그들은 친구, 동료, 지인이며 때로는 경쟁자일 수도 있다. 그들은 가족보다 더 많은 시간을 함께 보내는 사람들이다. 그들은 우리의 동료이자 직원이다. 또한 그들은 우리의 가장 큰 사이버 보안 취약점이기도 하다.

직원, 계약자 또는 기업의 데이터 및 IT 인프라에 직접 액세스할 수 있는 사람을 포함하는 내부자 위협은 모든 부문의 모든 기업에게 심각한 위험이 되고 있다.

버라이존(Verizon)의 최신 데이터 침해 조사 보고서에 따르면 모든 데이터 침해의 거의 3/4은 인적 요소와 관련되어 있다. 사회공학적 공격, 오류, 오용으로 인해 정보 보안과 개인정보가 침해되고 있다. 데이터 침해의 평균 비용은 지난 3년 동안 15% 증가해 450만 달러에 달하며, 기업들은 이와 관련해 방어 태세를 개선해야만 한다.

다행스럽게도 내부자는 기업의 가장 중요한 사이버 보안 위협이지만 가장 해결 가능한 문제이기도 하다. 내부자 위협의 위험을 완화하기 위해 모든 기업은 사전 예방적이고 실용적인 조치를 취해야 한다.

하지만 많은 조직들이 내부자 위협 방지에 대한 사전 예방적 접근 방식을 종종 간과한다는 것이다. IBM의 연구에 따르면, 기업의 51%가, 애초에 침해를 방지하기 위해서가 아니라, 침해를 경험했기 때문에 사이버 보안 투자를 늘릴 계획을 한 것으로 나타났다.

다음은 기업이 사이버 보안 및 데이터 개인정보 보호에 대해 더 전략적인 접근 방식을 취하는 데 도움이 되는 내부자 위협 방지 입문서라 할 수 있다.

일부 내부자는 자신이 문제라는 것을 모른다

우발적인 위험도 엄청난 결과를 초래할 수 있으므로 모두가 내부자 위협으로부터 기업을 보호하는 역할을 한다. 실제로 대부분의 내부자 위협은 우연히 일어난다. 대부분의 직원은 개인정보를 침해하거나 사이버 보안을 훼손할 의도가 없다. 그러나 그들의 무지나 과실로 인해 위험에 처하게 된다.

예를 들어, 사람들은 자신의 계정 비밀번호가 온라인 자산의 자물쇠이자 열쇠라는 것을 알고 있다. 하지만 ‘123456’과 ‘password’는 여전히 가장 일반적인 비밀번호이며 세계에서 가장 일반적인 비밀번호 중 83%는 1초 이내에 해독될 수 있다.

마찬가지로, 많은 직원들은 데이터를 훔치고, 맬웨어를 설치하고, 로그인 자격 증명을 손상시키는 악성 메시지인 피싱 사기를 식별할 준비가 되어 있지 않다. 조직의 84%는 작년에 적어도 한 번 이상의 성공적인 피싱 사기를 경험했다고 말했다. 피싱 사기 빈도가 증가하고 생성AI가 훨씬 더 설득력 있는 사기를 촉진할 것으로 예상됨에 따라 우발적인 내부자가 데이터 개인정보 보호 및 사이버 보안에 실질적인 위험을 초래하고 있다.

우발적인 내부자로부터 조직을 보호하려면 사이버 보안 모범 사례에 대한 교육을 실시하고, 직원의 결정을 조정하기 위한 가드레일을 구현하며, 실수로 유해한 결정으로부터 직원과 기업을 보호하는 소프트웨어 솔루션을 활용하는 것이 좋다.

불확실성으로 인해 악의적인 내부자들이 행동에 나설 가능성이 높아진다.

대부분의 내부자 위협은 우발적이지만 일부 직원은 의도적으로 신뢰할 수 있는 상태를 활용해 기업의 자산을 훔치려는 악의적은 접근 방식을 취할 수 있다.

악의적인 내부자는 다양한 요인에 의해 동기 부여가 된다. 미국 사이버보안 및 인프라 보안국(U.S. Cybersecurity and Infrastructure Security Agency)은 악의적인 내부자들이 개인적인 불만, 인식 부족 또는 해고 등 개인적인 이유 때문에 고용주를 방해할 수 있다고 지적한다. 많은 사람들이 재정적 동기를 갖고 있는 반면, 공군 주방위군 잭 테세이라(Jack Teixeira)와 같은 사람들은 자부심이나 자기 홍보에 대한 이유로 조직의 비밀을 폭로하기도 한다.

악의적인 내부자를 차단하는 것은 매우 어렵다. 탐지하기가 어렵고, 적절한 엔드포인트 데이터 손실 방지 기능이 마련되지 않은 경우 조치를 취하기에는 너무 늦은 경우도 많다.

따라서 내부자의 피해 행위를 식별하고 예측하기 위해 행동 분석을 구현하는 것이 좋다. 이는 보안 위반 가능성에 대한 조기 경고 신호 역할을 해 비정형 행동을 파악할 수 있다.

이와 동시에, 직원들이 의심스러운 활동을 보고하도록 동기를 부여하는 투명한 기업 문화를 조성하는 것은 위협을 조기에 탐지하는 데 매우 중요하다. 여기에는 내부 고발자 보호 시행, 조직 결정의 투명성 유지, 직원이 감사함을 느끼도록 하는 것이 포함될 수 있으며 이는 내부자 위협의 위험을 완화하는 효과적인 조치다.

모두가 디지털 방어에 참여해야 한다

하향식 계획은 효과적인 내부자 위협 방지 방안이 될 수 없다. 조직의 규모에 관계없이 사이버 보안팀과 CISO만으로는 회사를 안전하게 지킬 수 없다.

모든 구성원이 내부자 위협 예방에 참여해야 한다.

리더의 경우 최신 위협 동향에 대한 인식과 이러한 추세에 노출되는 것을 완화하기 위한 모범 사례를 지속적으로 업데이트해야 한다. 이를 위해 정책을 업데이트하고, 새로운 기술 도구를 통합하며, 보안 문화를 조성해야 한다.

또한 직원들이 최신 사이버 보안 문제를 식별하고 대응할 수 있도록 준비해야 한다. 시의적절하고 적절한 교육과 자원을 제공하며, 구성원들이 사이버 보안에 대한 책임감을 느끼고 피해를 줄이기 위한 조치를 취할 수 있는 환경을 조성해야 한다.

실제로 일반적인 사이버 보안, 특히 내부자 위협 방지는 모두가 조직의 보안에 참여해야 하는 팀 플레이다.

지금은 행동할 때다

사이버 보안 전략은 잠재적인 위협에 대한 노출을 줄이거나 제거하여 비용이 많이 들고 결과적인 사고가 발생하기 전에 예방하는 경우에만 유용하다. 대부분의 사이버 보안 실패는 조직의 내부자가 어느 정도 관여하기 때문에 조직의 방어 태세를 개선하기 위해 내부를 살펴보아야 한다.

사이버 보안 사고로 인해 조직의 중요한 수익과 힘들게 얻은 평판이 손실될 때까지 기다리지 말고, 지금 행동해야 한다.

*필자 아이작 코헨(Isaac Kohen)은 내부자 위협 관리, 데이터 손실 방지, 사용자 행동 분석을 기반으로 하는 생산성 최적화 솔루션을 제공하는 테라마인드(Teramind)의 창립자이자 CTO다. 기업, 정부 및 SMB에 서비스를 제공하는 테라마인드는 전 세계 1만 개 이상의 조직에 위험을 줄이고 생산성을 높이며 비즈니스 운영을 효율화하는 실행 가능한 데이터 기반 인력 통찰력을 제공했다.

(*이 칼럼은 GTT KOREA의 편집 방향과 다를 수 있습니다.)