바야흐로, 믿고 싶은 모든 것을 의심해야 할 순간이 다가왔다. 사이버 공격자들은 일반 기업과 다를 바 없는 비즈니스 모델을 바탕으로 투자 대비 수익률을 높일 수 있는 공격 방법을 모색하고 있다. 그리고 그 중심에는 ‘내부자’ 즉 조직의 임직원들이 있다. 공격자들이 공격 효율성을 높이는 촉매제로 임직원을 간주하고, 이들의 약점을 찾아내는데 집중하고 있는 것이다.

‘포네몬 리포트’에 따르면, 기업에 발생한 보안 사고 중 64.9%가 임직원의 부주의나 잘못된 업무 프로세스, 혹은 임직원을 표적으로 하는 사회공학적 해킹에 의해 발생한 것으로 드러났다. 악의적 의도를 가지고 특권과 권한을 남용한 내부자에 의한 보안 사고는 21.8%의 비중을 차지했으며, 이러한 사고 한 건으로 인해 발생하는 금전적 피해는 77만 6,000 달러에 달하는 것으로 나타났다.

이처럼 내부자와 연관된 위협이 증가함에 따라, 조직의 인식도 변화하고 있다. 오랜 기간 기업들은 외부에서 경계를 뚫고 들어오는 공격자에 대한 대응책을 마련하는 데 몰두해 왔다. 하지만, 임직원이 해킹을 당하거나 고의 혹은 실수에 의해 정보가 유출되는 보안 사고가 급증함에 따라, 기업은 조직 자산 및 정보에 대한 접근 권한을 보유한 내부자 위협 대응의 필요성을 실감하게 되었다.

왜 내부자와 연관된 위협이 증가하고 있는 것일까? 어떤 유형의 내부자 위협이 빈번히 발생하고 있는가? 그리고 내부자 위협에 대처하려면 어떤 보안 전략과 기술을 도입해야 할까? 내부자 위협이 증가하는 원인과 양상, 이에 대한 대응방안을 알아보며, 기업 영속성 유지를 위한 필수 요소인 ‘임직원’과 ‘보안’이 평화롭게 공존하기 위한 방법을 모색해 보고자 한다.

‘의심하고 또 의심해’… 내부자와 연관된 보안 사고가 늘어나는 원인은?

내부자 위협은 클라우드, 인공지능(AI), 모바일로 대변되는 차세대 IT 기술의 발전과 궤를 같이 한다. 오늘날 대부분의 조직들은 긴밀히 연결된 기기와 앱을 이용해 업무를 수행하고 있다. 서비스형 소프트웨어(SaaS) 애플리케이션에 접속하여 업무를 수행 및 공유하고, 생성형 AI 서비스에 질문을 던지며, 출근길에 핸드폰으로 업무 메일을 확인하는 우리의 모습은 더 이상 낯설지 않을 것이다.

그러나 빛에는 어둠이 있는 법. 이는 사이버 공격자에게도 기회 요소가 되었다. 업무 시간과 장소의 제약이 해소되고 업무 효율성 향상을 위한 더 많은 도구를 사용하게 되면서, 공격자가 노릴만한 사용자, 데이터, 기기, 도구 역시 늘어나게 된 것이다. 그리고 조직이 이러한 요소에 대한 보안 전략과 정책, 방침을 고민하고 있는 상황 속에서, 공격자들은 발 빠르게 움직이기 시작했다.

조직의 고민이 깊어지는 이유는 분명하다. 어디서 어떤 정보가 생성되는지, 이 중 중요성이 높은 정보가 무엇인지, 이 정보에 대한 접근 권한을 가진 사람은 누구인지 조직 전반을 아우르는 정보의 흐름을 인지하고 이를 분석해 위협에 대응할 수 있어야 하기 때문이다. 전통적인 네트워크는 물론 클라우드와 운영 기술(OT) 환경에 대한 가시성을 확보해야 하는 점 역시 어려움을 배가시키는 요소다.

실제로 상당수 기업들은 내부자 행위에 대한 실시간 모니터링과 복합적인 분석이 부재한 무방비 상태에 놓여 있다. 포네몬 리포트에 따르면, 업무상 굳이 보지 않아도 되는 데이터에 접근이 가능하다고 답한 응답자는 전체의 62%에 달했고, 임직원들이 어떤 데이터에 접근 가능한지 정확하게 파악하기 위해서는 최소 한 달 이상의 시간이 소요될 것이라고 응답한 기업은 전체의 43%를 차지했다.

‘어떻게 저를 의심하실 수 있습니까?’… 내부자와 연관된 주요 사고 유형은 무엇?

그렇다면, 어떤 유형의 내부자 위협이 빈번히 발생하고 있을까? 먼저, 공격 성공 시 파급력이 높은 정부 기관, 사회기반시설, 운영(OT) 환경 계정을 노리는 위협이 증가하고 있다. 2023년 발생한 유니트로닉스 PLC(Programmable Logic Controller) 보안 사고가 대표적이다. 공격자 그룹은 외부에 노출된 PLC 취약점과 비밀번호가 ‘1111’로 설정된 계정 등을 이용해 공격을 시도한 것으로 나타났다.

공격자가 노릴 만한 공격 표면의 복잡성과 범위가 증가함에 따라, 관리가 미흡한 IT 자산을 노린 공격도 급증하고 있다. 공격자들은 사물인터넷(IoT) 검색 엔진 등을 통해 노출된 취약점을 악용하는 방식으로 시스템에 침투하고 있다. 임종인 대통령실 사이버특별보좌관은 대부분 조직들이 외부 노출된 IT자산 중 70%만을 파악하고 있다며 기업의 관리 시야에서 벗어난 IT 자산에 대한 우려를 나타냈다.

높은 보안 수준을 유지하고 있는 표적에 접근하고자, 대기업 협력업체를 우회 공략하는 공급망 공격도 늘어나는 추세다. 특히, 설계도면 등 유출 시 문제가 되는 기밀문서를 다수 보유했거나 생산 중단 시 금전적 피해가 발생할 수 있는 제조 대기업의 협력사가 주요 타깃이 되고 있다. 일본 도요타의 경우, 1차 협력업체에 발생한 랜섬웨어 공격으로 인해 생산라인 가동이 하루 동안 중지된 바 있다.

드물지만, 주요 데이터에 대한 접근 권한을 가지고 있는 임직원이 정보 유출 및 공격에 가담하는 사례도 발생하고 있다. 부정부패 및 외도 등의 약점을 잡히거나 조직에 악감정을 가진 내부자들이 회사의 기밀 정보 및 지적 재산, 계정 정보를 공격자에게 제공하는 형태다. 실제로 미국 전 NSA 직원이 20년 동안 50TB 상당의 ‘최고 기밀’ 데이터를 빼돌린 것이 드러나 화제가 되었다.

위기의 기업들이여, AI 기반 확장형 탐지 대응 (AI-Driven Open XDR)으로 맞서라

앞서 살펴보았듯이, 내부자와 연관된 보안 사고가 기업 영속성에 미치는 파급력이 갈수록 커지고 있다. 중요 시스템에 공격자가 침투하였을 시 발생하는 금전적 피해는 물론 보안 사고로 인한 고객 신뢰도 하락 역시 쉽사리 넘길 수 없는 문제이기 때문이다. 이와 같이, 기업 생존에 악영향을 미치는 내부자 위협에 맞서, 기업의 보안성을 강화하기 위해서는 어떠한 전략과 방법론이 요구될까?

X(eXtended): 모든 것 & 확장

먼저 조직은 보안과 관련된 모든 것을 수집하고, 그 수집 대상을 확장할 수 있어야 한다. 기존 네트워크 보안 장비는 물론 ‘제로트러스트’ 방법론의 핵심 요소인 식별자-신원, 기기-엔드포인트, 네트워크, 시스템, 애플리케이션-워크로드, 데이터가 이 수집·분석 대상에 해당된다. 외부에 노출된 조직의 공격 표면 정보와 최신 공격 전술, 기술, 절차 (TTPs)를 포함한 위협 인텔리전스도 포함된다. 내부자 위협을 파악하기 위해서는 이와 관련된 정보 모두를 수집할 수 있어야 한다.

D(Detection): 수집한 모든 것을 탐지 및 분석

보안과 관련된 모든 것을 수집했다면, 다음은 이에 대한 탐지 및 분석을 수행할 차례다. 보안 조직은 정책 수립 및 경보 발생부터 통합 운영 관리, 가시성 확보를 아우르는 기능 확보를 위해, 차세대 XDR 기반 보안 플랫폼(SIEM), 인공지능·머신러닝(AI·ML), 사용자 및 계정 행위 분석(UEBA) 기반 분석과 탐지를 수행할 필요가 있다. 또한 내부자 위협 파악의 핵심 요소인 내부 정보 유출과 측면 이동 (Lateral Movement)을 탐지·분석하기 위한 정책 수립에도 힘을 기울여야 한다.

R(Response): 자동 대응

분석 및 탐지가 이뤄졌다면, 다음은 플레이북(Playbook) 기반 보안 운영·위협 대응 자동화(SOAR) 솔루션을 활용해 자동 대응을 수행할 순서다. 조직 상황과 공격 유형에 부합하는 최적의 대응 요소들을 하나의 과정으로 묶은 플레이북을 토대로, 보안 위협 대응 프로세스를 자동화하는 형태다. 단순 반복적인 업무에 투입된 시간을 심화 분석에 활용함으로써, 보안 운영의 성숙도를 높일 수 있다.

X, D, R 각각의 요소를 포괄하는 ‘AI 기반 오픈 XDR’ 구현

그리고 이러한 X, D, R이 가치를 발하기 위해서는 각각의 기능적 요소를 포괄할 수 있는 AI 기반 오픈 XDR (AI-Driven Open XDR)이 마련되어야 한다. 기존의 네트워크를 기반으로 한 레거시 보안 환경은 물론 운영 기술/산업 제어 시스템/사이버 물리 시스템(OT/ICS/CPS), 클라우드 영역을 아울러 이 모든 것이 하나의 플랫폼에서 구현이 되는 형태다.

단, 조직들은 AI-Driven Open XDR 도입에 앞서, 이를 실제로 구현할 수 있는 조력자가 누구인지를 따져볼 필요가 있다. 네트워크-클라우드-OT 등의 광범위한 환경에서 보안 운영 및 보안관제를 수행해 온 경험과 노하우가 Open XDR구현을 구체화하는 기틀이 될 것이다. 이에 대한 상세 내용은 여기서 확인할 수 있다:

이글루코퍼레이션의 XDR 전략 (AI-Driven Open XDR) 홈페이지 바로가기

사람이 변해야 보안도 변한다

XDR 전략과 더불어 필수불가결한 요소가 하나 더 있다. 기업 성장의 핵심 요소로 보안을 바라보는 인식과 문화다. 먼저, C 레벨 임원부터 기업 영속성 유지를 위한 필수 요건으로 정보 보안을 인식하는 문화가 자리 잡아야 한다. AI, 클라우드 등의 기술은 보안이 뒷받침할 때 그 가치를 발할 수 있으며, 보안 사고 한 번에 기업의 흥망이 좌우될 수 있다는 점을 인지해야 한다.

C 레벨 임원들이 보안의 중요성을 인지했다면, 이젠 중요 정보를 다루는 내부자들의 보안 인식 변화를 이끌 차례다. 조직은 지위 고하를 막론하고 정보보안이 임직원 개개인의 업무와 밀접한 연관이 있으며 기업 전반에 걸친 보안성이 기업 경쟁력이 될 수 있음을 인지시킬 필요가 있다. 소수의 보안 관리자의 역량에 의존하기보다는 임직원 스스로가 방어막을 형성할 수 있는 보안 문화가 확립되어야 한다.

마지막으로, 조직 내 보안을 생활화할 수 있는 전사적 규범과 방침을 마련할 필요가 있다. 보안 위협은 특수한 상황에서만 발생하는 것이 아닌 만큼, 평소의 습관과 업무 방식을 점검할 수 있는 정기/비정기적 훈련을 시행하는 것이 바람직하다. 또한, 위기 상황에 적시 대응할 담당자와 역할, 프로세스를 정의한 비상 대응 체계를 마련하여, 공격 피해를 최소화할 수 있게 준비해야 한다.

적인가 동지인가… 내부자들을 내 편으로 만들어라

지금까지 내부자 위협의 주요 동인과 양상, 대응 전략에 대해 알아보았다. 조직은 내부자와 연관된 정보, 서비스, 위협의 흐름에 대한 가시성을 토대로 기업 운영의 효율성과 안정성을 확보해야 한다. 그리고 이를 위해서는 네트워크, 클라우드와 운영 기술(OT) 영역을 포괄하는 AI 기반 오픈 XDR 플랫폼 구현과 기업 경쟁 우위 요소로 보안을 인식하는 문화가 반드시 뒷받침되어야 할 것이다.