[데이터넷] 스플렁크 조사에 따르면 39%의 기업이 내부자로 인해 사이버 보안 피해를 입은 것으로 나타났다. 전 세계를 놀라게 했던 랩서스도 내부자 계정을 이용해 접근한 것으로 알려진 다. 팬데믹이 끝나가면서 내부자 위협이 기승을 부리고 있는 데, 보험사 직원이 고객 개인정보를 흥신소에 팔아넘긴 사건 이 드러났으며, 공무원이 개인정보를 유출한 사고가 잇달아 발견되기도 했다.
내부자에 의한 보안사고는 쉽게 탐지되지 않는다. 권한 내에서 접근하고, 허용되는 범위만큼 정보를 수집해 빼돌리기 때문이다. 권한 내에서 이뤄지는 비정상 행위를 포착하기 위해 사용자 엔티티 행위분석(UEBA) 기술이 제안되지만, 내부자 위협 사례를 정확하게 파악하는 것은 어렵다.
예를 들어 업무시간 외에, 늘 일하던 곳이 아닌 다른 장소에서 중요 시스템에 접근하는 시도가 발견됐다면 이는 이상 접근으로 파악해야 한다. 그런데 비상상황이 발생해 원격 지에서 급하게 접근해야 했다면 이상접근이 아니다. 고객정보 유출 사고가 발견되고 이를 조사해 보니, 해당 담당자가 정상 업무 범위의 한계치까지 개인정보를 수집해 장기간 빼 돌린 것이었을 수 있다. 비정상적인 접근이지만 정상 업무 일 수 있고, 정상 업무 범위의 행위지만 비정상 행위일 수도 있다.
내부자에 대한 정의도 새롭게 정립해야 한다. 아웃소싱 직 원, 특정 프로젝트를 위해 중요 시스템에 접근할 수 있는 협력업체 직원, 대고객 서비스에 접근할 수 있는 고객 등 회사에 속해있지 않지만 중요 시스템과 애플리케이션에 접속할 수 있는 사람들을 모두 내부자라고 할 수 있다. 클라우드 서 비스 사업자, IoT 기기도 넓게보면 내부자에 속한다.
배환국 소프트캠프 대표는 “사용자가 어느 조직에 속해있는지 만으로 내부자를 가르면 안된다. 비즈니스가 운영되는 IT 시스템, 애플리케이션, 데이터에 접속할 수 있는 모든 사람과 기기가 내부자에 속한다”며 “내부자의 정의를 확장시키고, 그에 맞는 보안 정책을 수립해야 한다”고 말했다.
클라우드 지원 탑재하며 진화하는 DRM
내부자에 의한 피해는 주로 데이터 유출 사고로 이어진다. 고객정보, 영업정보 산업기밀정보가 내부자에 의해 유출되고, 이를 통해 금전적 수익을 얻게 된다. 그래서 집안에 환자 발생 등 큰 돈이 필요한 사람이나 갑자기 돈 씀씀이가 커진 사람을 주의 깊게 살펴보라는 것이 내부자 위협 탐지의 방법으로 제안된다. 이 같은 단편적인 정황만으로 내부자를 의심하는 것은 정확하 지 않으며, 직원들의 반발을 일으킬 뿐 아니라 법 위반의 소지도 있다.
내부자 위협으로부터 데이터를 보호하는 가장 안 한 방법은 암호화다. 암호화는 키가 없으면 데이터의 의미를 알 수 없기 때문에 외부로 유출된다 해도 안전 하다. 그래서 우리나라에서는 정형화된 중요 데이터를 암호화할 뿐 아니라 DRM을 이용해 업무 문서까지 암호화했다.
DRM은 애플리케이션 후킹 방식을 사용하기 때문에 엔드포인트 장애가 심하고, 애플리케이션·OS 종속성 이 높아 사용이 매우 불편하다. 특히 윈도우10이 후킹 방식을 사용하는 보안 솔루션에 대한 기술지원을 중단한다고 선언해 DRM 사용처가 줄어들고 있다.
이에 DRM 기업들은 DRM이 사라지는 것이 아니라 진화하고 있다고 반박한다. DRM 기업들은 여전히 많 은 기업·기관이 DRM을 확대 도입하고 있으며, DRM 기술을 진화시켜 애플리케이션 종속성을 낮추고 자동으로 업무환경에 최적화하고 있다고 강조한다.
또한 DRM을 걷어내는 기업의 차세대 데이터 보호 사업을 보면, 중요 문서는 클라우드 서비스 기업에서 제공하는 비정형 데이터 암호화 기술을 사용하도록 하고 있다.엄밀히 말해 DRM을 걷어내는 것이 아니며 오히려 완성도가 떨어지는 DRM을 사용해 업무에 불편하게 하고 보안성을 약화시킨다고 지적했다.
배환국 소프트캠프 대표는 “하이브리드 업무 환경에 서 보안의 경계가 사라지면서 데이터, 특히 문서 파일의 보안 문제가 대두되고 있다. 전통적인 보안 경계 밖에서 유통되는 문서를 통제하지 못하기 때문에 고객정 보·기밀정보 관리가 한층 더 어려워졌다”며 “임직원과 파트너, 아웃소싱 직원 등 데이터에 접근할 수 있는 다양한 사람들이, 클라우드·하이브리드 업무 전반에서 사용하는 문서·데이터를 가시화하고 일관된 통제를 적용하기 위해서는 DRM 기술이 반드시 필요하다”고 말 했다.
소프트캠프는 문서 라이프사이클에 맞춰 암호화 와 보호를 지원하는 DRM 솔루션 ‘도큐먼트 시큐리 티’와 클라우드에서도 DRM을 적용하는 ‘실디알엠 (ShielDRM)’, 클라우드 스토리지 파일과 파일명을 암 호화·난독화하며, 암호화 해제 없이 협업 툴에서 문서의 열람·편집·공동편집이 가능하도록 하는 ‘실드라이브(ShielDrive)’, 안전한 보안 협업을 지원하는 ‘실드셰어(ShieldShare)’, 문서분류와 유통의 가시성을 제 공하는 ‘인포리니지(InfoLineage)’ 등을 제공한다.
더불어 소프트캠프는 하이브리드 업무 환경의 안전 하고 편리한 접속을 통해 원격 근무자에 의한 정보유출과 해킹위협을 막을 수 있는 제로 트러스트 네트워크 액세스(ZTNA) 기술도 소개한다. 원격 브라우저 격리(RBI) 기술과 콘텐츠 무해화(CDR) 기술을 이용하는 ‘실드게이트(ShieldGate)’는 브라우저만으로 원격지에서 안전하게 접속하도록 한다. 격리된 환경에서 애플리케이션을 열어볼 수 있게 해 사용자의 감염된 디바이스가 애플리케이션에 영향을 미치지 않게 한다.
단일 플랫폼서 모든 데이터 가시화·보호
암호화가 가장 안전한 데이터 보호 방법인 것은 맞지만, 모든 데이터를 암호화하는 것은 비효율적이다. 암호화는 컴퓨팅 리소스를 많이 사용하고, 암·복호화에 시간이 많이 걸리며 키관리를 철저하게 하는 것이 쉽지 않기 때문이다. 그래서 관리해야 하는 데이터를 모두 식별하고, 중요도와 환경에 따라 보안 정책을 적용하며 정책 위반이나 불법 유출을 막는 데이터 관리 방안이 필요하다.
이러한 관점에서 DLP 솔루션이 차세대 기술로 진화하고 있다. DLP는 현재 단독 솔루션으로 사용되기 보다 다른 솔루션에 옵션 기능으로 포함되고 있다. 특히 클라우드 보안 솔루션인 CASB나 웹 보안 솔루션 SWG, 시큐리티 보안 엣지(SSE) 등에 포함돼 하이브리드 환경 전반의 보안을 강화하는 방법으로 사용된다.
대표적으로 동훈아이텍이 제공하는 스카이하이시큐 리티는 ‘데이터 인지 클라우드 보안’ 플랫폼을 지향하며, 컨텍스트 기반 데이터 보호 기능을 SSE 플랫폼에 적용해 모든 상황에서 데이터를 안전하게 보호하도록 한다.
DLP 전문 솔루션도 국내 고객에게 적극적으로 제공 되고 있다. 동훈아이텍이 제공하는 디지털가디언은 단일 플랫폼에서 데이터 관리와 보호를 지원하는 전문 DLP를 지향하면서 발전하고 있다. 디지털가디언은 EDR 기술을 접목한 데이터 보호 플랫폼으로, 엔드포인트의 위협을 탐지·대응하면서 중요정보 유출을 방지하고, 데이터의 가시성 확보와 체계적인 관리가 가능하다.
디지털가디언은 기업에서 관리하는 모든 문서를 자 동으로 검색하고 영업비밀, 지적재산 성격에 따라 자동 분류한다. 스테가노그라피와 같은 안티 포렌식 기술도 사전에 탐지·제어하며, 데이터 유출과 불법적인 위변 조를 막는다.
직원 보호 위해 제로 트러스트 도입해야
내부자 위협 방어를 위해 제로 트러스트 원칙의 보안 정책을 수립해야 한다. 그런데 제로 트러스트의 ‘신뢰하지 않는다’는 전제가 직원들에게 부정적으로 인식될 수 있기 때문에 ‘직원을 보호하기 위해 제로 트러스트를 도입한다’고 접근관점을 다르게 할 필요가 있다.
예를 들어 침해사고가 발생했을 때 침해가 시작된 직 원의 PC가 직원의 실수로 인해 감염됐는지, 고의로 침해를 일으켰는데, 실수로 인한 감염이라면 보안정책을 위 반해서 발생한 실수인지, 아니면 정교한 지능적 공격에 의해 발생한 것인지 알아내야 한다. 침해에 악용된 직원의 계정이 사용자도 모르게 탈취됐거나 다른 개인정보 유출 사고로 인해 유출됐을 수도 있지만, 직원이 공격자 에게 적극적으로 자신의 계정을 제공했을 수 있다.
직원이 고의로 침해를 일으켰는지, 어쩔 수 없이 공격을 당했는지 입증할 책임을 직원에게 지워서는 안 되며, 기업이 해당 사실을 파악할 수 있어야 한다. 그래서 제로 트러스트 원칙으로 지속적으로 직원 본인이 맞는지, 권한 내에서 정상적으로 업무를 하는지 확인하고 모니 터링한다는 사실을 직원들이 받아들일 수 있어야 한다.
정상 권한의 비정상 행위 탐지해야
만일 계정을 탈취한 공격자가 접근했다면, 공격자는 내부 시스템을 정확하게 파악하지 못하기 때문에 어떤 시스템이 중요한지 몰라 여러 시스템으로 접근을 시도한다.
해당 시스템 접근 계정을 확보한 상태가 아니기 때문에 미리 수집한 계정정보나 다른 시스템 해킹을 통해 입수한 계정정보를 이용해 접근을 시도한다. 평소에 접근하지 않던 계정이 권한 없는 시스템에 여러 차례 접 속을 시도하고, 이상한 계정이 생성되고 권한이 상승된다면 이상한 정황으로 파악할 수 있다.
정상 권한 내에서 진행되는 의심행위라도, 이상정황을 파악하는 것이 불가능하지 않다. 하루 50~80개 정 도 개인정보에 접근하는 사람의 이상행위 판단 기준이 하루 100개 이상 개인정보에 접속하는 것이라면, 공격자 혹은 고의를 가진 사용자는 매일 99개의 개인정보에 접속해 개인정보를 빼돌려 임계치 기반 탐지를 피한다.
이 같은 정상행위에서 비정상 행위를 탐지하는 기술로, UEBA, SIEM, NDR 등의 모니터링 시스템이 제안 된다. NDR 솔루션의 대표주자는 쿼드마이너다. 쿼드 마이너의 네트워크 ‘블랙박스’는 실시간 네트워크 풀 패킷 분석, 위협 헌팅, 포렌식 조사 등 다양한 분석 기 능으로 내부자의 이상행위를 정확하고 빠르게 찾아낼 수 있다.
스플렁크의 경우 다양한 시스템에서 위협 정보를 수집, 분석하고 위협을 조사하는 데이터 플랫폼으로 내 부자 위협에 대응한다. 스플렁크는 SIEM 솔루션 ‘엔터프라이즈 시큐리티(ES)’로 내부자 위협에 대응한 다. 이 솔루션은 보안 상태 평가, 모니터링, 경고, 침해분석과 대응, 이벤트 상관관계 분석을 지원하며, SOAR를 통해 자동화된 대응이 가능하도록 한다.
또한 매니지드 클라우드 서비스 ‘스플렁크 어시스트’, ‘이상탐지 어시스턴트’, 엔터프라이즈 시큐리티 리스크 기반 경고 기능을 활용해 제로 트러스트 방식으로 보안을 운영할 수 있게 한다.
최원식 스플렁크 코리아 지사장은 “제로 트러스트의 기본 원칙은 데이터가 어디있든지 안전하게 보호하고, 합법적인 사용자와 기업만이 리소스와 자산에 접속하 도록 하는 것”이라며 “제로 트러스트를 위해서는 접속을 요청을 한 사람, 그리고 요청이 어떤 장치에서 발생하는지 파악한 다음 해당 요청을 애플리케이션 또는 자산별로 접속 정책에 매핑해야 한다. 자동화된 이 과정을 스플렁크가 지원해 자동화되지 않은 이상행위를 정확하게 파악하고 대응한다”고 말했다.
XDR·적응형 인증 결합해 내부자 위협 식별
SIEM은 로그를 분석하는 시스템으로 사고 후 조사 증거로 사용될 수 있지만, 실시간 이상정황을 파악하 는데 한계가 있다. 로그만으로 파악되지 못하는 이벤트가 다수이며, 이종 시스템에서 발생하는 로그를 수 집하는데도 한계가 존재한다.
그래서 EDR, NDR, XDR, SOAR, UEBA, TI를 모두 통합해 자동 대응하는 XDR 플랫폼으로 내부자 위 협까지 대응하도록 한다. 각 시스템에서 발견된 이상 정황을 수집·분석해 각각의 행동을 연결시켜 어떤 위협이 발생했는지 알아보는 방식을 택할 수 있다.
RSA는 XDR과 적응형 인증 기술을 통해 더 정밀한 위협 대응이 가능하다고 강조한다. RSA XDR ‘넷위트니스 플랫폼’은 엔드포인트, 로그, 넷플로우, 패킷, 사용자 엔티티 행위, 클라우드, 위협 인텔리전스 정보를 모두 수집해 연계분석한다. 내장된 SOAR 기능을 통해 SOC를 효율화할 수 있다. 차세대 인증 기술 시큐 어ID를 함께 사용하면 더 강력한 내부자 보안이 완성된다. 시큐어ID는 컨텍스트 기반 적응형 인증 기술을 제 공할 수 있으며, OTP, MFA, FIDO 등 다양한 인증 요건을 모두 충실히 만족시킨다.
