내부자 위협이란 무엇인가요?
데이터 보안 인시던트를 고의로 또는 의도치 않게 발생시킬 수 있는 권한이 있는 액세스 권한이 있는 사용자를 포함하여 내부 활동으로부터 조직을 보호하는 방법을 알아보세요.
참가자 위협 정의됨
내부자는 위협이 되기 전에 위험이고 이는 사용자가 조직에 부정적인 영향을 주는 방식으로 악의적이거나 의도치 않게 조직의 자산에 대한 권한 있는 액세스를 사용할 수 있는 가능성으로 정의됩니다. 액세스에는 물리적 액세스와 가상 액세스가 모두 포함되며 자산에는 정보, 프로세스, 시스템 및 기능이 포함됩니다.
내부자란 무엇인가요?
내부자는 다음을 포함하여 일반적으로 공급되지 않는 모든 회사 리소스, 데이터 또는 시스템에 대한 액세스 권한을 부여했거나 알고 있는 신뢰할 수 있는 개인입니다.
- 데이터 센터 또는 본사와 같은 회사의 물리적 속성에 지속적으로 액세스할 수 있는 배지 또는 기타 디바이스가 있는 사용자입니다.
- 네트워크 액세스 권한이 있는 회사 컴퓨터가 있는 사용자입니다.
- 회사의 기업 네트워크, 클라우드 리소스, 애플리케이션 또는 데이터에 액세스할 수 있는 사용자입니다.
- 회사의 전략 및 재무 지식에 대한 지식이 있는 사람입니다.
- 회사의 제품 또는 서비스를 빌드하는 사용자입니다.
내부자 위협 유형
내부자는 이미 조직의 자산에 액세스할 수 있고 보안 조치에 익숙하기 때문에 외부 위협보다 내부자 위험을 감지하는 것이 더 까다롭습니다. 내부자 위험 유형을 알면 조직에 중요한 자산을 더 잘 보호할 수 있습니다.
-
악성
내부자로 인한 악의적인 보안 인시던트에서 직원 또는 신뢰할 수 있는 사람이 의도적으로 회사에 부정적인 영향을 미칠 것으로 알고 있는 작업을 수행합니다. 이러한 개인적인 불만이나 다른 개인적인 이유로 동기를 부여받을 수 있으며, 자신의 행동을 통해 재정적 또는 개인적인 이익을 얻을 수 있습니다.
-
부주의
부주의는 사용자가 데이터 보안 인시던트를 발생시킬 의도가 없는 사고와 유사합니다. 차이점은 의도적으로 보안 정책을 어겼다는 점입니다. 일반적인 예로 직원이 배지를 표시하지 않고 건물로 들어가도록 허용하는 경우가 있습니다. 디지털에서는 속도와 편의를 위해 신중하게 고려하지 않고 보안 정책을 재정의하거나 보안되지 않은 무선 연결을 통해 회사 리소스에 로그인하는 것과 동일합니다.
-
공모
일부 내부자 보안 사고는 신뢰할 수 있는 사람이 사이버 범죄 조직과 협력하여 스파이 또는 갈취를 커밋한 결과입니다. 이는 또 다른 유형의 악의적인 내부자 위험입니다.
악의적인 내부자 인시던트는 어떻게 발생하나요?
내부자로 인한 악의적인 인시던트(악성 인시던트)는 일반적인 사이버 공격사이버 공격이외의 다양한 방법으로 발생할 수 있습니다. 내부자가 보안 인시던트를 발생시킬 수 있는 몇 가지 일반적인 방법은 다음과 같습니다.
-
폭력
참가자는 폭력이나 폭력 위협을 사용하여 다른 직원을 위협하거나 조직에 불만을 표현할 수 있습니다. 폭력은 언어적 남용, 성적 괴롭힘, 괴롭힘, 폭행 또는 기타 위협 행위의 형태를 취할 수 있습니다.
-
간첩
스파이 활동은 경쟁사 또는 다른 당사자에게 이점을 제공하기 위해 조직에 속한 영업 비밀, 기밀 정보 또는 지적 재산권을 도용하는 방법을 의미합니다. 예를 들어, 마켓플레이스에서 경쟁 우위를 확보하기 위해 재무 정보 또는 제품 청사진을 수집하는 악의적인 내부자이 조직에 침투될 수 있습니다.
-
파괴
내부자는 조직에 불만족할 수 있으며 조직의 물리적 속성, 데이터 또는 디지털 시스템을 손상 시킬 동기가 있다고 느낄 수 있습니다. 파괴는 장비의 기물 손상 또는 기밀 정보 손상과 같은 다양한 방법으로 발생할 수 있습니다.
-
사기
내부자는 개인적인 이익을 위해 사기 행위를 커밋할 수 있습니다. 예를 들어 악의적인 내부자는 개인 용도로 회사의 신용 카드를 사용하거나 거짓 또는 부풀린 경비 청구를 제출할 수 있습니다.
-
도난
내부자는 개인 이익을 위해 조직의 자산, 중요한 데이터 또는 지적 재산권을 도용할 수 있습니다. 예를 들어 개인 이익을 위한 동기가 있는 퇴사하는 직원은 미래의 고용주를 위해 기밀 정보를 유출할 수 있으며, 특정 작업을 수행하기 위해 조직에서 고용한 계약자는 자신의 이익을 위해 중요한 데이터를 도용할 수 있습니다.
-
7가지 내부자 위험 지표
인간과 기술 모두 내부자 위험을 감지하는 데 중요한 역할을 합니다. 핵심은 비정상적인 활동을 더 쉽게 식별할 수 있도록 정상적인 작업에 대한 기준을 설정하는 것입니다.
-
사용자 활동 변경
동료, 관리자 및 파트너는 누군가가 조직에 위험이 되었는지 알 수 있는 가장 좋은 위치에 있을 수 있습니다. 예를 들어 데이터 보안 인시던트를 발생시킬만한 동기가 있는 위험한 내부자는 비정상적인 신호 같이 갑자기 관찰 가능한 태도 변화가 발생할 수 있습니다.
-
비정상적인 데이터 반출
직원들은 종종 직장에서 기밀 데이터에 액세스하고 공유합니다. 그러나 사용자가 이전 활동이나 비슷한 역할의 동료에 비해 비정상적인 양의 중요한 데이터를 갑자기 공유하거나 다운로드하는 경우 잠재적인 데이터 보안 인시던트를 나타낼 수 있습니다.
-
관련된 위험한 활동 시퀀스
기밀 데이터 다운로드와 같은 단일 사용자 작업은 자체적으로 잠재적인 위험이 아닐 수 있지만 일련의 작업은 잠재적인 데이터 보안 위험을 나타낼 수 있습니다. 예를 들어 사용자가 기밀 파일의 이름을 덜 민감하게 나타나도록 변경하고, 클라우드 저장소에서 다운로드하고, 휴대용 디바이스에 저장하고, 클라우드 스토리지에서 삭제했다고 가정합니다. 이 경우 검색을 중단하는 동안 사용자가 잠재적으로 중요한 데이터를 유출하려고 시도했음을 나타낼 수 있습니다.
-
퇴사하는 직원 데이터 반출
데이터 반출은 종종 퇴사와 함께 발생하며 의도적이거나 의도하지 않은 것일 수 있습니다. 의도하지 않은 인시던트는 퇴사하는 직원이 실수로 중요한 데이터를 복사하여 자신의 역할 성과를 보관하는 것일 수 있지만, 악의적인 인시던트에서는 개인적인 이익을 위해 중요한 데이터를 고의로 다운로드하거나 다음 직장에 도움을 주는 것일 수 있습니다. 퇴사 이벤트가 다른 비정상적인 활동과 함께 발생하면 데이터 보안 인시던트를 나타낼 수 있습니다.
-
비정상적인 시스템 액세스
잠재적인 내부자 위험은 일반적으로 작업에 필요하지 않은 리소스에 액세스하는 사용자로 시작될 수 있습니다. 예를 들어 일반적으로 마케팅 관련 시스템에만 액세스하는 사용자가 하루에 여러 번 금융 시스템에 액세스하기 시작합니다.
-
협박 및 괴롭힘
내부자 위험의 초기 신호 중 하나는 위협, 괴롭힘 또는 차별 커뮤니케이션을 표현하는 사용자일 수 있습니다. 회사 문화에 피해를 입힐 뿐만 아니라 다른 잠재적 인시던트도 발생할 수 있습니다.
-
권한 에스컬레이션
조직은 일반적으로 제한된 직원에게 권한 있는 액세스 및 역할을 할당하여 중요한 리소스를 보호하고 관리합니다. 직원이 명확한 비즈니스 근거 없이 자신의 권한을 에스컬레이션하려고 하면 잠재적인 내부자 위험의 표시일 수 있습니다.
-
내부자 위협의 예
데이터 도난, 간첩 또는 파괴와 같은 내부자 위협 인시던트는 지난 몇 년 동안 모든 규모의 조직에서 발생했습니다. 몇 가지 예는 다음과 같습니다.
- 영업 비밀을 도용하고 다른 회사에 판매합니다.
- 회사의 클라우드 인프라를 해킹하고 수천 개의 고객 계정을 삭제합니다.
- 영업 비밀을 사용하여 새 회사를 시작합니다.
전체적인 내부자 위험 관리의 중요성
직원-고용주 관계의 우선 순위를 지정하고 개인 정보 제어를 통합하는 전체적인 내부자 위험 관리 프로그램은 잠재적인 내부자 보안 인시던트 수를 줄이고 더 빠르게 감지할 수 있습니다. Microsoft가 수행한 최근 연구에 따르면 전체적인 내부자 위험 관리 프로그램을 보유한 회사는 내부자 위험을 빠르게 감지할 가능성이 33% 더 높고, 조각화된 접근 방식이 있는 회사보다 16% 더 빠르게 해결할 가능성이 있습니다.1
내부자 위협으로부터 보호하는 방법
조직은 프로세스, 사람, 도구 및 교육에 집중하여 전체적인 방식으로 내부자 위험을 해결할 수 있습니다. 다음 모범 사례를 사용하여 직원과 신뢰를 구축하고 보안을 강화하는 내부자 위험 관리 프로그램을 개발합니다.
-
직원 신뢰 및 개인 정보 보호 우선 순위 지정
직원 간의 신뢰 구축은 개인 정보 보호 우선 순위 지정부터 시작합니다. 내부자 위험 관리 프로그램을 통해 안전한 느낌을 조성하려면 내부자 조사를 시작하기 위한 다단계 승인 프로세스를 구현하는 것이 좋습니다. 또한 조사를 수행하는 사용자의 활동을 감사하여 경계를 넘지 않도록 하는 것이 중요합니다. 보안 팀 내에서 조사 데이터에 액세스할 수 있는 사용자를 제한하기 위해 역할 기반 액세스 제어를 구현하면 개인 정보를 유지하는 데도 도움이 될 수 있습니다. 조사 중에 사용자 이름을 익명화하면 직원의 개인 정보를 추가로 보호할 수 있습니다. 마지막으로, 조사가 진행되지 않는 경우 설정된 기간 후에 사용자 플래그를 삭제하는 것이 좋습니다.
-
긍정적인 억제 방법 사용
많은 내부 위험 프로그램은 위험한 직원 활동을 제한하는 정책 및 도구와 같은 부정적인 억제 방법에 의존하지만 이러한 조치와 선점적 접근 방식의 균형을 맞추는 것이 중요합니다. 직원 사기 향상 이벤트, 철저한 온보딩, 지속적인 데이터 보안 훈련 및 교육, 상향 피드백 및 일과 생활 균형 프로그램과 같은 긍정적인 의견은 참가자 이벤트의 가능성을 완화하는 데 도움이 될 수 있습니다. 생산적이고 사전 예방적인 방식으로 직원들과 소통함으로써 긍정적인 억제 방법은 위험의 원인을 해결하고 조직 내 보안 문화를 촉진합니다.
-
회사 차원의 참여 획득
IT 및 보안 팀은 내부자 위험을 관리하는 주된 책임을 맡을 수 있지만, 이 작업에 전체 회사를 참여시키는 것이 중요합니다. 인적 자원, 규정 준수 및 법률과 같은 부서는 정책을 정의하고, 이해 관계자와 소통하고, 조사 중에 의사 결정을 내리는 데 중요한 역할을 합니다. 보다 포괄적이고 효과적인 내부자 위험 관리 프로그램을 개발하려면 조직은 회사의 모든 영역에서 참여 및 관여를 요청해야 합니다.
-
통합되고 포괄적인 보안 솔루션 사용
내부자 위험으로부터 조직을 효과적으로 보호하려면 최상의 보안 도구를 구현하는 것 이상이 필요합니다. 엔터프라이즈 수준의 가시성과 보호를 제공하는 통합 솔루션을 요구합니다. 데이터 보안, ID 및 액세스 관리, XDR(확장 검색 및 대응), SIEM(보안 정보 및 이벤트 관리) 솔루션이 통합되면 보안 팀은 내부자 인시던트를 효율적으로 감지하고 방지할 수 있습니다.
-
효과적인 훈련 구현
직원은 보안 인시던트를 방지하여 첫 번째 방어선으로 만드는 데 중요한 역할을 합니다. 회사 자산을 보호하려면 직원 참여를 확보해야 하므로 조직의 전반적인 보안이 향상됩니다. 이 참여를 만드는 가장 효과적인 방법 중 하나는 직원 교육을 통한 것입니다. 직원을 교육하여 의도하지 않은 내부자 이벤트의 수를 줄일 수 있습니다. 내부 이벤트가 회사와 직원 모두에게 미치는 영향을 설명하는 것이 중요합니다. ’또한 데이터 보호 정책을 전달하고 직원에게 데이터 유출을 방지하는 방법을 교육하는 것이 중요합니다.
-
기계 학습 및 AI 사용
오늘날의 최신 작업 공간 속 보안 위험은 감지하고 대응하기 어렵게 만드는 다양하고 지속적으로 변화하는 요인 때문에 동적입니다. 그러나 조직에서는 기계 학습 및 AI를 사용하여 머신 속도로 내부자 위험을 감지하고 완화하여 적응형 및 사람 중심 보안을 가능하게 할 수 있습니다. 이 고급 기술은 조직에서 사용자가 데이터와 상호 작용하는 방식을 이해하고, 위험 수준을 계산 및 할당하고, 적절한 보안 제어를 자동으로 조정하는 데 도움이 됩니다. 이러한 도구를 통해 조직은 잠재적인 위험을 식별하는 프로세스를 간소화하고 위험 수준이 높은 참가자 활동 해결에 제한된 리소스의 우선 순위를 지정할 수 있습니다. 이렇게 하면 보안 팀이 중요한 시간을 절약하면서 데이터 보안을 향상할 수 있습니다.
내부 위험 관리 솔루션
조직과 함께 일하는 사람들을 신뢰하는 것은 자연스러운 일이기 때문에 내부 위협으로부터 방어하는 것은 어려울 수 있습니다. 가장 중요한 내부자 위험을 신속하게 식별하고 리소스의 우선 순위를 지정하여 조사하고 완화하는 것은 잠재적인 인시던트 및 위반의 영향을 줄이는 데 중요합니다. 다행히 외부 위협을 방지하는 사이버 보안 도구를 많은 내부자 위협을 식별할 수도 있습니다.
Microsoft Purview는 정보 보호, 내부자 위험 관리 및 DLP(데이터 손실 방지) 기능을 제공하여 데이터를 파악하고 잠재적인 데이터 보안 인시던트를 유발할 수 있는 중요한 내부자 위험을 감지하고 데이터 손실을 효과적으로 방지할 수 있습니다.
Microsoft Entra ID는 사용자의 로그인 및 액세스 활동이 위험한 경우 액세스할 수 있는 사용자를 관리하고 경고할 수 있도록 도와줍니다.
Microsoft Defender 365는 무단 활동으로부터 클라우드, 앱, 엔드포인트 및 전자 메일을 보호하는 데 도움이 되는 XDR 솔루션입니다. 사이버 보안 및 인프라 보안 에이전시와 같은 정부 조직은 내부자 위협 관리 프로그램을 개발하기 위한 지침도 제공합니다.
조직은 이러한 도구를 채택하고 전문가 지침을 사용하여 내부자 위험을 더 잘 관리하고 중요한 자산을 보호할 수 있습니다.
Microsoft Security에 대한 자세한 정보
자주 묻는 질문
-
네 가지 유형의 내부자 위협이 있습니다. 우발적인 내부자 위협은 회사에서 일하거나 회사에서 일하는 사람이 실수로 조직이나 데이터 또는 사람을 손상시킬 위험이 있습니다. 부주의 위험은 누군가가 의도적으로 보안 정책을 위반하지만 피해를 입히려는 것을 의미하지는 않는 경우입니다. 악의적인 위협은 누군가가 의도적으로 데이터를 도용하거나, 조직을 방해하거나, 폭력적으로 동작하는 경우입니다. 악의적인 위협의 또 다른 형태는 내부자가 조직 외부의 사용자와 협력하여 피해를 입히는 경우입니다.
-
이러한 유형의 인시던트로 인해 조직과 해당 사용자에게 큰 피해를 줄 수 있으므로 내부자 위험 관리가 중요합니다. 올바른 정책과 솔루션을 마련하면 조직은 잠재적인 내부자 위협을 미리 파악하고 조직의 중요한 자산을 보호할 수 있습니다.
-
사용자 활동의 갑작스러운 변경, 연결된 위험한 활동 시퀀스, 작업에 필요하지 않은 리소스 액세스 시도, 권한 상승 시도, 비정상적인 데이터 반출, 데이터 반출 직원 퇴사, 괴롭힘 또는 괴롭힘 등 내부자 위험의 몇 가지 가능한 증상이 있습니다.
-
보안 인시던트를 발생시킬 수 있는 위험한 활동은 조직과 권한 있는 액세스 권한이 있는 신뢰할 수 있는 사용자가 수행하므로 내부자 이벤트를 방지하는 것이 어려울 수 있습니다. 직원-고용주 관계의 우선 순위를 지정하고 개인 정보 제어를 통합하는 전체적인 내부자 위험 관리 프로그램은 내부자 보안 인시던트 수를 줄이고 더 빠르게 감지할 수 있습니다. 개인 정보 보호 제어 및 작업자 비정상에 중점을 두는 것 외에도 정기적인 교육, 회사 차원의 참여 및 통합 보안 도구를 통해 위험을 줄일 수 있습니다.
-
악의적인 내부자 위협은 신뢰할 수 있는 사람이 조직과 해당 조직에서 일하는 사람들을 의도적으로 손상시킬 가능성이 있습니다. 이는 누군가가 실수로 회사를 손상하거나 보안 규칙을 위반할 때 발생하는 의도하지 않은 내부자 위험과는 별개이지만 회사에 피해를 주지는 않습니다.
Microsoft 팔로우