내부자 위협 위험 및 직원 모니터링을 통해 이를 탐지하는 방법

해커가 외부에서 침입하는 등 외부 위협과 달리 내부 위협은 조직 내부의 개인에 의해 발생합니다. 직원, 관리자, 파트너 또는 계약자가 될 수 있습니다. 기밀 데이터, 시스템 및 건물에 대한 합법적인 액세스 권한을 갖고 비즈니스에 해를 끼치는 방식으로 이러한 액세스를 사용하는 사람이 될 수 있습니다.

내부자 위협은 다양한 형태로 나타나며 각각 약간씩 다른 탐지 방법이 필요합니다. 악의적인 내부자, 부주의한 내부자, 손상된 내부자로 크게 분류할 수 있습니다.

내부자 위협에 대해 생각할 때 일반적으로 이러한 유형이 가장 먼저 떠오릅니다. 악의적인 내부자는 승진에서 제외되거나 징계, 이념적 이유, 심지어 재미에 직면한 후 의도적으로 복수심으로 피해를 입힙니다. 그러나 악의적인 내부자 사고의 절대 다수(89%)는 개인적인 금전적 이득에 의해 발생합니다. 내부자는 다음을 수행할 수 있습니다.

• 민감한 고객 데이터, 영업 비밀 또는 금융 정보를 훔쳐 경쟁업체에 판매하거나 개인적인 이익을 위해 판매합니다.

• 중요한 파일을 삭제하거나, 시스템을 방해하거나, 악성 코드를 설치하여 회사를 방해합니다.

• 재무 기록을 조작하거나, 사기 계정을 만들거나, 개인의 이익을 위해 횡령하는 행위입니다.

• 경쟁업체에 판매하거나 자체 사업을 시작하기 위해 독점 디자인, 공식 또는 기타 지적 재산을 훔치는 행위.

악의적인 내부자는 비밀 슈퍼요원이 아닙니다. 그들은 회사를 떠나기 전에 과소평가되어 중요한 고객 데이터베이스를 삭제하는 불만을 품은 시스템 관리자일 수 있습니다. 또는 영업 담당자가 쌓이는 비용을 충당하기 위해 데이터를 경쟁업체에 판매하기 위해 체계적으로 데이터를 내보냅니다. 악의적 내부자는 의도적으로 조직에 해를 끼치는 일반 직원입니다. 그러나 내부자 위협 사고의 25%는 이들이 책임이 있습니다.

모든 내부자가 악의에 의해 움직이는 것은 아닙니다. 부주의한 직원은 고의로 조직에 해를 끼치고 싶지 않지만 의도하지 않은 실수와 부주의한 행동은 악의적인 행동만큼 큰 피해를 줄 수 있습니다. 전체 데이터 유출 사고의 무려 88%가 직원의 실수로 인해 발생하거나 심각하게 악화되었습니다. 부주의한 내부자는 위협을 인식할 수 있는 인식이나 훈련이 부족하거나 단순히 무모한 경우가 많습니다. 다음과 같은 행위는 심각한 보안 침해로 이어질 수 있습니다.

• 피싱 이메일의 링크를 클릭하고 회사 장치에 악성 코드가 다운로드되는 것을 알지 못합니다.

• 쉽게 추측할 수 있는 비밀번호를 사용하거나 여러 계정에서 비밀번호를 재사용합니다.

• 보안되지 않은 위치에 민감한 데이터를 저장합니다.

• 암호화되지 않은 채널을 통해 기밀 정보를 공유합니다.

• 편의성이나 이해 부족으로 인해 확립된 보안 프로토콜을 우회하거나, 보안 소프트웨어를 비활성화하거나, 보안 정책을 무시하는 행위

• 실수로 중요한 정보를 잘못된 수신자에게 보내는 행위

• 의도하지 않은 개인 정보의 공개 또는 공개 및 기타 인적 오류.

부주의한 내부자의 예로는 겉보기에 합법적인 이메일을 받는 지급 계정 직원이 있을 수 있습니다. 이메일에서는 공급업체의 은행 정보 업데이트를 요청합니다. 직원은 보낸 사람의 이메일을 철저하게 확인하지 않고, 링크를 클릭하고, 가짜 로그인 페이지에 자격 증명을 입력하고, 자신도 모르게 해커에게 회사 금융 시스템에 대한 액세스 권한을 부여합니다.

부주의로 인해 직원의 계정이 외부 행위자에 의해 손상될 수 있습니다. 자격 증명 도둑은 피싱, 악성 코드 또는 기타 방법을 통해 직원의 합법적인 로그인 자격 증명을 획득합니다. 그런 다음 공격자는 해당 직원으로 행동하여 기밀 데이터를 훔치거나 기타 악의적인 활동에 가담합니다. 내부자 위협 사고의 20%는 자격 증명 도용으로 인해 발생합니다.

그렇다면 내부자 위협을 어떻게 탐지하고 예방할 수 있을까요? 앞서 언급했듯이 기존의 보안 방식은 외부 공격에는 효율적이지만 내부 위험에는 무감각한 경우가 많습니다. 직원 모니터링이 시작되는 곳입니다.

직원 모니터링이 전략적, 윤리적으로 구현되면 조직은 직원의 작업 프로세스, 행동 및 커뮤니케이션을 볼 수 있습니다. 이러한 방식으로 보안 전문가는 눈에 띄지 않을 수도 있는 비정상적인 동작, 정책 위반 및 악의적 의도의 징후를 식별할 수 있습니다.

내부자 위협 탐지를 위한 주요 직원 모니터링 기능과 이를 통해 악의적인 행위자를 찾아내는 방법을 살펴보겠습니다.

데이터 손실 방지(DLP)는 민감한 정보를 무단 액세스 또는 전송으로부터 보호하는 정교한 기능 세트입니다. 잠재적인 데이터 침해, 유출, 오용 및 우발적 노출을 감지하고 관리하는 데 도움이 됩니다.

DLP 시스템은 조직 내의 민감한 정보를 식별하고 디지털 파수꾼 역할을 합니다. 기밀 정보의 이동을 추적하고, 무단 전송 시도에 플래그를 지정하고, 외부 장치나 클라우드 저장소에 복사하거나 인쇄합니다. DLP 시스템에는 보안 전문가와 관리자에게 사건에 대해 알리는 경고 메커니즘도 있습니다.

민감한 데이터를 꼼꼼하게 추적하면 DLP 솔루션이 악의적이거나 부주의한 내부 위협을 모두 탐지할 수 있습니다.

UEBA(사용자 및 개체 행동 분석) 도구는 AI 및 기계 학습을 포함한 고급 분석 기술을 사용하여 조직 네트워크 내에서 비정상적인 행동과 잠재적인 보안 위협을 탐지합니다. 첫째, UEBA는 사용자(직원, 고객, 계약자)와 개체(애플리케이션, 장치 및 서버)의 활동을 분석하여 정상적인 활동의 기본 패턴을 설정합니다. 그 후 시스템은 사용자와 개체의 행동을 지속적으로 모니터링하고 이를 설정된 기준과 비교합니다. 표준에서 벗어난 것이 감지되면 잠재적인 보안 위협으로 플래그를 지정합니다. 각 이상 징후에는 위험 점수가 할당되며, 의심스러운 행동이 많을수록 위험 점수가 높아집니다. 위험 점수가 미리 정의된 임계값을 초과하면 시스템은 조사 및 잠재적 조치를 위해 보안 전문가 또는 관리자에게 경고합니다.

UEBA는 내부 위협, 손상된 계정 및 기존 보안 도구를 우회할 수 있는 기타 공격 방법에 대해 매우 효과적입니다. 그 효율성은 미리 정의된 공격 패턴과 일치하지 않는 위협을 탐지하는 능력에 있습니다. 동시에 UEBA는 정상적인 동작 패턴을 이해하므로 오탐률이 더 낮습니다.

근무 시간 중 직원의 활동을 추적하면 그들이 사용하는 웹사이트와 애플리케이션이 무엇인지 알 수 있습니다. 이러한 방식으로 조직은 승인되지 않은 웹사이트나 고위험 웹사이트에 대한 액세스 또는 업무와 관련되지 않은 사이트에 과도한 시간을 보내는 것을 감지할 수 있습니다(어떤 경우에는 참여 해제 또는 악의적인 계획의 징후일 수 있음). 응용 프로그램 추적을 통해 보안 위험을 초래할 수 있는 무단 소프트웨어 설치가 드러날 수도 있습니다.

데이터 침해가 발생한 경우 활동 모니터링은 사고에 대한 책임이 있는 사람을 찾고 필요한 증거를 제공하는 데 도움이 됩니다. 우리 고객 중 한 명이 최근 CleverControl이 자신의 데이터를 경쟁사에 판매하는 내부자를 폭로하는 데 어떻게 도움이 되었는지에 대한 이야기를 공유했습니다. 이것에 대해 읽을 수 있습니다 내부자 위협 우리 블로그에 더 많은 사례가 있습니다.

커뮤니케이션 모니터링은 직원 커뮤니케이션의 내용과 패턴에 대한 통찰력을 제공합니다. 시스템은 이메일, 화상 회의, 파일 공유, 협업 도구, 인스턴트 메시징 플랫폼 등 다양한 통신 채널을 지속적으로 모니터링합니다. 고급 알고리즘과 AI는 통신 패턴과 콘텐츠를 분석하고 수집된 데이터에서 경고 신호를 검색합니다. 이러한 징후는 의심스러운 언어이거나 데이터 유출, 방해 행위 또는 공모와 관련된 키워드일 수 있습니다. 시스템이 의심스러운 활동을 감지하면 자동화된 대응을 시작하거나 즉각적인 조치를 위해 보안 전문가에게 알립니다.

통신 모니터링은 내부 위협에 저항하는 회사의 능력을 크게 향상시킵니다. 그러나 이는 책임감 있게 구현되어야 합니다.

내부자 위협은 모든 규모의 모든 조직에서 여전히 중요한 문제로 남아 있습니다. 악의적인 의도부터 단순한 과실 및 부주의에 이르기까지 다양한 형태로 나타날 수 있습니다. 내부자 위협은 보안 경계 내에서 신뢰할 수 있는 직원에 의해 저지르므로 탐지하고 예방하기가 훨씬 더 어렵기 때문에 매우 위험합니다. 직원 모니터링은 내부 위험을 감지하고 예방하는 데 좋은 솔루션입니다. DLP, UEBA, 통신 및 활동 모니터링 기능은 보안 위반을 적시에 감지하고 방지하려는 모든 조직에 필요한 툴킷입니다.