등을 도입해 모니터링하고 있음에도 불구하고 악의적인 목적을 가진 내부자들은 다양한 회피 방법을 동원해 데이터를 유출합니다. DLP의 경우도 사전에 잘 정의된 유출 탐지 정책이 만들어져 있지 않으면 탐지가 불가능하다는 한계를 가지고 있기 때문입니다.


이러한 문제의 근본적인 원인은 기업들이 데이터 유출을 막을 방법을 정확히 모르고 있다는 점입니다. 데이터 유출 사고가 재발하지 않도록 원인을 분석하고 적절한 대응 방법을 마련해 프로세스와 솔루션을 개선해야 합니다.


하지만, 정작 사고 원인과는 관계없는 대응 방안을 마련하는 경우가 자주 발생합니다. 대표적인 예가 내부자의 의도적인 정보 유출 사고가 발생했음에도 불구하고 APT 솔루션에 투자하는 경우입니다. 현실적으로 APT 솔루션의 단순한 데이터 유출 로그 분석만으로는 다양하고 복잡한 내부자로 인한 정보 유출의 유형을 정확하게 파악하기 어렵습니다.


내부자 위협에 대응하기 위한 필수 조건은 다음과 같습니다.

첫째, 기업은 잠재적 위험이 큰 내부 사용자를 사전에 파악하고 있어야 합니다. 이를 위해 기업은 내부 사용자의 행동을 더욱 깊게 이해할 필요가 있으며, 보안 담당자는 자사에서 누가 위험한 행동을 하는지 파악하고 행동을 분석할 수 있어야 합니다.


둘째, 기업은 내부 사용자의 행동과 상황을 신속하고 정확하게 분석하고 이해해 위험에 대한 대응 방법을 결정해야 합니다. 잠재적인 위험 사용자에 대한 식별만으로는 부족하며, 잠재적으로 위험한 특정 사용자의 행위와 그에 따른 정황, 즉 컨텍스트(Context)를 파악할 수 있어야 합니다. 실제로 부주의한 내부자, 의도적인 내부자, 해킹된 사용자의 각 위협 유형에 따른 대응 방법은 아래와 같이 완전히 달라야 합니다.


l 내부자 유출 유형에 따른 대응 방법


 사용자 행위 분석이란?


흔히 보안에 100% 안전한 것은 없다는 것처럼, 해커, 침입자, 멀웨어, 불만을 품은 직원, 무단 사용자 등 모든 위협을 완벽히 차단하기는 어렵습니다. 2017년 Ponemon의 연구에 따르면 데이터 침해 발견에 드는 시간이 평균 191일, 침해 진압에 드는 시간이 평균 66일, 침해당 평균 비용이 362만 달러에 이른다고 합니다. 의도적인 내부자의 활동을 조기에 탐지함으로써 얻는 효과는 막대합니다. 즉, 빨리 탐지하면 할수록 비용이 절감된다고 보면 됩니다.


의도적인 내부자로 인한 침해 활동을 효과적으로 탐지하기 위해서는 사용자 행위 분석(User and Entity Behavior Analytics, UEBA)이 필요합니다. 일반적으로 사용자 행위 분석은 다음과 같이 4가지 기능을 수행합니다.


  • 사용자의 모든 행위 모니터링

  • 분석 엔진을 통한 의심 사용자 적발

  • 정황 정보(Context) 제공

  • 행위자 증거 확보


우선 사용자 행위를 감시할 수 있는 모니터링이 가능해야 합니다. 이를 위해서는 사용자의 모든 활동을 수집해야 하지만 기업 내 전 사용자의 활동을 모두 수집한다면 데이터양이 매우 커집니다. 그 때문에 전체 사용자 가운데 가장 위험한 사용자군이 어디인지 미리 파악하는 것이 중요하며 이를 위해 분석 엔진을 통한 의심 사용자의 선별 기능이 있어야 합니다.


또한, 특정 사용자를 위험한 사용자로 인지하더라도 이것이 오탐이나 과탐일 수 있기 때문에 해당 사용자의 행위가 업무적인 목적인지, 악의적인 외부 유출인지 구분하기 위해 그 직원의 활동에 대한 정황, 즉 컨텍스트(Context)를 파악할 수 있어야 합니다.


마지막으로 의도적인 사용자의 유출 행위가 확인된 경우, 기업이 해당 직원에 대해 인사 조치나 법적 절차를 진행하기 위해서는 의심 사용자가 유출하려 했던 파일과 동일한 파일의 추출과 같은 증거 확보 기능이 필요합니다. 내부자로 인한 위협은 단 한 번의 유출만으로도 기업의 신뢰도에 심각한 영향을 줄 뿐만 아니라 천문학적 규모의 손해 비용이 발생할 수 있습니다. 


l 이상 탐지 솔루션 Safezone AI (출처: LG CNS)


지금까지 내부자 위협의 정의와 현황을 확인하고, 위험을 최소화하기 위한 대처 방안에 대해 말씀드렸습니다. 감사합니다.


글 l LG CNS 보안플랫폼팀


* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로