목차
내부자 위협은 액세스 권한이 있는 조직에 가까운 사람이 조직의 중요한 정보 또는 시스템에 부정적인 영향을 미치는 액세스 권한을 오용할 때 발생할 수 있습니다. 그 사람이 반드시 직원일 필요는 없습니다. 타사 공급자, 도급자 또는 파트너도 위협이 될 수 있습니다. 내부자 위협은 위협 의도에 따라서 의도치 않게 또는 악의적으로 발생할 수 있습니다. 의도하지 않은 내부자 위협은 부주의한 직원이 피싱 공격의 피해자가 될 수 있습니다. 악의적인 위협은 의도적인 데이터 도용, 기업 스파이 활동 또는 데이터 손상으로 인한 것일 수 있습니다.
가장 큰 자산은 또한 가장 큰 위험입니다. 내부자 위협의 근본 원인은 무엇일까요? 바로 인적 자원입니다. 하지만 대부분의 보안 소프트웨어는 컴퓨터, 네트워크 또는 시스템 데이터만 분석합니다.
모든 보안 사고의 25%는 내부자와 관련이 있기 때문에 위협은 모든 수준에서 그리고 모든 사람으로부터 다가올 수 있습니다.[1]
최근 내부자 위협 통계에 따르면 69%는 자신의 조직에 지난 12개월 동안 데이터 위협 및 데이터 손상 시도가 있었거나 공격으로 피해를 보았다고 밝혔습니다.
사이버 보안 교육 및 훈련이 여기서 시작됩니다.
무료 평가판 체험 방식은 다음과 같습니다
- 사이버 보안 전문가와 만나 환경을 평가하고 노출된 위협 위험을 식별합니다.
- 24시간 이내에 최소한의 구성으로 30일 동안 솔루션을 배포해 드립니다.
- Proofpoint의 기술을 실제로 경험해 보세요!
- 사이버 보안 공격에 즉각적인 조치를 취하는 데 도움이 되는 보안 취약성 보고서를 받아보세요.
이 양식을 작성하여 사이버 보안 전문가와의 미팅을 요청하세요.
소중한 의견 감사합니다
내부자 정의
내부자는 조직의 네트워크, 시스템, 데이터에 대한 액세스 권한이 있거나 있었던 현재 또는 이전 직원, 도급자, 비즈니스 파트너를 뜻합니다. 다음은 내부자의 예시입니다.
- 배지 또는 액세스 장치를 소유한 사람.
- 조직에서 컴퓨터 또는 네트워크에 액세스를 제공한 사람.
- 제품 및 서비스를 개발하는 사람.
- 조직의 기본 원칙을 잘 아는 사람.
- 보호된 정보에 접근할 수 있는 사람.
악의적인 내부자란?
내부자 위협은 모든 직원, 공급업체, 임원, 도급자, 그 외에 조직과 직접 연결되어 일하는 사람을 뜻합니다. 악의적인 내부자는 의도적으로 조직에 해를 끼치기 위해 데이터를 오용하는 사람입니다. 악의적인 내부자는 자신의 흔적을 숨긴 채 잡히지 않고 데이터를 훔치거나 손상시켜야 한다는 것을 알고 있기 때문에 외부 위협보다 감지하기 어렵습니다. 또한 직무 때문에 데이터에 합법적으로 액세스할 수 있는 경우가 많아서 감지하기가 더 어렵습니다.
악의적인 내부자는 모든 직원, 도급자가 될 수 있지만 일반적으로 높은 데이터 접근 권한을 가지고 있습니다. 예를 들어, 소프트웨어 엔지니어는 고객 정보에 대한 데이터베이스 액세스 권한을 갖고 있으며 경쟁업체에 판매하기 위해 그 정보를 훔칠 수 있습니다. 이러한 활동은 감지가 어려운데, 소프트웨어 엔지니어는 데이터베이스에 합법적으로 액세스할 수 있기 때문입니다.
내부자 위협의 행동 패턴
대부분의 정교한 침입 감지 시스템과 모니터링 애플리케이션은 동작 패턴(예: 액세스 요청)을 활용해 네트워크의 일반적인 활동을 벤치마킹하고 잠재적인 공격이 있는지 확인합니다. 이러한 시스템은 인공 지능으로 네트워크 트래픽을 분석하여 관리자에게 경고할 수 있습니다.
내부자 위협과 관련된 몇 가지 일반적인 행동 패턴은 다음과 같습니다.
- 데이터 보호 및 규정 준수 규칙을 자주 위반.
- 다른 직원과의 끊임없는 갈등.
- 지속적으로 낮은 성과 보고서.
- 프로젝트나 기타 업무 관련 과제에 관심 없음.
- 여행 및 비용의 남용.
- 관련 없는 다른 프로젝트에 관심을 가짐.
- 병가를 자주 사용함.
내부자 위협의 기술적 지표
악의적인 내부자는 데이터를 훔치는 동안 발각되지 않도록 흔적을 감추기 위해 여러 단계를 거치는 경우가 많습니다. 이러한 업무 환경 변화는 잠재적인 위협을 나타내며 데이터 도난의 경고 신호가 될 수 있는 이상 징후를 감지할 수 있습니다.
이와 관련된 몇 가지 지표는 다음과 같습니다.
- 원격으로 또는 내부에서 데이터에 오픈 액세스하기 위한 백도어.
- 시스템에 원격으로 액세스하기 위한 하드웨어 또는 소프트웨어 설치.
- 승인되지 않은 계정을 위해 비밀번호 변경.
- 바이러스 백신 도구 및 방화벽 설정을 무단으로 비활성화.
- 멀웨어 설치.
- 승인되지 않은 소프트웨어 설치.
- 민감한 데이터가 포함된 다른 사용자 기기 또는 서버에 액세스 시도.
내부자는 누구일까?
“내부자”라는 용어는 조직 네트워크 내의 모든 사람을 의미합니다. 대부분의 조직에서 내부자는 직원이라는 의미로 해석되지만 내부자 위협은 단순한 직원 그 이상입니다. 내부자는 직원 및 제3자가 될 수도 있습니다.
내부자는 다음과 같습니다.
- 네트워크 관리자, 임원, 파트너 및 중요한 데이터에 대한 권한이 있는 기타 사용자처럼 권한이 높은 사용자.
- 개발 또는 스테이징 환경을 사용하여 데이터에 액세스할 수 있는 개발자.
- 프로필 및 자격 증명이 활성화된 사직하거나 해고된 직원.
- 인수 관리자 및 직원.
- 내부 액세스 권한이 있는 공급업체.
- 내부 액세스 권한이 있는 도급자.
- 내부 액세스 권한이 있는 파트너.
내부자 위협 통계
모든 조직의 1/3이 내부자 위협 사건에 직면했습니다.[2] 나머지는 그저 아직 모르고 있을 뿐입니다.
50%
개인 정보 또는 민감한 정보가 의도치 않게 노출된 사건의 비율[3]
40%
직원 기록의 손상 또는 도난 사건의 비율[3]
33%
고객 기록의 손상 또는 도난 사건의 비율[3]
32%
기밀 자료(영업 비밀 또는 지적 재산)의 손상 또는 도난 사건의 비율[3]
고급 내부자 위협 탐지 및 예방 솔루션으로 위험을 즉시 완화하세요.
내부자 위협의 위험에 처해 있는 산업은?
모든 조직이 내부자 위협의 위험에 처해 있지만 특정 산업은 더 민감한 데이터를 획득하고 저장합니다. 이러한 조직은 도난 당한 후 막대한 벌금을 내고 브랜드가 심각하게 손상될 위험이 더 큽니다. 대규모 조직은 다크넷 시장에서 거래될 수 있는 대량의 데이터를 도난 당할 위험에 노출되어 있습니다. 내부자 위협으로 인해 지적 재산, 영업 비밀, 고객 데이터, 직원 정보 등이 거래될 수 있습니다. 더 가치 있는 정보를 보유하고 있는 산업은 피해자가 될 위험이 더 높습니다.
내부자 위협의 위험이 높은 몇 가지 일반적인 산업은 다음과 같습니다.
- 금융 서비스
- 통신
- 기술 서비스
- 보건 의료
- 정부
내부자 위협 사례
내부자 위협은 감지하기가 더 어렵기 때문에 때로는 수년 동안 지속되기도 합니다. 내부자 위협의 한 예로 캐나다 금융 회사에서 발생한 사건이 있습니다. 데자르뎅 그룹의 사용자는 모든 사람이 사용할 수 있도록 고객 데이터를 공유 드라이브에 복사해야 했습니다. 악의적인 내부자는 2년 동안 이 데이터를 지속적으로 복사했고 회사는 970만 명의 고객 기록이 공개되었음을 깨달았습니다. 데자르뎅 그룹은 위반을 경감하는 비용으로 1억 800만 달러가 소요됐습니다.
기술 직원 또한 데이터를 손상시킬 수 있습니다. 클리브랜드를 기반으로 하는 한 조직은 개발자 중 한 명이 시스템에 악성 코드를 배포한 후 서버 충돌로 DDoS(분산 서비스 거부) 공격을 겪었습니다. 멀웨어는 사용자 프로필과 파일을 삭제하여 조직의 생산성을 불가능하게 만들었습니다.
내부자 위협은 다른 위협에 비해 어떤 이점이 있을까?
데이터에 합법적으로 액세스할 수 있는 직원이나 사용자와 같은 내부자 위협은 감지하기 어렵습니다. 이러한 위협은 데이터에 합법적으로 액세스할 수 있는 이점이 있어 데이터에 대한 액세스 권한을 얻고 데이터를 훔치기 위해 방화벽, 액세스 정책, 사이버 보안 인프라를 우회할 필요가 없습니다.
악의적인 내부자 공격에서 권한이 높은 사용자는 가장 치명적일 수 있습니다. 이러한 사용자는 거의 감지되지 않아서 자유롭게 데이터를 훔칠 수 있습니다. 이들이 항상 직원인 것은 아닙니다. 이들은 공급업체, 도급자, 파트너 및 모든 민감한 데이터에 높은 수준의 액세스 권한을 가진 기타 사용자일 수 있습니다.
내부자 위협으로 간주되지 않는 것은 무엇일까?
기업이 외부 위협을 감지하고 차단하기 위한 인프라를 구축하는 데는 수천 달러가 소요됩니다. 이러한 외부 위협은 사이버 보안 차단을 우회하고 내부 네트워크 보안 데이터에 액세스하더라도 내부자로 간주되지 않습니다. 내부자 위협은 내부 네트워크에 합법적으로 액세스할 수 있으며 신뢰할 수 있는 특정 사용자를 뜻합니다. 이들은 합법적인 자격 증명을 가지고 있기 때문에 관리자는 이들에게 필요한 데이터를 작업할 수 있는 액세스를 제공합니다. 내부자 위협은 신뢰할 수 있는 직원, 공급업체, 도급자, 임원이기 때문에 데이터에 액세스하기 위해 정교한 멀웨어나 도구가 필요하지 않습니다.
신뢰할 수 없는 외부의 알 수 없는 소스에서 발생하는 모든 공격은 내부자 위협으로 간주되지 않습니다. 내부자 위협은 의심스러운 트래픽 동작을 탐지할 수 있는 정교한 모니터링 및 로깅 도구가 필요합니다. 기존의 전통적인 방식에서는 맹목적인 신뢰로 사용자 관리가 이뤄졌지만 요즘 사이버 보안을 위한 최신 전략은 제로 트러스트 네트워크라는 데이터 손실 방지(DLP) 솔루션입니다. 그리고 이 솔루션에서 관리자와 정책 작성자는 모든 사용자와 내부 애플리케이션을 잠재적인 위협으로 고려해야 합니다.
내부자 위협의 특징은?
외부 위협에는 일반적으로 금전적 동기가 있습니다. 외부 위협의 목표는 데이터를 훔치고, 돈을 갈취하고, 잠재적으로 다크넷 시장에 훔친 데이터를 판매하는 것입니다. 내부자 위협의 목표는 비슷할 수 있지만 일반적으로 정교한 피싱 또는 사회 공학적 공격에 실수로 빠지게 하거나 악의적인 위협의 경우 데이터를 훔쳐 조직에 피해를 주는 것이 목표입니다.
악의적인 내부자 위협의 특성에는 사기, 산업 스파이, 경쟁사에 영업 비밀 공개를 위한 데이터 액세스 남용 등이 있습니다. 모든 내부자 위협이 악의적인 것은 아니지만 정교한 시스템으로도 특성을 식별하기 어렵습니다. 사용자는 일반적으로 파일 및 데이터에 합법적으로 액세스할 수 있기 때문에 뛰어난 내부자 위협 탐지 솔루션은 비정상적인 동작 및 액세스 요청을 찾아내어 이 동작을 벤치마킹된 통계와 비교합니다.
내부자 위협의 예
공급업체, 직원, 도급자가 내부 데이터에 액세스할 수 있는 모든 조직은 내부자 위협의 위험에 노출되어 있습니다. 일부 대기업은 내부자 위협의 희생양이 되었습니다. 일부 대기업은 뛰어난 사이버 보안 태세를 갖추고 있지만 내부자 위협은 일반적으로 관리하기가 훨씬 어렵습니다.
다음은 몇 가지 예시입니다.
- 테슬라: 일론 머스크의 메모에 따르면 악의적인 내부자는 테슬라 시스템에 “상당히 광범위하게 피해를 주는 산업 스파이” 역할을 하면서 테슬라 제조 운영 체제에 대한 코드를 변경하고 매우 민감한 테슬라 기업 정보를 제3자에게 내보냈습니다.
- 페이스북: 2018년 페이스북은 보안 엔지니어가 내부 도구 및 데이터를 사용하여 여성을 괴롭혔다는 사실을 발견했습니다.
- 코카콜라: 조사관은 코카콜라 직원이 약 8000명의 직원 데이터를 개인 외장 하드 드라이브에 복사한 것을 발견했습니다. 코카콜라는 데이터 유출 사실을 알게 된 후 직원들에게 이를 알리고 1년 동안 무료 신용 정보 모니터링을 제공했습니다.
- 선트러스트 뱅크: 전 선트러스트 뱅크 직원은 은행 고객의 이름, 주소, 전화번호 및 계좌 잔액 정보 150만 개를 훔쳤습니다. 다른 민감한 데이터에 접근하지는 않았지만 은행과 고객에게 위험을 초래했습니다.
내부자 위협의 유형
내부자 위협이 특별한 것은 항상 공격자에게 돈이 동기가 되는 것은 아니기 때문입니다. 경우에 따라 공격자는 회사에 해를 끼치고 싶어하는 불만을 품은 직원으로 그 불만이 공격자의 동기가 되곤 합니다. 내부자 위협에는 네 가지 유형이 있습니다. 이 위협이 항상 악의적인 것은 아니지만 여전히 수익과 브랜드 평판에 치명적인 영향을 미칠 수 있습니다.
악의적인 형태의 내부자 위협은 다음과 같습니다.
- 사보타주: 내부자 위협의 목표는 시스템을 손상시키거나 데이터를 파괴하는 것.
- 사기: 데이터 절도 또는 변경이 사기를 목적으로 하는 경우 공격자의 목표는 사기이며 기업 혼란을 일으킬 가능성이 높음.
- 지적 재산 도용: 모든 독점 정보는 조직에 가치가 있으며 이를 훔치려는 공격자는 장기적으로 금전적인 피해를 입힐 수 있음.
- 스파이 활동: 모든 민감한 영업 비밀, 파일 및 데이터는 공격자가 경쟁업체에 판매하기 위해 훔치는 스파이 활동에 취약함.
사고로 발생한 내부자 위협도 있습니다. 부주의한 내부자 위협의 일반적인 상황은 다음과 같습니다.
- 인적 오류
- 잘못된 판단
- 피싱
- 멀웨어
- 의도하지 않은 원조 및 방조
- 도난당한 자격 증명
- 편의
데이터 도용 지표
특이성은 잠재적인 내부자 위협의 지표가 될 수 있지만 기술적인 흔적은 내부자 위협 탐지 및 데이터 도난 탐지로 이어질 수도 있습니다. 이러한 기술적 지표는 성격 특성일 뿐만 아니라 다른 지표가 존재하지 않을 때에 악의적인 행동을 발견하게 만들 수도 있습니다.
조직이 악의적인 내부자로부터 데이터 도용의 피해자임을 보여주는 기술적 지표는 다음과 같습니다.
- 특정 사용자가 저장하거나 액세스한 대량의 데이터.
- 민감한 데이터가 포함된 이메일이 제3자에게 전송된 경우.
- 업무 외 시간 또는 불규칙한 근무 시간에 네트워크 및 데이터에 원격 액세스.
- 차단된 웹 사이트에 여러 번 액세스 시도.
- USB 포트 및 장치에 액세스 시도.
- 직원의 직무와 관련 없는 데이터에 대한 빈번한 액세스 요청.
- 허가 없이 회사 기계를 집으로 가져가는 것.
악의적인 내부자 탐지하는 법
외부 트래픽만 모니터링 서비스를 실행하는 조직은 네트워크 내부의 잠재적인 위협을 놓칠 수 있습니다. 데이터를 완벽하게 보호하고 많은 비용이 소요 되는 악의적인 내부자 위협을 방지하려면 외부 및 내부 인프라 모두에 적합한 모니터링 도구를 갖추는 것이 중요합니다.
필요한 사이버 보안 조치를 취하여 내부자를 모니터링하면 향후에 피해자가 될 수 있는 위험을 줄일 수 있습니다. 악의적인 내부자를 방지하거나 의심스러운 동작을 감지할 수 있는 몇 가지 방법은 다음과 같습니다.
- 직원 역할과 직무 수행을 위한 데이터 필요성에 따라 방침 및 보안 액세스 적용.
- 액세스 요청 성공과 실패 모두 모니터링.
- 사용자가 의심스러운 활동을 표시할 때 경고 및 알림을 허용하는 사이버 보안 및 모니터링 솔루션 사용.
- 내부자 위협 및 악의적인 데이터 액세스에 대한 사용자 행동을 특별히 모니터링하는 인프라 구축.
내부자 위협 방지하는 법
악의적이든 의도치 않았든, 내부자 위협을 막으려면 모든 사용자의 활동을 지속적으로 모니터링하고 사건이 발생하면 조치를 취해야 합니다.
내부자 위협의 잠재적 위험은 멀웨어 설치, 금융 사기, 데이터 손상 또는 귀중한 정보 도용 등 다양합니다. 이러한 가능한 모든 시나리오에 대응하기 위해 조직은 6가지 주요 기능을 갖춘 내부자 위협 솔루션을 구현해야 합니다.
내부 위협 감지
비정상적인 행동을 식별하여 위험한 사용자 활동을 발견합니다
사고 조사
며칠이 아닌 몇 분 만에 의심스러운 사용자의 활동 조사합니다
사고 방지
실시간 사용자 알림 및 차단으로 위험을 줄입니다.
사용자 개인 정보 보호
사용자 데이터를 익명화하여 직원 및 도급자의 개인 정보를 보호하고 규정을 준수합니다.
규정 준수 충족
간소화된 방식으로 내부자 위협에 관한 주요 규정 준수 요구 사항을 충족합니다.
도구 통합
내부자 위협 관리 및 탐지와 SIEM, 다른 보안 도구를 통합하여 더 많은 인사이트를 확보합니다.
고급 내부자 위협 탐지 및 예방으로 위험을 낮출 준비 되었나요? Proofpoint 내부자 위협 관리에 대해 자세히 설명하고 내부자 위협과 관련된 질문에 답변해 드립니다.
내부자 위협 FAQ
잠재적인 내부자 위협 지표는 몇 가지가 있나요?
데이터에 대한 내부 액세스 권한이 있는 모든 사용자는 내부자 위협이 될 수 있습니다. 공급자, 도급자, 직원 모두가 잠재적인 내부자 위협입니다. 특정 내부자 위협이 나타내는 의심스러운 행동은 다음과 같습니다.
내부자 위협이 다른 위협에 비해 갖는 이점은?
내부자는 최소한 데이터에 대한 기본 액세스 권한이 있기 때문에 수많은 방화벽과 침입 탐지 모니터링을 우회해야 하는 외부 위협보다 유리한 입장에 있습니다. 액세스 승인 수준은 사용자의 권한에 따라 다르기 때문에 높은 권한을 가진 사용자는 보안 규칙을 우회할 필요 없이 더 민감한 정보에 액세스할 수 있습니다.
잠재적 내부자 위협으로 간주되지 않는 사항은?
기업은 확실히 외부 위협에 관심을 갖지만, 내부자 위협에는 권한을 우회하는 사용자가 아닌 액세스 권한이 있는 사용자에 초점을 맞추는 고유한 전략이 필요합니다. 관계가 없거나 데이터에 대한 기본 액세스 권한이 없는 외부인으로부터 시작된 공격은 내부자 위협으로 간주되지 않습니다. 내부자는 의도적으로 또는 의도하지 않게 외부 위협이 데이터에 액세스하도록 도울 수 있습니다.