내부자 위협의 예와 이를 완화할 수 있는 전략을 안내해 볼까 합니다. 본론에 들어가기에 앞서 내부자 위협이 무엇인지 간단히 알아보겠습니다. 내부자 위협은 크게 두 측면으로 나누어 바라봅니다. 하나는 악의적인 의도를 갖고 행하는 위협 행위이고, 다른 하나는 의도하지 않은 사고입니다.

내부자 위협 사건의 예

기업의 디지털 전환이 빠르게 이루어지고 있습니다. 보안 운영자의 눈으로 볼 때 이런 변화는 보안 사고 억제와 대응을 위한 노력과 비용을 늘려야 하는 시기가 되었다는 것으로 다가옵니다. 보안 사고는 크게 외부와 내부로 나눌 수 있죠. 외부 공격에 대한 이야기는 많지만 내부자 위협에 대한 정보는 상대적으로 적죠. 본 포스팅에 소개하는 내부자 위협 사건 예가 좋은 정보가 될 것입니다. 내부자 위협 사고 관련해 공개된 사례들이 좀 있습니다. 이중 4개를 추려 보았습니다.

캐나다의 대형 금융 서비스 협동조합

2017년과 2019년 사이에 캐나다의 대형 금융 서비스 협동조합에서 420만 개에 이르는 계정 데이터가 유출되었습니다. 이 사건으로 캐나다 퀘벡 고등 법원은 금융 서비스 협동조합에 2억 900만 캐나다 달러 규모의 피해자 합의 판결을 내렸습니다. 이는 지금까지 캐나다 금융 역사상 가장 큰 규모의 데이터 유출 관련 합의 금액입니다. 이 사건의 내부자에 의해 일어났습니다. 26개월이라는 긴 기간 동안 내부 직원 하나가 조용히 고객 데이터를 빼돌렸습니다. 아마 금전적 이득을 위해 내부자 위협 행위를 한 것으로 보입니다. Mandiant Advantage 가입 고객은 이 케이스에 대한 더 상세한 정보를 확인할 수 있습니다.

뉴욕에 기반을 둔 기술 회사

선입 개발자는 기업의 민감한 연구 개발 관련 지적 재산에 쉽게 접근할 수 있죠. 미국 뉴욕에 기반을 둔 한 기술 회사는 전 선임 연구원이 자신의 접근 권한을 악용해 데이터를 훔친 다음 이를 무기로 임직원을 협박하였습니다. 이 사건으로 이 회사의 주가는 20% 이상 하락해 시가 총액이 40억 달러 가까이 줄었습니다.

미국의 다국적 제약 및 생명공학 기업

개인적으로 이용하는 클라우드 서비스를 이용해 기밀 데이터를 유출하는 경우도 많은데요. 미국의 다국적 제약 및 생명 공학 기업의 부국장 중 한 사람은 회사 노트북을 이용해 개인 구글 드라이브에 1만 2,000개의 기밀 파일을 업로드했습니다. 기밀문서에는 약물 개발 데이터, 코로나19 백신 연구 및 관련 영업 비밀 등이 포함되어 있었습니다. 이 부국장이 정보를 훔친 이유는 경쟁사로 이직하기 위해서였다고 합니다. 이 사건으로 기업은 데이터 손실 외에 브랜드 평판도 나빠지고 경쟁력도 낮아지는 손해를 입었습니다.

산호세에 기반을 둔 기술 회사

한 기술 회사는 전 직원이 특정 애플리케이션과 관련된 약 450개의 가상 머신을 삭제했습니다. 이 사건으로 이 기업은 애플리케이션 복원에 140만 달러 이상이 들었고, 가상 머신 삭제로 피해를 본 고객에 보상하는 데 100만 달러 이상을 들였습니다.

완화 전략

내부 위협을 완화하는 것은 지속적으로 해야 하는 작업입니다. 조직의 규모와 업종에 따라 방법은 다르겠지만 내부 위협 완화 노력은 필요합니다. 보편적으로 실행할 수 있는 완화 전략을 정리해 보았습니다.

• 내부자 위협 프로그램을 정의하고 위험 관리에 초점을 맞춥니다. 효과적인 프로그램은 HR, CISO, CSO, 법률 및 운영을 포함해 여러 부서 간 협업에 대한 구체적인 내용을 담고 있어야 합니다.
• 철저하게 내부 위협 평가를 실시합니다. 효과적인 프로그램의 전제 조건은 내부 위험을 관리하고 현재 상태를 정확히 파악하고 모자라는 것이 무엇인지 아는 것입니다.
• 직원 교육은 가장 좋은 사고 예방 방법 중 하나입니다. 직원들이 내부자 위협 유형을 알게 되면 내부자 위협 상황이 발생했을 때 이를 알아채고 관련 팀에 알려 사고를 막을 수 있습니다.
• 가장 중요하고 가치가 높은 자산이 무엇인지 알아야 합니다.
• 사용자 및 장치를 면밀히 모니터링하면서 이전 활동과 비교해 이상한 것이 없는지 파악할 수 있어야 합니다.
• 네트워크 관리자, 정책 입안자, 데이터 소유자는 개인이 무단으로 접근하거나 활용할 수 있는 기회를 제한해야 합니다.
• 데이터 손실 방지(DLP) 도구는 완벽하지 않지만 민감한 데이터 유출 방지에 도움이 됩니다.

맨디언트 내부자 위협 서비스

맨디언트(Mandiant)는 공격 수명 주기의 모든 단계에서 내부자 위협으로부터 조직을 보호합니다. 내부자 위협 완화를 위해 특별히 마련한 이 서비스는 기존 프로그램을 평가하고 효과적인 보안 프로그램을 구축하여 위험을 추적하고 차단합니다. 맨디언트 서비스는 세 가지 방법으로 작업을 수행합니다.

• 사용자 환경의 내부자 위협으로 인한 위험 및 탐지 기능에 대한 특정 시점의 평가를 수행합니다.
• 모든 규모의 조직을 위한 맞춤형 내부자 위협 프로그램을 제공합니다. 맨디언트는 조직 내 내부자 위협 기능을 평가, 설계, 향상, 운영 등 단계적 접근 방식을 취합니다.
• 효과적이고 지속적인 내부자 위협 예방, 탐지, 대응을 보장하는 운영 보안 프로그램을 제공합니다.

더 자세한 내용은 맨디언트 페이지를 참조 바랍니다.