[데이터넷] ‘내부자 위험(Insider Risk)’은 내부 조직에서 발생하는 보안 위협을 의미한다. 재직 중인 임직원 뿐 아니라 외부 계약을 맺은 컨설턴트, 퇴사자, 비즈니스 파트너, 이사회의 일원 혹은 로그인 권한을 훔친 해커가 될 수도 있다.

전체 보안사고 중 30%가 내부자에 의해 발생하며, 민감한 파일의 17%에 모든 직원이 접근할 수 있어 권한 없는 사람의 무단 접근이 가능하다. 또한 고객들은 보안 위협을 일으키는 내부자들이 수단(접속·비밀정보), 방법(도구), 사내관련 데이터를 훔치는 기회가 있다는 것을 알고 있다.

기관·기업은 사용자 행위와 데이터에 대한 상관분석과 시나리오를 통해 내부 위험을 탐지, 대처하고 있다. 그러나 모든 보안솔루션들이 그렇듯이 세밀하게 설정하면 오탐이 발생하고, 수없이 발생하는 위험 로그 발생으로 인해 보안 담당자는 경보 피로를 호소하고 심각한 위협 신호에도 무감각해 진다. 또한 이상징후를 감지하더라도, 내부자 행동이 악의를 갖고 자료를 유출했다거나, 회사 내부 규정을 위반했다는 것을 입증하는 과정이 쉽지 않다.

에스에스앤씨가 국내 지사 역할을 하는 포스포인트의 ‘FIT(Forcepoint Insider Threat)’는 포괄적이고 세밀한 사용자 행위 가시성을 제공해 내부자 위협으로부터 자산을 보호할 수 있다. FIT는 15년 동안 미국 정보기관 및 정부 주요 기관과 글로벌 포춘 100대 기업에 도입돼 약 100만 대 이상 엔드포인트에 배포됐다.

우선순위 높은 위협 대응에 집중해 보안 효율성 향상 FIT는 탐지, 컨텍스트 제공, 보호, 식별, 수립의 단계로 데이터 유출을 탐지한다. 위협적인 사용자에게 자동으로 점수를 매기고, 우선순위를 지정해 수천 개의 위협행위조사 시간을 절약해준다. 이를 통해 해당 팀은 우선순위가 높은 작업에 집중할 수 있어 효율성 향상으로 이어진다. 또한 FIT는 부정할 수 없는 컨텍스트와 포렌식 증거를 제공함으로써 행위 조사 및 컴플라이언스를 간소화하여 준다.

커맨드 센터에서 위험 사용자를 식별하고, 광범위한 위험을 탐지하며 해당 패턴을 신속 정확하게 대시보드로 확인할 수 있다. 데이터 수집 시간과 구체적 수집 대상 등을 지정해 사용자 개인정보 수집 예외 처리도 가능하다.

사용자와 워크그룹 행위 기준에 대한 메타데이터 수집을 통해 향후 사용자의 비정상 행위 시 자동 감지, 포스포인트 DLP와 통합으로 신속 대응을 위한 포렌식 기능 제공, 경보 집계 기능 통해 위험 사용자 신속 식별 등의 기능을 제공한다.

포스포인트 FIT의 세부 기능은 다음과 같다.

● 분석적 사용자 행위 위험 평가 엔진

- 민감 데이터가 침해되거나 도난당하기 전, 사용자가 실수를 저지르고 있다는 조기 경고 신호를 얻는 데 필요한 시성을 제공한다.

- 위험 사용자 점수, 우선순위를 자동으로 매기고, 수천개의 경고를 조사할 시간과 노력을 절약한다.

- 가장 위험한 사용자를 식별하고, 광범위한 위험을 나타낼 수 있는 패턴이 확인 가능한 직관적 방법을 제공한다.

- 비디오 캡처·재생 기능은 의심 행위가 문제되기 전에 가시성을 제공한다.

● FIT가 내부자 위협 보호 제공

- 채널 전반에 걸쳐 어떤 행위가 정상적이며, 예상되는지를 이해할 수 있도록 개인·조직의 행위 기준을 설정한다.

- 잠재적 내부자 위협을 탐지하기 위해 개인의 의도적 혹은 비의도적 이상 행위를 검색한다.

- 매일 각 사용자에 대한 통합 사용자 위험 점수 제공 및 30일 리스크 트렌드를 표시한다.

- 위험 우선순위를 매겨 조사 과정을 간소화한다.

● 위험 행위 식별 기반 정책

- 운영자는 여러 개 혹은 연속된 행위를 기반으로 위험한 것으로 알려진 특정한 행위를 정의할 수 있다.

- PII·HIPAA 규정 준수 요구사항에서 IP 보호 및 제한된 멀웨어 탐지까지 광범위한 활동 모니터링할 수 있다.

- 운영자가 정의한 정책마다 위험점수를 달리할 수 있으며, 이러한 점수들은 모든 위험 점수에 반영된다.

- 운영자는 정책의 가중치를 수동으로 조정해 전체 위험점수에 대한 기여 수준을 조정할 수 있다.

● 위험 점수 기여자 시각화

매일 각 사용자에 대해 직관적인 차트가 생성돼 조사관이 어떤 유형의 활동으로 인해 높은 위험 점수를 받았는지 빠르게 이해할 수 있다.

● 데스크톱 비디오 재생

- 스크린샷 캡처와 재생 기능은 운영자에게 의심스러운 행위 발생 전후의 가시성을 제공한다.

- 비디오 정책은 사용자에게 발생한 위반사항을 확인시키고, 사용자의 고의성 여부 판단에 필요한 컨텍스트와 증거를 제공한다.

- 정보보호 담당자는 고위험 사용자의 데스크톱에서 일어난 행위를 비디오 재생을 통해 확인하고 의심스러운 행위를 파악할 수 있다.

● 행위 리뷰 타임라인과 추가 포렌식 상세내용

- 위협적인 사용자에게 자동으로 점수를 매기고, 우선 순위를 지정해 수천 개의 위협행위조사 시간을 절약해 준다.

- 위험 사용자와 확장 가능한 타임라인을 쉽게 드릴 다운 할 수 있으며, 사용자가 위험한 사용자로 되게 한 실제 행위를 보여주는 타임라인을 표시해준다.

- 녹화 및 재생은 사용자의 의도에 대한 가시성을 제공하며, 조사 과정을 간소화한다.

- 사용자 행위의 컨텍스트와 콘텐츠가 제공된다.

FIT는 내부자 위협 솔루션은 정보보호 분야에서 경력을 쌓은 도메인 보안 전문가 팀 주도 하에 개발돼 기존 솔루션과는 차원이 다르다. FIT는 내부자의 악의적이거나 우발적인 위협으로부터 데이터를 보호하도록 특별히 설계됐으며, 단일 제품으로 해당 기능을 모두 보유한 유일한 솔루션이다.