내부자 위협은 조직 내에서 발생하는 보안 위험으로, 일반적으로 의도적으로든 의도하지 않게든 해를 입히기 위해 액세스를 오용하는 직원, 계약자 또는 신뢰할 수 있는 파트너와 관련이 있습니다.
목차
내부자 위협 정의
대부분의 사이버 보안 방어는 위협을 차단하는 데 중점을 두지만 내부자 위협은 조용하고 종종 즉각적인 징후 없이 내부에서 발생합니다. 이러한 위협에는 조직의 시스템, 데이터 또는 시설에 대한 합법적인 액세스 권한이 있는 개인이 포함되므로 의도적이든 우연적이든 해를 입힐 수 있는 고유한 위치에 있습니다.
내부자 위협은 신뢰 계층 아래에서 작동하기 때문에 특히 위험합니다. 방화벽 및 침입 탐지 시스템을 침투해야 하는 외부 해커와 달리 내부자는 탐지되지 않은 내부 네트워크를 탐색할 수 있습니다. 종종 일상적인 역할의 일부로 부여된 도구와 권한을 사용합니다.
많은 조직, 특히 하이브리드 작업 모델 또는 복잡한 디지털 인프라를 운영하는 조직에서 내부 사용자 활동에 대한 가시성은 제한적입니다. 이러한 가시성 부족은 내부자 위협이 번성할 수 있는 사각지대를 생성하여 중요한 시스템과 민감한 정보를 오용에 노출시킵니다.
도전 과제는 기술적일 뿐만 아니라 문화적입니다. 기업은 모든 수준에서 책임, 경계 및 사이버 보안 인식을 장려하는 직장 환경을 조성해야 합니다. 그렇지 않으면 의미가 좋은 직원도 의도하지 않은 위험이 될 수 있습니다.
누가 내부자 자격이 있습니까?
내부자에는 다음이 포함될 수 있습니다.
현재 직원(IT, HR, 재무 등)
지속적인 액세스 권한이 있는 이전 직원
제3자 계약자
비즈니스 파트너 또는 벤더
인턴 또는 임시 직원
내부자 위협의 유형
이들은 개인의 동기, 특권 및 활동에 따라 다양한 형태를 맡을 수 있습니다. 이러한 양식을 아는 것은 발생 가능한 위협을 식별하고 대응하는 데 필수적입니다.
악성 내부자
그들은 의도적으로 조직에 해를 끼치려고 시도하는 내부자입니다. 그들의 이유는 복수, 이념, 개인적 이득 또는 경쟁자 일 등이 될 수 있습니다. 이러한 해로운 내부자는 일반적으로 알아차리지 못하는 방법을 알고 있기 때문에 위협이 훨씬 더 커집니다.
이들은 비밀 정보를 유출하거나, 기록을 위조하거나, 비즈니스를 방해하거나, 멀웨어를 이식할 수 있습니다. 다른 경우에는 공격하기 전에 몇 달 동안 긴장을 풀고 장기간 액세스를 유지할 수도 있습니다.
부주의한 내부자
부주의한 내부자는 의도하지 않게 보안을 위반하는 직원 또는 계약자를 의미합니다. 여기에는 실수로 피싱메시지를 클릭하거나, 잘못된 암호를 선택하거나, 민감한 데이터를 잘못 처리하거나, 보안 제어를 무시하는 것이 포함될 수 있습니다.
대부분의 내부자 공격은 과실로 인한 것이며, 대부분의 경우 아픈 동기가 아닌 익숙하지 않거나 교육이 없기 때문입니다. 안타깝게도 그 효과는 계획된 공격만큼 중요할 수 있습니다.
침해된 내부자
침해된 내부자는 외부 당사자가 피싱, 멀웨어 또는 소셜 엔지니어링을 통해 합법적인 사용자의 자격 증명을 훔치거나 추정하는 경우를 말합니다. 외부 당사자는 신뢰할 수 있는 사용자로서 내부 리소스에 액세스합니다.
이것은 사용이 승인된 소스에서 시작되는 것처럼 보이기 때문에 탐지하기 매우 어려운 위협 유형입니다. 고급 행동 분석은 사용 패턴 내에서 이상을 감지하는 데 종종 필요합니다.
부주의한 내부자
공모는 내부자가 외부자 또는 범죄자와 함께 일하는 상황입니다. 이러한 위협은 일반적으로 금전적 이득이나 협박에 의해 동기가 부여되며 내부자 인텔리전스와 외부 리소스를 결합합니다. 콜루시브 위협은 내부자의 광범위한 액세스와 외부자의 기술 및 리소스를 결합하여 매우 표적화되고 파괴적인 공격을 초래하기 때문에 가장 문제가 됩니다.
내부자 위협이 위험한 이유
내부자는 합법적인 액세스 권한을 갖습니다. 시스템, 정책 및 약점을 알고 있기 때문에 탐지하기가 어렵습니다.
2023년 Ponemon Institute 보고서에 따르면 내부자 위협의 평균 비용은 영국에서 사고당 940만 파운드이며 63% 이상이 과실로 인해 발생합니다.
재무 비용 및 데이터 손실
유형
영향
예
부주의한 내부자
£940만 평균 손실
직원이 퍼블릭 클라우드를 통해 민감한 파일 공유
악성 내부자
IP 절도, 벌금
엔지니어는 종료하기 전에 소스 코드를 훔칩니다.
침해된 내부자
배포
피싱 피해자는 공격자에 대한 액세스를 제공합니다.
내부자 위협의 실제 사례
영국의 몇몇 주요 사례들은 내부자 위협이 산업 전반에 어떤 유형의 피해를 입힐 수 있는지 보여줍니다.
영국 박물관 침입자 도난(2023)
한 직원이 박물관에서 고대 유물을 도난당하고 파손했다고 주장합니다. 직원들은 존경받는 지위와 권한을 점진적으로 활용하여 내부 액세스 및 재고 감사의 취약점을 식별했습니다.
Daniel Khalife 교도소 방학(2023)
영국 전 육군은 교도소 구금에서 벗어나기 위해 Wandsworth 교도소 내에서 교도소 정권 및 교도소 프로세스에 대한 내부자의 이해를 고용했습니다. 이는 전문 교육뿐만 아니라 기관 접근 권한이 있는 사람들이 도입하는 위협을 제기합니다.
에너지 부문 액세스 오용
또한 NCSC는 내부자 위협을 영국의 중요 인프라에 대한 보안 위협으로 언급했습니다. 한 시나리오에서 에너지 회사의 이전 계약자는 효과적으로 오프보딩되지 않은 후 비즈니스 프로세스를 방해하려고 시도했습니다. 이는 직원이 퇴사한 후 적절한 액세스 관리의 중요성을 강조합니다.
내부자 위협 정의
대부분의 사이버 보안 방어는 위협을 차단하는 데 중점을 두지만 내부자 위협은 조용하고 종종 즉각적인 징후 없이 내부에서 발생합니다. 이러한 위협에는 조직의 시스템, 데이터 또는 시설에 대한 합법적인 액세스 권한이 있는 개인이 포함되므로 의도적이든 우연적이든 해를 입힐 수 있는 고유한 위치에 있습니다.
내부자 위협은 신뢰 계층 아래에서 작동하기 때문에 특히 위험합니다. 방화벽 및 침입 탐지 시스템을 침투해야 하는 외부 해커와 달리 내부자는 탐지되지 않은 내부 네트워크를 탐색할 수 있습니다. 종종 일상적인 역할의 일부로 부여된 도구와 권한을 사용합니다.
많은 조직, 특히 하이브리드 작업 모델 또는 복잡한 디지털 인프라를 운영하는 조직에서 내부 사용자 활동에 대한 가시성은 제한적입니다. 이러한 가시성 부족은 내부자 위협이 번성할 수 있는 사각지대를 생성하여 중요한 시스템과 민감한 정보를 오용에 노출시킵니다.
도전 과제는 기술적일 뿐만 아니라 문화적입니다. 기업은 모든 수준에서 책임, 경계 및 사이버 보안 인식을 장려하는 직장 환경을 조성해야 합니다. 그렇지 않으면 의미가 좋은 직원도 의도하지 않은 위험이 될 수 있습니다.
누가 내부자 자격이 있습니까?
내부자에는 다음이 포함될 수 있습니다.
현재 직원(IT, HR, 재무 등)
지속적인 액세스 권한이 있는 이전 직원
제3자 계약자
비즈니스 파트너 또는 벤더
인턴 또는 임시 직원
국가 및 국제 프레임워크 채택
조직은 다음과 같은 주요 표준에 부합해야 합니다.
NIST 내부자 위협 완화 프레임워크:이 미국 기반 모델은 전 세계적으로 널리 참조되며 내부자 위험 프로그램을 구축하기 위한 구조화된 접근 방식을 제공합니다.
ISO/IEC 27001:내부자 위험 및 감사 준비에 대한 제어를 포함한 정보 보안 관리 시스템(ISMS)에 대한 국제 모범 표준.
NPSA(구 CPNI) 내부자 위험 완화 지침:영국의 국가 보호 보안 당국은 특히 중요 부문에서 내부자 위협을 식별하고 줄이는 데 필요한 자세한 리소스를 제공합니다.
Cyber Essentials & Cyber Essentials Plus:액세스 제어, 모니터링 및 시스템 강화의 모범 사례를 촉진하는 정부 지원 체계.
정책 및 문화 모범 사례
규정 준수 외에도 강력한 내부 관행이 필수적입니다.
명확한 내부자 위협 정책 수립:내부자 위협의 구성 요소, 사고 보고 방법 및 정책 위반의 결과를 정의합니다.
정기적으로 제어 테스트 및 업데이트: 레드팀, 감사 및 사고 시뮬레이션을 사용하여 실제 시나리오에서 방어가 어떻게 수행되는지 평가합니다.
부서 간 협업 장려:내부자 위험에 대한 균형 잡힌 접근 방식을 구축함에 있어 HR, 법률, IT 및 규정 준수를 포함시킵니다.
심리적 안전 및 보고 문화의 우선 순위 지정:직원은 보복에 대한 두려움 없이 의심스러운 행동에 대해 보고할 권한이 있다고 느껴야 합니다.
내부자 위협의 징후 및 지표
내부자 위협은 신뢰할 수 있는 사용자로부터 발생하기 때문에 정확하게 탐지하기 어려울 수 있습니다. 그러나 행동이나 시스템 사용의 미묘한 변화조차도 더 깊은 문제를 나타낼 수 있습니다.
민감한 시스템에 대한 예상치 못한 액세스, 특히 정상 시간 이외의 액세스는 종종 첫 번째 단서 중 하나입니다. 자신의 역할과 무관한 데이터에 액세스하거나 많은 양의 정보를 외부 드라이브 또는 클라우드 스토리지로 전송하는 직원은 의도적이든 모르든 데이터 도난에 대비하고 있을 수 있습니다.
다른 징후로는 보안 도구 비활성화, 반복적인 정책 위반 또는 특히 강등이나 사직 통지와 같은 부정적인 직장 사건 후 비정상적인 행동 표시 등이 있습니다. 경우에 따라 내부자는 정당한 이유 없이 접근 권한을 요청하거나 제한 구역에 들어가려고 시도할 수 있습니다.
특히 행동 분석을 통해 지원되는 경우 이러한 패턴을 조기에 인식하는 것은 내부자 위협이 지속적인 피해를 유발하기 전에 탐지하는 데 중요합니다.
예방 및 완화 조치
내부자 위협을 최소화하려면 먼저 절대 최소값에 대한 액세스 권한을 부여하십시오. 이는 최소한의 노출을 허용하는 최소 권한 접근 방식이며, 실시간으로 거의 즉시 오용을 효과적으로 포착할 수 있는 사용자 행동 분석(UEBA) 및 권한 액세스 관리(PAM)와 같은 제품도 있습니다.
적절한 오프보딩이 필수적입니다. 직원이 조직을 떠나는 순간 액세스가 비활성화되어야 합니다. 공격은 쉬운 단계가 생략된 후에 가장 일반적으로 발생합니다.
직원 교육도 지속적으로 필요합니다. 내부자 위협의 성격과 주의해야 할 사항에 대한 교육을 받은 직원도 방어의 확장이 될 수 있습니다. 개방성과 책임을 장려하는 업무 환경은 의심스러운 행동을 조기에 보고하도록 장려합니다.
마지막으로, SIEM과 같은 모니터링 기술을 행동 통찰력과 통합하여 조직은 즉시 대응하고 위협을 차단하는 데 필요한 통찰력을 얻습니다.
내부자 위협 관리에 대한 도움을 어디에서 받을 수 있습니까?
내부자 위협을 이해하는 것은 시작에 불과합니다. 내부자 위협으로부터 보호하는 것은 올바른 기술이 필요합니다. Trend Vision One™은 위험한 사용자 행동을 탐지하는 데 필요한 가시성과 분석을 제공합니다.
Trend Vision One은 엔드포인트, 클라우드, 이메일 및 ID 계층 전반에 걸쳐 활동을 연관시킴으로써 기존 도구가 놓치는 내부자 위험을 발견하는 데 도움이 됩니다. 위협이 과실이든 악의적이든 침해든 신속하고 효과적으로 대응할 수 있는 통찰력을 얻을 수 있습니다.
내부자 위협이 더욱 복잡해짐에 따라 Trend Vision One은 인텔리전스와 자동화를 통해 팀이 앞서갈 수 있도록 지원합니다.
제품 관리 부사장인 Scott Sargeant는 사이버 보안 및 IT 환경에서 엔터프라이즈급 솔루션을 제공한 25년 이상의 경험을 가진 노련한 기술 리더입니다.
자주 묻는 질문(FAQ)
내부자 위협이란 무엇입니까?
분석 기술, 행동 관찰, 의심스러운 행동을 인식하기 위한 직원 교육을 포함합니다.
내부자 위협의 유형은 무엇입니까?
악의적, 과실, 침해 및 담합
내부자 위협을 식별하는 방법
비정상적인 액세스, 대규모 데이터 전송 또는 의심스러운 행동에 주의하십시오. 모니터링 도구 및 액세스 로그를 사용하여 위험을 감지합니다.
내부자 위협을 어떻게 예방합니까?
액세스 제한, 활동 모니터링, 직원 교육 및 보안 정책 시행
내부자 위협은 얼마나 일반적입니까?
내부자 위협은 보안 사고의 상당 부분을 차지하며, 종종 약 20~30%를 차지합니다.