악의적인 내부자의 위험 완화
위협은 내부에서 오고 있습니다
대부분의 내부 보안 사고 는 정직한 실수의 결과입니다. 그러나 때로는 어떤 이유로 든 직원이 의도적으로 회사 자원을 훔치거나 변조하여 이익을 얻습니다. 취약성을 악용하든 미래에 도움이 될 수 있는 데이터를 훔치든 이러한 악의적인 내부자 공격의 평균 비용은 내부자 위협에 대한 Ponemon Institute 연구 조사 에 따라 $648,062입니다. 이러한 비용은 데이터 및 시스템의 손실, 해당 데이터 및 시스템을 복원하는 데 필요한 노력, 공격자에게 지불된 몸값을 포함한 다양한 요인에서 비롯됩니다. 재정적 영향 외에도 이러한 공격은 여러 관점에서 조직에 피해를 줄 수 있습니다. 명성, 경쟁 우위, 고객 신뢰 등
최근 몇 가지 헤드라인은 악의적인 내부자의 위험으로부터 안전한 조직이 없다는 것을 보여주고 완화를 위한 적절한 보안 조치를 구현해야 할 필요성을 분명히 보여줍니다.
화이자에서는 직원 한 명이 코로나19 백신 영업 기밀과 관련된 데이터를 포함하여 12,000개의 파일을 Google 드라이브 계정에 업로드했다고 주장했습니다. 그 직원은 다른 회사로부터 고용하겠다는 제안을 받았다고 합니다.
코네티컷의 한 회사에서는 퇴사하는 직원이 파일을 암호화하고 익명으로 지불 요구를 하면서 회사 시스템을 대상으로 랜섬웨어 공격을 수행했다고 주장했습니다.
뉴욕의 한 선임 개발자는 VPN을 통해 데이터를 훔치고 외부 해커인 척하면서 고용주에게서 돈을 뜯어내려고 시도한 혐의로 체포되었습니다.
악의적인 내부자는 수십 년 동안 존재해 왔지만, 원격 근무로의 전환으로 이러한 공격자로 인한 위험이 커졌습니다. 많은 직원, 계약자, 파트너가 현재 사무실 밖에서 일하고 있으며, 전통적인 기업 네트워크로 인해 악의적인 내부자와 정상적인 행동을 구분하는 것이 훨씬 더 어려워졌습니다.
악의적인 내부자의 위험이 높아지는 추세
Forrester Research에서는 팬데믹 관련 원격 근무의 급증을 "악의적인 내부자를 위한 더할 수 없이 나쁜 상황"의 일부라고 설명합니다. 다른 많은 공격 유형과 마찬가지로 팬데믹 때문에 악의적인 내부자가 자신의 행동을 더 쉽게 숨길 수 있는 환경이 만들어졌지만, 위험은 팬데믹 때문만은 아닙니다. 위험을 초래한 몇 가지 요인은 다음과 같습니다.
물리적 가시성 부족: 원격 사용자는 모니터링하기가 더 어렵습니다. 예를 들면 추적되거나 동료가 목격할 위험 없이도 컴퓨터 화면에 표시된 기밀 정보의 사진을 찍을 수 있습니다.또한 비정상적인 시간에 회사 리소스에 액세스하거나 비정상적인 시간에 퇴근하는 것과 같은 잠재적인 데이터 도난에 대한 과거의 경고 신호는 원격 근무 팀의 경우 알아차리기 더 어려우며 "유연한" 근무 일정으로 인해 전혀 의심스럽지 않을 수도 있습니다.
개인 장치 사용: 더 많은 조직에서 개인 소유 장치 활용(BYOD)을 지원하고 있습니다.그러나 개인 장치에서는 데이터 및 애플리케이션 액세스를 제어하기가 더 어려우므로 데이터 도난을 위한 또 다른 액세스 지점이 생깁니다.보안 팀에 개인 장치의 액세스에 대한 가시성과 제어를 부여하는 엔드포인트 소프트웨어가 없는 경우, 의도하지 않은 데이터 액세스가 발생하고 있음을 알아차리지 못할 수 있습니다.
SaaS 애플리케이션 채택의 증가: SaaS 애플리케이션은 기존 회사 네트워크 외부의 타사 클라우드 인프라에서 호스팅됩니다.직원들은 공용 인터넷을 통해 이러한 애플리케이션에 액세스하는 경우가 많으며, 조직에서 보안 웹 게이트웨이를 통해 공용 인터넷 사용을 모니터링하지 않는 경우, 누가 어떤 데이터에 액세스하는지 추적할 수 없습니다.
"퇴사 증가 추세": 불행히도 일부 직원은 사직을 기밀 정보를 다음 직장으로 가져갈 수 있는 기회로 봅니다.Tessian의 설문조사에 따르면 응답자의 45%가 직장을 떠나기 전이나 해고된 후에 파일을 다운로드했다고 주장합니다.IT 부서의 경우, 특히 최근 Gartner 설문조사에 따르면 IT 업체 직원의 29%만이 "현재 직장에 계속 머물 의향이 높다"고 밝혔습니다.이러한 추세가 계속됨에 따라 퇴사하는 직원이 중요한 정보를 빼내 가는 것은 더 큰 잠재적 위험이 됩니다.
이러한 추세 외에도 악의적인 내부자가 사용하는 전술이 빠르게 발전했습니다. 최근 내부자 위험 보고서에 따르면 악의적인 내부자의 32%가 임시 이메일 주소 사용, 신원 숨기기, 시간이 지남에 따라 느리게 행동하기, 개인 이메일 계정 내에 파일을 초안으로 저장하기, 조직 내에서 승인된 기존 도구를 사용하여 데이터를 찾고 유출하기 등 '정교한 기술'을 사용했습니다.
완화를 위한 운영 단계
Code42의 연간 데이터 노출 보고서에 따르면 기업의 39%가 내부자 위험 관리 프로그램을 보유하고 있지 않습니다.이러한 회사에게는 구현이 중요한 첫 번째 조치가 될 것입니다.몇 가지 즉각적인 보호 장치를 설정하려면 다음과 같은 몇 가지 운영 모범 사례를 통합하는 것이 좋습니다.
직원이 알리는 즉시 가장 중요한 애플리케이션 및 데이터에 대한 액세스를 줄이기.
해고된 직원에 대하여 회사 리소스를 즉시 잠그기.
유휴 시간 동안 재로그인 필수화.
비밀번호 관리자 프로그램 필수화.
의심스러운 행동에 대한 직원 교육.
의심스러운 행동을 보고하기 위한 익명 프로세스 구현.
위협 방지를 위한 제로 트러스트
악의적인 내부자는 정의상 조직의 보안 관행에 익숙합니다. 이는 앞서 언급한 운영 프로토콜로는 위험을 완전히 방지하지 못한다는 것을 의미합니다. 오히려, 예방에는 제로 트러스트와 같은 보다 포괄적이고 현대적인 보안 프레임워크가 필요합니다. 제로 트러스트의 핵심 원칙은 이미 네트워크 내부에 있는 경우에도 기본적으로 사용자 또는 요청을 신뢰하지 않는다는 것입니다.
제로 트러스트 보안은 조직에서 다음을 요구하여 악의적인 내부자의 취약성을 줄이는 데 도움이 될 수 있습니다.
VPN 지원 중단: VPN은 종종 사용자에게 네트워크 액세스 권한을 제공합니다.이러한 과도한 권한은 악의적인 내부자가 위협을 내부망에서 확산하고 데이터를 유출할 수 있는 불필요한 위험을 초래합니다.VPN을 단계적으로 폐지하는 것은 장기적인 제로 트러스트 채택을 위한 일반적인 초기 조치입니다.
인터넷 브라우징에 대한 보안 제어 모니터링 및 적용: 이는 인터넷에서의 사용자 활동에 대한 가시성을 높이고 악의적인 내부자가 의심스러운 웹 사이트 또는 클라우드 저장소 사이트의 개인 테넌트와 같은 중요한 데이터를 입력하지 못하도록 컨트롤을 적용하는 것을 의미합니다.이러한 제어는 보안 웹 게이트웨이(SWG) 및 원격 브라우저 격리(RBI)를 통해 수행할 수 있습니다.
ID 및 기타 컨텍스트 신호를 기반으로 하는 인증된 액세스: 사용자가 ID, 다단계 인증(MFA), 장치 상태 등의 기타 컨텍스트 신호를 먼저 확인한 후에만 리소스에 연결할 수 있도록 허용하는 최소 권한 액세스 정책을 설정합니다.이러한 컨텍스트 신호를 계층화하면 악의적인 내부자를 포착하는 데 도움이 될 수 있습니다.이러한 컨텍스트 신호를 확인하면 잠재적인 악의적인 내부자의 의심스럽고 신뢰할 수 없는 활동을 감지하는 데 도움이 될 수 있습니다.
Cloudflare에서는 조직이 ID, 상태, 컨텍스트 기반 규칙을 적용하여 애플리케이션을 보호하는 포괄적인 Zero Trust 보안을 달성하도록 지원해서 사용자가 작업에 필요한 애플리케이션과 데이터에만 액세스하도록 하여 데이터 유출 가능성을 최소화합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
원격 근무로 인해 내부자 위협 탐지가 더 어려워지는 이유
악의적인 내부자가 더 쉽게 행동하도록 부추기는 요인
내부자가 데이터를 유출하는 데 사용하는 고급 기술
Zero Trust 보안으로 내부망 이동을 방지하는 방법
관련 자료
이 주제에 관해 자세히 알아보세요.
장소와 관하게 일하는 7가지 방법 eBook을 통해 Zero Trust 네트워크 액세스에 대해 자세히 알아보세요.