내부자 위협이란?

내부자 위협은 실수로 또는 고의로 유출되거나 오용된 데이터로서, 올바른 액세스 권한이 없는 개인이 악용하거나 조회할 수 있습니다. 

내부자 위협은 조직에서 가장 흔한 보안 위협에 속하며 평범한 사용자가 평범한 실수를 저질러 발생하는 경우가 매우 많습니다.

읽는 게 귀찮으신 분들을 위해 내부자 위협에 관한 짧은 동영상을 준비했습니다.

위험이 심할 때도 있고 심하지 않을 때도 있습니다. 이렇게 모호한 답변을 드릴 수밖에 없는 이유는 하나의 영업 비밀이 얼마나 큰 파괴력을 가지고 있는지 모르거나 사소한 실수가 여러 번 반복되는데도 알아차리지 못하는 경우가 많기 때문입니다.

어떤 내부자 위협은 회사 전체를 붕괴시키거나, 사람들을 곤란하게 하거나, 고객 또는 비즈니스 파트너의 안전을 위협하거나, 비용을 유발하거나, 국가 안보 또는 미션 크리티컬한 인프라를 위험에 빠뜨릴 수 있습니다. 아무 검색 엔진에서나 “내부자 위협”으로 검색을 해보면 다음과 같은 여러 미국 연방 기관에서 내부자 위협의 위험에 대해 고민하며 논의 중임을 알 수 있습니다.

• 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)
• 국토안보부(Department of Homeland Security, DHS)
• 국립과학기술원(National Institute of Science and Technology, NIST)의 컴퓨터 보안 리소스 센터(Computer Security Resource Center, CSRC)
• 연방수사국(Federal Bureau of Investigation, FBI)

오픈소스가 성장의 기반이라는 신념을 가진 선도적인 엔터프라이즈 오픈소스 기업인 저희 Red Hat조차도 내부자 위협은 상당한 경계 요소입니다. Red Hat® Enterprise Linux®를 위한 Red Hat의 오픈소스 개발 모델은 반드시 여러 차례의 검토, 테스트, 품질 제어 프로세스를 거친 후에만CentOS Stream 오픈소스 커뮤니티를 통해 공개됩니다.

일반적인 예상과는 달리, 내부자 위협은 대부분 악의를 지닌 퇴사자가 저지르는 것이 아니기 때문입니다. 내부자 위협은 보통 사람들이 저지르는 실수로 인해 발생하는 경우가 매우 많습니다. 여러분과 같은 평범한 사람들 말입니다.

자신이 위협 행위자가 되리라고는 아마 생각도 못하실 겁니다. 심지어 자신이 내부자라는 생각도 없을지 모릅니다. 하지만 지적 재산, 소프트웨어 엔지니어링 프로세스, 조직의 네트워크 자격 증명, 기업 실적 정보와 같이 여러분이 매일 올바른 권한을 갖고 액세스하는 모든 중요한 정보에 대해 생각해 보세요.

이것이 바로 여러분이 기업 윤리 교육 과정의 마지막 부분에 제시되는 질문에 유의해야 하는 이유입니다. 이러한 질문을 가볍게 지나치지 말고 잘 생각해 보시기 바랍니다. 정말 깊이 생각해봐야 합니다. 향후 내부자 위협을 감지할 수 있는 능력을 키우는 데 도움이 될 것입니다.

• 잠재적인 내부자 위협 지표에는 무엇이 있을까요?
• 보고해야 하는 내부자 위협 가능성을 나타내는 상황은 어떤 것일까요?
• 잠재적인 내부자 위협 지표를 몇 개나 찾아낼 수 있을까요?

내부자 위협은 일반적으로 다음 3가지로 분류됩니다.

• 악의적인 내부자: 데이터 또는 서비스를 훔치거나 손상시킴으로써 해를 끼치거나 이익을 얻으려고 적극적으로 노력하는 사람
• 내부 고발자: 기업이 잘못된 일을 하고 있다고 생각하는 사람
• 사용자 오류: 그저 실수를 저지르는 사람

이 외에도 피싱이 있습니다. 피싱은 스푸핑 이메일이나 스캠 오퍼와 같은 부정한 요청을 통해 민감한 정보나 개인 데이터를 넘겨 주도록 누군가를 유인하는 소셜 엔지니어링의 한 가지 형태입니다. 내부자가 피싱 공격을 선동하는 경우가 내부자 위협에 해당합니다. 선동자가 외부에 있어서 맬웨어를 실행할 수 있다면 다른 유형의 보안 위협으로 간주됩니다.

보안은 모든 사람의 책임입니다. 보안 팀은 보안 정책을 유지 관리하고 모든 사람이 보안 프로토콜에 더 유의하도록 주의를 줄 수 있지만, 모든 측면을 제어해 주는 전문가에게만 의존하는 것은 소용이 없습니다.

사내의 보안 제어, 컴퓨터 비상 대응 팀(CERT) 또는 내부자 위협 프로그램 등 보호 시스템은 항상 마련되어 있습니다. 사이버 보안 및 반독점 금지법이 있는 모든 지역, 지방 및 중앙 정부 및 국제 기구에 대해 생각해 보세요.

내부자 위협을 차단하는 가장 확실한 방법은 데이터 손실 방지를 위해 권한 및 방화벽의 유지관리를 강화하는 것이지만, 다음 3가지 구성 요소를 염두에 두고 효과적인 보안 팀을 구성하는 방법도 있습니다.

• 교육: 보안 팀은 사람들에게 업무를 올바르게 수행하는 방법을 가르치거나 직원들이 일상적으로 갖고 있는 권한이 얼마나 큰지 강조하는 것만으로도 외부 위협 및 내부자 공격의 가능성을 줄일 수 있습니다. 플래그가 지정된 많은 보고서가 사실은 위협이 되지 않는다고 내부자를 교육하면 보안 팀이 평가자가 아닌 함께 일하는 파트너라는 공동체 의식을 함양할 수 있습니다.
• 보안 기본 설정: 이것은 가장 단순한 보안 형태로서, 모든 것을 잠그고 예외적인 경우에만 액세스를 허용하는 것입니다. 가장 쉬운 경로가 가장 안전한 경로라면 기본적으로 일을 올바르게 수행하기가 더 쉽습니다. 그러나 보안 기본 설정은 역할 기반 액세스 제어(RBAC)를 적용하거나 최소 액세스 권한의 원칙을 따름으로써 사용자에게 필요한 항목을 정확히 제공하는 데 그칠 수 있습니다.
• 원활한 소통: 사람들이 여러분과 편히 대화하도록 하세요. 이렇게 하면 더 많은 사람이 진실, 있는 그대로의 사실을 적극적으로 표현하게 됩니다. 보안에 신경쓰면서 일하는지 확인하기 위해 곁에서 지켜보는 파트너라는 이미지를 구축하세요.
• 겸손: 사람은 실수할 수밖에 없다는 것을 기억하세요. 여러분은 판사나 배심원이 아니라, 소방서처럼 문제를 해결하는 사람입니다. 이미 벌어진 실수는 되도록 신경 쓰지 마세요. 실수한 데 대해 불이익을 주면 두려움으로 나서지 않는 분위기가 형성되며 사람들은 마지막 순간까지 기다렸다가 문제를 드러내게 됩니다.

Red Hat은 업스트림 오픈소스 커뮤니티와 함께 기술 강화와 테스트를 거쳐 안전하게 배포되는 엔터프라이즈 레디 소프트웨어를 개발하는 것으로 시작합니다. 그 결과가 바로 엔터프라이즈 오픈소스 제품입니다. 이들 제품을 사용해 하이브리드 클라우드, 공급망, 애플리케이션, 구성원 전반에 걸쳐 보안을 구축, 관리, 자동화할 수 있습니다.