“내부자 위협, 지속적인 모니터링으로 대응해야”

원격근무로 내부자 위협 증가 … 사용자 활동 모니터링·교육 통해 위협 완화

<안드레이 로옌코(Andrey Royenko) 에크란시스템(Ekran System) 리드 마케팅 매니저>

[데이터넷] 삼성, 페이스북, 드롭박스, 마이크로소프트를 비롯한 많은 기업들이 코로나 이후에도 원격 근무 체제를 계속 유지할 계획을 밝혔다. 기업은 사무실 비용을 절감할 수 있고 직원들은 출퇴 근 없이 안전한 환경에서 근무할 수 있어 모두에게 유익하기 때문이다.

원격근무는 사이버 보안팀에게 커다란 도전과제다. 원격 근무자는 해커의 공격에 취약하고 보호조치가 훨씬 부실함에도 불구하고 조직의 민감한 데이터에 접근할 수 있다. 일부 원격근무자가 악의를 갖거나, 혹은 부주의한 내부자로 돌변할 리스크가 더 높은 이유다.

포스트 코로나 시대 사이버 보안의 변화

지난해 3월 딜로이트 애널리스트는 코로나19 유행으로 ▲피싱 사기 급증 ▲원격 근무와 학습 관련 보안 리스크 증가 ▲물리적 보안 약점 노출 ▲사이버 범죄자 유입 증가를 예측했다.

전 세계 기업들은 원격근무 환경으로 만들기 위해 보안 시스템의 근본적 변화를 강구해야 했다. 그러나 당시 직원들은 보안상 안전하게 재택 근무할 준비가 되지 않은 상태였다. 결국 2020년 사이버 공격이 폭발적으로 증가했다.

바라쿠다와 센서스와이드가 기업 의사결정권자를 대상으로 실시한 설문조사에 따르면, 46% 기업이 재택 근무로 전환한 이후 최소 한 번 이상 사이버 공격을 경험한 것으로 나타났다. 그래서 사이버 보안 전문가들이 2020년을 ‘사이버 팬데믹의 해’라고 부른다.

한국의 코로나19 확진 사례는 감소세로 접어들었지만, 팬데믹 시대의 사이버 위협은 줄어들지 않았다. 가트너 설문조사에 따르면 47%의 기업 경영진은 앞으로도 직원들의 풀타임 재택 근무 를 유지할 계획이라고 답했다. 따라서 내외부의 사이버 공격 으로부터 조직의 데이터를 보호하기 위해 시스템을 더욱 확장 시키고 유연하게 만들어야 한다.

원격근무자 위협 4가지

재택 근무는 직원의 건강에 유익하며, 때로 기업에 경제적 혜택을 가져다 줄 수 있다. 그러나 내부자 관련 사이버 보안 리스크를 큰 폭으로 증가시킨다. 원격 근무자가 위협이 되는 4가지 이유는 다음과 같다.

외부 공격 취약성: 사무실 내에서는 방화벽·IPS, 안티 바이러스, 데이터 유출 방지(DLP), 보안정보 이벤트관리 시스템(SIEM) 등 여러 보안 시스템으로 보호되는 환경에서 근무한다. 재택·원격근무 시 보안이 부실한 개인용 기기를 사용하고 전용 보안 툴의 보호를 벗어난 상태에서 업무를 하게 돼 외부 공격에 높은 취약성을 보인다.
비보안 도구의 자의적인 사용: 원격 근무자는 데이터 공유, 동영상 회의, 문서 편집, 인터넷 검색 등을 위해 다양한 애플리케이션을 사용한다. 이러한 도구는 해커가 악용 할 수 있는 취약성을 포함하고 있을 수 있다. 직원이 라자루스 그룹의 공급망 공격 타깃인 위즈베라 베라포트(Wizvera VeraPort) 브라우저 플러그인을 사용할 수도 있다.
사이버 보안 교육의 부재: 모닝 컨설트와 IBM 시큐리티 설문조사에서 재택 근무자 45%가 재택 중 보안 관련 교육을 단 한 차례도 받아본 적이 없는 것으로 나타났다. 원격 근무자들은 본인도 모르는 사이에 보안 서버 데이터를 개 인용 노트북에 복사하는 등 민감한 데이터를 위험에 노출 시키게 된다.
민감한 데이터 악용 기회 증가: 재택 근무자의 활동에 대한 가시적인 정보가 현저하기 줄어들어 보안 책임자가 위협 을 감지하기 매우 어려워진다. 악의적 내부자는 이러한 상 황을 악용해 민감한 데이터의 도난이나 손상을 시도할 수 있다.

원격 근무자 위협 방지 4단계

내부자 위협 관리 소프트웨어 분야는 내부자를 탐지하고 차단하는 도구를 제공하는 거대하고 역동적인 시장이다. 내부자 리스크 관리 솔루션은 내부자 위협을 탐지, 차단 그리고 중지하는 역할을 한다.

내부자 위협을 방지하는 4대 주요 원칙은 다음과 같다.

1. 원격 사용자 활동 모니터링

사용자 활동 모니터링(UAM)은 내부자 위협을 방지하는 기 능으로, 사용자의 모든 행위를 동영상, 오디오 그리고 연속 스크린샷과 메타데이터 형식으로 기록한다. 가트너는 직원 모 니터링을 실시해 위협 발생시 적절하게 대응하도록 기업에 권고한다.

UAM은 과거에 탐지하지 못한 위협 조사에도 유용하다. 만약 보안 책임자가 사용자의 개인정보와 계정 정보를 빼내는 피싱 웹사이트에 대한 정보를 입수했다면, 모니터링 기록을 검색해 직원들의 피싱 웹사이트 접속 이력과 데이터 유출의 가 능성을 알아볼 수 있다.

UAM 솔루션을 선택할 때에는 다음 3가지 핵심 요소를 명 심해야 한다.

어떠한 메타데이터를 기록하는가
UAM이 메타데이터를 많이 기록할수록 보안 담당자는 의심행위의 상황정보(Context)를 더 많이 수집할 수 있다. 상황 정보는 보안 침해사고의 원인이 부주의인지 혹은 악의적인 시도인지 밝히는데 중요하며, 영향을 받은 데이터와 자원을 파악하고 사고로 인한 피해 산출에도 유용하다.

에크란 시스템은 스크린샷을 동반한 메타데이터와 같이 정황 정보가 풍부한 세션을 기록한다. 메타데이터에 포함된 키 스트로크, 열어본 파일 및 폴더 이름, URL, 활성화된 윈도우 타이틀, 실행된 명령어, 연결된 USB 기기 등 정보를 유용하게 활용할 수 있다.

내부자 위협을 경고하는가
기업이 모든 원격 사용자의 행위를 모니터링하고 보안 침해사고를 실시간으로 탐지하고자 많은 보안 담당자를 고용 하기는 불가능하다. 이것이 바로 UAM 솔루션에 보안 규칙을 내장해 경고 및 공지 기능을 제공하는 이유다. 보안 담당자가 규칙을 정하면, 모니터링 소프트웨어는 위반사항 발생 시마다 경고를 발송해 내부자 위협의 탐지 속도가 현저하게 빨라진다.

에크란 시스템은 침입을 감지하면 즉각 해당 온라인 사용자 세션 링크와 통지(Notification)를 발송한다. 보안 담당자는 수신된 세션 링크를 통해 보안 사고를 검토하고 신속하게 상황을 중단할 수 있다. 또한 보안 규칙을 위반한 사용자에게 경고 메시지를 발송해 교육 효과를 제고하고 부주의로 인한 보안 사고 발생 횟수를 감소시킨다.

모니터링 데이터를 어떻게 압축하는가
재택근무자 수가 많아질수록 모니터링 솔루션이 생성하는 데이터의 양도 증가한다. 가장 좋은 방법은 보안 사고 조사를 위해 최소 6개월간의 데이터를 보관하는 것이다. 규모가 큰 기업은 대용량 디스크 공간을 확보하거나 기록을 압축하는 소프트웨어를 선택해야 한다.

에크란 시스템은 스크린 샷의 마스터 이미지 저장이 가능한 압축 알고리즘을 제공한다. 또한 이미지를 암호화해 도난 상 황에서도 안심할 수 있고, 데이터를 보호된 파일 포맷으로 내보내기가 가능해 포렌식에도 유용하다.

2. 사용자 접근 관리로 위협 최소화

중요 데이터에 대한 통제 불능한 상황은 내부자 위협의 주요 원인 중의 하나다. 원격 근무자에게 업무에 필요한 접근권한만 허용하면 부적절한 사람이 조직의 중요한 데이터에 접근하는 상황을 차단할 수 있다. 민감한 데이터를 보호하는 동시에 사용자의 업무 흐름에 지장을 주지 않는 유연한 시스템을 구축하는 것이 사용자 접근권 관리에서의 난제다. 에크란 시스템은 보안 담당자에게 다음과 같은 접근관리도구를 제공해 어려움을 해결한다.

역할 기반 접근: 보안 담당자가 사용자를 배정하고 사용자 역할에 따라 접근권한을 부여하는 기능이다. 다수의 직원들이 유사한 직무를 담당하는 조직에서 특히 유용하다.
멀티팩터 인증(MFA): 재택 근무시 가족이나 친구와 기기를 공유하는 경우가 발생한다. 타인이 우발적으로 회사의 시스템에 로그인하거나 민감한 데이터를 조작하는 상황에서 MFA 기능은 리스크를 감소시킨다.
패스워드 관리자: 사회 공학적 공격이 급증함에 따라 원격 사용자의 계정 정보를 안전한 방식으로 처리하고 저장하는 과정이 한층 중요해지고 있다. 에크란 시스템은 패스워드 관리자 기능으로 계정정보를 자동 저장하고 취급해 도난 사고를 방지한다.
수동 접근 승인: 가장 취약하면서 중요한 데이터에 엄격한 접근 절차를 적용해야 한다. 에크란 시스템은 보안 담당자가 중요 데이터와 시스템에 접근 시 수동으로 승인하는 기능을 제공한다. 사용자는 접근 승인 요청을 할 때 해당 데이터가 필요한 사유를 설명하고, 보안 담당자가 승인 여부를 결정한다.

3. 내부자 위협에 실시간 대응

대응 시간은 내부자 위협 방지에서 가장 중요한 요소다. 위협을 조기에 탐지해 차단할수록 피해를 줄이고 후속 여파를 감소시킬 수 있다. 대부분의 기업은 내부자 위협의 신속한 탐지와 대응 부분에서 고전을 면치 못하고 있다. 포네몬 인스티튜트가 실시한 ‘2020 내부자 위협의 비용 보고서’에 따르면, 보안사고 통제에 평균 77일이 소요되는 것으로 나타났다.

앞서 언급했듯이 보안 규칙과 경고 기능이 탑재된 UAM 소프트웨어를 활용하면 보안사고에 신속하게 대응할 수 있다.

그 외에 다음과 같은 방식을 적용해 대응 시간을 보다 앞당길 수 있다.

자동 대응 기능을 갖춘 소프트웨어 활용: 내부자 위협 관리 소프트웨어는 의심스러운 행위를 발견하는 즉시 차단하고 보안 담당자에게 해당 상황에 대해 알리는 기능을 제공한다. 보안 담당자는 상황을 검토해 조사에 돌입하거나, 차단을 해지할 수 있다. 이와 같은 기능은 사이버 보안 침해 상황에서 최단 대응 시간을 보장한다. 오탐 방지를 위해서는 적절한 구성 작업이 필수다.
내부자 위협 대응팀 구성: 모든 종류의 내부자 위협에 대응하고 피해 경감을 위해 보안 책임자, 변호사, HR 전문가, PR 전문가 등 훈련된 대응팀을 조직한다. 내부자 위협 대응팀은 전문적인 역량과 권한이 필요하며, 관련 조사를 수행하고 향후 유사한 사고를 방지하기 위한 매커니즘을 실행한다.

4. 원격 근무자 교육

포네몬 인스티튜트의 ‘2020 내부자 위협의 비용 보고서’에 따르면, 내부자 위협 발생의 가장 흔한 원인은 직원이나 계약직의 부주의였다. 개인정보 담당자의 부주의로 데이터 유출사고가 발생했던 한국 기업은 ‘개인정보보호법’과 ‘정보통 신망 이용 촉진 및 정보보호 등에 관한 법률’ 불이행으로 3억 2700만원의 벌금을 납부했다.

최근 재택근무로 전환한 직원들이 보안 규칙에 대해 인지하지 않은 상태로 근무하면서 부주의로 인한 위협 야기 가능성이 상당히 커지고 있다. 다음과 같은 대응방안을 통해 리스크를 완화할 수 있다.

원격 근무 정책 실행: 근무자가 해야 할 일과 하지 말아야 할 일을 명시한 규칙을 실행한다. 원격 근무 직원 목록, 데이터 접근 규칙, 데이터 관리 프로세스와 절차 및 소프트 웨어를 포함시킨다.
원격 근무자를 위한 필수 사이버 보안 도구 제공: 원격 근무자들이 적절한 도구를 제공받지 못한다면, 스스로 선택한 사이버보안 소프트웨어를 사용하게 될 것이다. 각자 선택한 소프트웨어는 보안성이 충분하지 않을 수도 있고, 심지어 보안 소프트웨어를 전혀 사용하지 않는 직원들도 있을 것이다. 원격 근무자에게 VPN, UAM, 접근관리 및 기타 필요한 도구와 함께 사용 관련 지침까지 제공하는 것이 중요하다.
정기적인 직원 교육 실시: 직원들은 조직과 관련된 사이버 보안에 대한 위협에 대해 숙지하고, 핵심 규칙을 이해하며 준수하지 않았을 경우 발생할 수 있는 상황에 대해 명확히 인지해야 한다. 원격 근무를 시작하기 전에 해당 직원들이 교육과정을 통과하도록 해야 하며, 교육 이후에는 교육의 유효성을 평가하고 평가 결과는 차기 교육의 개선을 위해 활용해야 한다

직원들의 원격 근무는 다음과 같은 이유로 인해 조직에 내 부자 위협 리스크를 증가시킨다.

보호된 환경 밖에서 근무한다.
대다수 기업들이 안전한 원격 근무에 필요한 도구를 근무자들에게 제공하지 않는다.
다수의 원격 근무자가 사이버 보안 위협과 방지 방법에 대해 충분한 지식을 가지고 있지 않다.
보안 담당자가 활용할 수 있는 원격 근무자의 행위에 대한 가시적 정보가 부족하다.

상기 명시한 4가지 항목은 모두 완화하거나 통제 가능하다. 원격 근무자를 교육시키고 사용자 행위 모니터링과 접근 관리가 가능한 전용 보안 소프트웨어를 사용하면 보안 사고가 발생하더라도 신속하게 대응할 수 있다.

<번역:김종혁 코어스넷 대표이사>

데이터넷 다른기사 보기