내부자 위협이란 무엇인가요?
개요
내부자 위협이란 조직 내부에서 발생하는 사이버 보안 위험을 말합니다. 일반적으로 합법적인 사용자 자격 증명을 가진 현재 또는 전직 직원, 계약자, 공급업체 또는 파트너가 자신의 액세스 권한을 오용하여 조직의 네트워크, 시스템 및 데이터에 손해를 끼칠 때 발생합니다. 내부자 위협은 의도적으로 또는 의도하지 않게 실행될 수 있습니다. 의도가 무엇이든 최종 결과는 기업 시스템과 데이터의 기밀성, 가용성 및/또는 무결성이 손상되는 것입니다.
내부자 위협은 대부분의 데이터 침해의 원인입니다. 기존의 사이버 보안 전략, 정책, 절차 및 시스템은 종종 외부 위협에 초점을 맞추기 때문에 조직은 내부로부터의 공격에 취약할 수밖에 없습니다. 내부자는 이미 데이터와 시스템에 대한 유효한 권한을 가지고 있기 때문에 보안 전문가와 애플리케이션이 정상적인 활동과 유해한 활동을 구분하기 어렵습니다.
악의적인 내부자는 기업 시스템, 프로세스, 절차, 정책 및 사용자에 익숙하기 때문에 다른 범주의 악의적인 공격자에 비해 뚜렷한 이점을 가지고 있습니다. 이들은 시스템 버전과 그 안의 취약점을 잘 알고 있습니다. 따라서 조직은 최소한 외부 위협만큼이나 엄격하게 내부자 위협에 대처해야 합니다.
내부자 위협의 유형
악의적인 내부자 위협
턴 클로크라고도 불리는 악의적인 내부자 위협의 주요 목표는 스파이 활동, 사기, 지적 재산 도용, 사보타주 등입니다. 이들은 의도적으로 권한 있는 액세스 권한을 남용하여 금전적, 개인적, 악의적인 이유로 정보를 훔치거나 시스템을 저하시킵니다. 예를 들어 기밀 데이터를 경쟁업체에 판매하는 직원이나 불만을 품은 전 계약업체 직원이 조직 네트워크에 치명적인 멀웨어를 도입하는 경우가 있습니다.
악의적인 내부자 위협은 협력자 또는 외로운 늑대일 수 있습니다.
공동 작업자
협력자는 제3자와 협력하여 의도적으로 조직에 해를 끼치는 권한이 부여된 사용자입니다. 제3자는 경쟁사, 국가, 조직화된 범죄 네트워크 또는 개인일 수 있습니다. 협력자의 행동으로 인해 기밀 정보가 유출되거나 비즈니스 운영이 중단될 수 있습니다.
외로운 늑대
외로운 늑대는 완전히 독립적으로 활동하며 외부의 조작이나 영향력 없이 행동합니다. 특히 데이터베이스 관리자와 같은 시스템 액세스 권한이 있는 경우가 많기 때문에 더욱 위험할 수 있습니다.
부주의한 내부자 위협
부주의한 내부자 보안 위협은 우발적으로 발생합니다. 이러한 위협은 인적 오류, 잘못된 판단, 의도하지 않은 방조, 편의성, 피싱(및 기타 사회 공학 전술), 멀웨어, 도난당한 자격 증명으로 인해 발생하는 경우가 많습니다. 관련된 개인은 자신도 모르게 기업 시스템을 외부 공격에 노출시킵니다.
부주의한 내부자 위협은 졸이나 바보일 수 있습니다.
Pawn
폰은 스피어 피싱과 같은 소셜 엔지니어링 기술을 통해 의도치 않게 악의적인 행동을 하도록 조작된 인증된 사용자입니다. 이러한 의도치 않은 행위에는 컴퓨터에 멀웨어를 다운로드하거나 사기꾼에게 기밀 정보를 공개하는 행위 등이 포함됩니다.
Goof
구프는 고의적으로 잠재적으로 해로운 행동을 하지만 악의적인 의도는 없습니다. 구프는 보안 정책과 절차를 따라야 할 필요성을 인식하지 못하는 오만하고 무식하거나 무능한 사용자입니다. 구프는 조직 정책에 위배된다는 사실을 알면서도 개인 디바이스에 기밀 고객 정보를 저장하는 사용자일 수 있습니다.
두더지
첩자는 외부인이지만 조직의 시스템에 대한 내부자 액세스 권한을 얻은 사람입니다. 이들은 공급업체, 파트너, 계약자 또는 직원으로 위장하여 다른 방법으로는 자격이 없는 권한 있는 권한을 획득할 수 있습니다.
내부자 위협을 탐지하는 방법
대부분의 위협 인텔리전스 도구는 네트워크, 컴퓨터 및 애플리케이션 데이터 분석에 초점을 맞추는 반면, 권한 있는 액세스 권한을 오용할 수 있는 권한 있는 사람의 행동에는 거의 주의를 기울이지 않습니다. 내부자 위협에 대한 안전한 사이버 방어를 위해서는 비정상적인 행동과 디지털 활동을 주시해야 합니다.
행동 지표
다음과 같은 몇 가지 내부자 위협에 대해 주의해야 할 몇 가지 지표가 있습니다:
- 불만족스럽거나 불만을 품은 직원, 계약자, 공급업체 또는 파트너.
- 보안을 우회하려는 시도.
- 정기적으로 근무 시간 외 근무.
- 동료에 대한 분노를 표시합니다.
- 조직 정책을 일상적으로 위반하는 행위.
- 사직을 고려하거나 새로운 기회에 대해 논의 중입니다.
디지털 표시기
- 비정상적인 시간에 기업 애플리케이션 및 네트워크에 로그인하는 경우. 예를 들어, 직원이 새벽 3시에 알림 없이 네트워크에 로그인하는 것은 우려의 대상이 될 수 있습니다.
- 네트워크 트래픽의 급증. 누군가 네트워크에서 대량의 데이터를 복사하려고 시도하는 경우 네트워크 트래픽이 비정상적으로 급증하는 것을 볼 수 있습니다.
- 평소에는 사용하지 않거나 허용되지 않는 리소스에 액세스합니다.
- 직무와 관련이 없는 데이터에 액세스하는 행위.
- 직무와 관련 없는 시스템 리소스에 대한 반복적인 액세스 요청.
- USB 드라이브와 같은 승인되지 않은 장치 사용.
- 네트워크 크롤링 및 민감한 정보에 대한 의도적인 검색.
- 민감한 정보를 조직 외부로 이메일 보내기
내부자 공격으로부터 보호하는 방법
내부 위협으로부터 조직의 디지털 자산을 보호할 수 있습니다. 방법은 다음과 같습니다.
중요 자산 보호
조직의 중요한 논리적 및 물리적 자산을 파악하세요. 여기에는 네트워크, 시스템, 기밀 데이터(고객 정보, 직원 정보, 설계도 및 세부 전략 계획 포함), 시설 및 인력이 포함됩니다. 각 중요 자산을 파악하고 우선순위에 따라 자산의 순위를 매기고 각 자산 보호의 현재 상태를 파악하세요. 당연히 우선순위가 가장 높은 자산은 내부자 위협으로부터 가장 높은 수준의 보호를 제공해야 합니다.
정상적인 사용자 및 디바이스 행동의 기준선 만들기
내부자 위협을 추적할 수 있는 다양한 소프트웨어 시스템이 있습니다. 이러한 시스템은 먼저 액세스, 인증, 계정 변경, 엔드포인트 및 VPN(가상 사설망) 로그에서 사용자 활동 정보를 추출하여 중앙 집중화하는 방식으로 작동합니다. 이 데이터를 사용하여 이동식 미디어에 민감한 데이터를 다운로드하거나 비정상적인 위치에서 로그인하는 사용자 등 특정 이벤트와 연관된 사용자 행동을 모델링하고 위험 점수를 할당합니다. 각 개별 사용자 및 디바이스, 직무 및 직책에 대한 정상 행동의 기준선을 만듭니다. 이 기준선을 통해 편차를 표시하고 조사할 수 있습니다.
가시성 향상
사용자 활동을 지속적으로 모니터링하고 여러 출처의 활동 정보를 집계하고 상호 연관시키는 도구를 배포하는 것이 중요합니다. 예를 들어, 악의적인 내부자를 유인하고, 그들의 행동을 추적하고, 의도를 파악하기 위해 함정을 설치하는 사이버 기만 솔루션을 사용할 수 있습니다. 그런 다음 이 정보를 다른 기업 보안 솔루션에 제공하여 현재 또는 미래의 공격을 식별하거나 예방할 수 있습니다.
정책 시행
조직의 보안 정책을 정의하고 문서화하여 배포하세요. 이를 통해 모호함을 방지하고 올바른 시행 기반을 마련하세요. 직원, 계약자, 공급업체 또는 파트너는 조직의 보안 입장과 관련하여 허용되는 행동이 무엇인지에 대해 의구심을 가져서는 안 됩니다. 권한이 없는 당사자에게 권한 있는 정보를 누설해서는 안 된다는 책임을 인식해야 합니다.
문화 변화 촉진
내부자 위협을 탐지하는 것도 중요하지만, 사용자가 잘못된 행동을 하지 않도록 설득하는 것이 더 신중하고 비용도 적게 듭니다. 이를 위해서는 보안을 인식하는 문화 변화와 디지털 혁신을 촉진하는 것이 중요합니다. 올바른 신념과 태도를 심어주면 과실을 방지하고 악의적인 행동의 근원을 해결하는 데 도움이 될 수 있습니다. 직원 및 기타 이해관계자는 보안 문제에 대해 교육하는 보안 교육 및 인식 제고에 정기적으로 참여해야 하며, 직원 만족도를 지속적으로 측정하고 개선하여 불만의 징후를 조기에 포착해야 합니다.
내부자 위협 탐지 솔루션
내부자 위협은 외부 공격보다 식별하고 예방하기가 더 어렵습니다. 방화벽, 침입 탐지 시스템, 멀웨어 방지 소프트웨어와 같은 기존 사이버 보안 솔루션의 레이더망에 포착되지 않는 경우가 많기 때문입니다. 공격자가 인증된 사용자 ID, 비밀번호, IP 주소 및 디바이스를 통해 로그인하는 경우 보안 경보가 트리거되지 않을 가능성이 높습니다. 디지털 자산을 효과적으로 보호하려면 오탐을 최소화하면서 내부자 행동을 모니터링하는 여러 도구를 결합한 내부자 위협 탐지 소프트웨어와 전략이 필요합니다.
