주요 콘텐츠로 건너뛰기
RSA 컨퍼런스 2024에서 NetWitness를 만나보세요!
#254 부스를 방문하거나 전문가와의 미팅을 예약하세요. 지금 예약하세요!
버거 메뉴
업계 관점

내부자 위협의 변화하는 모습

  • by 스펜서 리히텐슈타인, 케이시 스위처

기업들이 성장과 수익성 회복을 위한 새로운 방법을 모색하는 가운데, 내부자에 의한 위험에 대한 우려가 커지고 있습니다. 지난 2년 동안 연구 에 따르면 내부자 위협 사고가 거의 501% 증가했으며 평균 사고 비용이 1,200만 달러로 치솟은 것으로 나타났습니다.

그렇다면 원격 근무 인력의 폭발적인 증가로 인해 내부자 위협의 발생 빈도와 비용이 증가하고 있는 것은 아닌지 궁금해지실 것입니다.

기준선을 설정해 보겠습니다.

내부자 위협을 정의하는 것이 항상 간단한 작업은 아닙니다. 카네기 멜론의 CERT 로 정의합니다:

내부자 위협 - 조직의 자산에 대한 액세스 권한이 있거나 액세스 권한이 있는 개인이 악의적으로 또는 의도하지 않게 액세스 권한을 사용하여 조직에 부정적인 영향을 미칠 수 있는 방식으로 행동할 수 있는 가능성입니다.

그러나 아시다시피 내부자는 ...

  • 불만을 품은 직원이 기업 네트워크를 방해하는 경우
  • 전 직원 또는 계약자가 네트워크에 다시 액세스하는 경우 스파이 활동 수행
  • 최고 경영진이 보안 정책 무시 더 빠른 결과 도출을 위한
  • 피싱 이메일의 링크를 무의식적으로 클릭해 조직을 위험에 빠뜨리는 직원, 계약자 또는 공급업체
  • 유출된 자격 증명을 사용하여 직원으로 위장한 사이버 범죄자

보안 업계는 전통적으로 내부자 위협을 해결하기 위해 다층적인 접근 방식을 구현해 왔습니다. 여기에는 기술, 정책, 물리적 보안, 심지어 데이터 과학까지 포함됩니다. 하지만 여전히 수많은 침해 사고의 중심에는 내부자가 있습니다. 에 따르면 하나의 연구 보고서침해의 20% 이상은 사람의 실수로 인한 것이며, 25%는 피싱(본질적으로 사람의 실수)과 관련이 있고, 40%는 도난당하거나 취약한 인증정보를 사용하는(본질적으로 사람의 실수) 침해입니다.

이러한 문제가 지속되는 이유는 무엇인가요?
더 많은 인력이 원격 근무. 이는 기업이 인적 오류와 근본적인 내부자 문제에 더 취약하다는 것을 의미합니다.

더 많은 인력이 기존 기업 네트워크 밖으로 이동함에 따라 내부자 위협에 대한 노출도 증가하고 있습니다. 원격 근무 인력의 위험은 더 이상 소수의 대기 중인 IT 담당자나 현장 근무자에게만 국한된 문제가 아닙니다. 이제 사이버 보안에 대한 인식과 위생 상태가 다양한 모든 부서의 직원이 원격 근무자의 상당 부분을 차지합니다.

위험 가능성이 높은 다음 시나리오를 고려하세요:

  • 동일한 사이버 보안 인식 교육 및 안전한 브라우징 습관을 갖추지 않은 가족 구성원과 노트북 공유
  • 로그인 자격 증명을 공유하거나 자신도 모르게 멀웨어가 포함된 USB 저장 장치를 삽입할 수 있는 친구들 간의 노트북 공유
  • 안전하지 않은 가정 또는 공용 Wi-Fi 네트워크에서 노트북 사용
  • 엔드포인트에 대한 가시성이 제한적이거나 없는 회사 외 디바이스에서 이메일을 자주 사용하는 경우

이러한 사람과 기술의 변화는 보안 전문가가 데이터 액세스 방식과 허용 가능한 위험 노출을 재평가해야 함을 의미합니다. 이러한 데이터에 대한 가시성은 내부자 위협을 탐지하고 대응하기 위해 비정상적인 사용자 행동을 이해하는 데 매우 중요합니다.

기술을 사용하여 행동을 예측하고 식별하기 어려운 경우. 내부자 위협 탐지는 행동을 중심으로 이루어집니다.

네트워크의 모든 사람과 데이터에 대한 사용자 행동을 모니터링하고 분석하는 것은 문제를 조기에 파악하고 해결하는 데 있어 매우 중요한 요소입니다. 기능적 과제는 정보의 양과 분석의 복잡성입니다.

머신러닝과 행동 분석을 시작하세요. 머신 러닝을 활용하여 행동 모델링을 시작하는 조직이 점점 더 많아지고 있습니다. 효과적인 행동 모델링을 위해서는 상당한 개발과 복잡한 데이터 과학 알고리즘이 필요하기 때문에 이 기술은 자원이 풍부한 보안관제센터(SOC)에서 가장 일반적으로 구현됩니다.

그러나 많은 조직에는 결과를 해석하고 미세 조정할 수 있는 머신 러닝에 정통한 직원이 없습니다. 또한 SOC는 사용자 개인정보 보호를 유지하면서 GDPR, CCPA와 같은 데이터 개인정보 보호 규정을 준수해야 하는 상황에 직면해 있습니다. 행동 학습 시스템을 성공적으로 구현하기 위한 또 다른 장애물은 다음과 같습니다:

  • 조정 및 최적화를 위한 상당한 수작업 오버헤드
  • 제한된 사용 사례와 데이터 원본으로 인해 심각한 사각지대가 발생합니다.
  • 인지된 가치보다 더 큰 투자 효과

이러한 패러다임은 업계가 성숙해짐에 따라 변화하기 시작했습니다. 이제 많은 행동 머신 러닝 시스템이 자체적으로 조정되고 최적화되어 즉시 사용 가능하며, 더 광범위한 분석과 더 짧은 가치 실현 시간을 제공합니다. 일부는 데이터를 위협 인텔리전스 및 비즈니스 컨텍스트와 상호 연관시켜 비즈니스 중단이나 데이터 손실로 이어지기 전에 악의적인 활동을 찾아낼 수 있습니다. 적절하게 구현된 고급 머신 러닝 기술과 통계 모델은 보안팀의 역량을 배가시켜 악성 활동을 신속하게 탐지할 수 있게 해줍니다.
어디로 향하고 있나요?

내부자에 의해 생성되는 공격 표면은 기하급수적으로 확장되고 있으며 이에 대응하기 위한 기술도 빠르게 발전하고 있습니다. 이 문제에 대한 해결책은 다각적이며 리소스의 제약이 있는 보안 팀이 우위를 점할 수 있도록 해야 합니다. 새로운 행동 기술은 보안팀이 대응을 간소화하고 평균 탐지 시간을 개선하는 동시에 오탐을 줄이는 데 도움이 될 수 있습니다. 이는 궁극적으로 SOC가 문제를 더 빠르게 해결하고 조직의 위험 프로필을 줄일 수 있음을 의미합니다.

조직은 기술 중심의 위험과 사람 중심의 위험을 모두 해결할 수 있는 전략적 기술 투자를 고려해야 합니다. 이 두 가지 요소가 함께 작동하기 때문에 내부자 위협을 해결하는 데 있어 매우 중요합니다. 보안팀은 이러한 위협에 더 빠르게 대응하기 위해 가치 실현 시간이 빠른 다목적 도구가 필요합니다.

이 시리즈의 2부에서는 이러한 문제를 해결하는 데 필요한 기술에 대해 자세히 알아보세요.