범죄형 내부자 사고 26%, 연간비용 410만 달러...디바이스 보안 관리 미흡 등으로 발생
데이터 손실방지, 접근 권한 및 제어, 사용자 행동 분석 등으로 보안 관리 및 강화해야
[보안뉴스 기획취재팀] 내부자 보안사고가 지난 2년간 크게 증가해 임직원 관리에 비상등이 켜졌다. 특히, 지난 2년 동안 코로나19와 급격한 디지털 혁신으로 인해 내부자 관리가 소홀해지면서 내부자 보안위협에 대한 보다 철저한 관리와 대응이 요구되고 있는 상황이다.
▲‘2022 내부자 위협의 비용 글로벌 보고서’ 중 내부자 사고 총계[자료=에스케어]
글로벌 정보보안업체 프루프포인트(Proofpoint)가 포네몬(Ponemon)에 의뢰해 작성한 ‘2022 내부자 위협의 비용 글로벌 보고서’에 따르면 내부자 사고 총계는 6,803건으로 연간 평균 총비용이 1,540만 달러에 달했다. 이 가운데 업무 과실과 관련된 사고는 56%이며, 과실에 의한 연간비용은 660만 달러로 집계됐다. 범죄형 내부자와 관련된 사고는 26%이며, 이에 대한 연간비용은 410만 달러로 조사됐다. 이어 자격 증명 절도와 관련된 사고는 18%이며, 이에 대한 연간비용은 460만 달러를 기록했다. 회사가 내부 보안사고 1건을 처리하는데는 평균 85일이 소요되며, 30일 이내에 해결된 사고는 12%에 불과했다.
응답자의 57%는 내부자 사고가 직원의 부주의와 관련이 있다고 말했고 51%는 악의적인 외부자가 내부자 자격 증명이나 계정을 도용해 데이터를 훔쳤다고 밝혔다. 데이터 손실 위험이 가장 큰 곳은 취약한 IoT 디바이스로 조사됐으며, 응답자의 63%는 관리되지 않는 IoT 디바이스로 인해 민감한 데이터의 손실 발생을 우려했다.
이처럼 대부분의 사고 원인은 직원과 계약자의 과실로 인한 사고 발생으로, 특히 디바이스 보안을 확실하게 관리하지 않거나, 회사의 보안정책을 따르지 않아 발생하는 것으로 조사됐다. 또한, 보안 패치와 업그레이드를 잊어버리는 등 다양한 원인도 함께 지목됐다.
악의적인 내부자는 유해하거나 비윤리적이거나 불법적인 활동을 위해 데이터에 접근하는 직원과 인증된 개인으로 파악됐다. 특히, 언제 어디서나 근무할 수 있는 디지털 환경 변화에 따라 더 많은 접근 권한이 부여돼 사고율을 높였다. 그러나 이보다 더 큰 문제는 외부 공격자나 해커보다 악의적인 내부자에 대한 탐지가 더 어렵다는 점이다.
▲어떤 내부자 사고에 대해 가장 우려하는지에 대한 설문조사 결과[자료=에스케어]
특히, 모든 유형의 내부자 위협 중에서 조직은 자격증명 탈취(절도)에 대해 가장 우려했다. 자격증명 탈취는 지난 연구에 비해 거의 2배 정도 증가했고, 응답자의 55%는 해커가 직원의 유효한 자격증명을 훔치는 것이 가장 우려된다고 응답했다.
가장 민감한 데이터는 직원의 이메일로 조사됐으며, 응답자의 65%는 직원이 PII(개인 식별 정보), IP(지적 재산), 기타 중요한 비즈니스 정보 등 조직의 가장 민감한 데이터를 저장하는 곳을 이메일이라고 밝혔다. 이러한 사실을 잘 알고 있는 악의적인 내부자는 회사 이메일을 사용해 민감한 데이터를 훔친다. 응답자 가운데는 악의적인 내부자가 외부자에게 민감한 데이터를 이메일로 보낸 다음 개방형 포트와 취약성을 스캔하고(응답자의 62%), 역할이나 직무와 무관한 민감한 데이터에 접근했다고(응답자의 60%) 말했다.
이에 따라 조직의 위험 신호로 △업무와 관련된 법률, 의무 사항 또는 규제 요구 사항과 조직의 보안에 미치는 영향 등에 대한 직원교육 미흡 △직원들이 사용 중인 디바이스(회사 지급 및 BYOD 모두)의 보안조치 미흡 △높은 수준의 기밀 데이터를 클라우드의 안전하지 않은 위치로 전송 △직원들이 업무 단순화를 위해 조직의 보안정책 위반 △디바이스와 서비스의 최신 버전 패치와 업그레이드 미적용 등이 지목됐다.
이처럼 내부자 보안위협에 대응하기 위한 시간과 비용이 증가함에 따라, 사용자 위협 행위 탐지 도구와 보안 오케스트레이션, 자동화 및 응답(SOAR)과 같은 고급 기술이 내부자 보안위협을 줄이는데 더욱 중요해지고 있다. 내부자 보안위협을 탐지하기 위한 사용자 위협 행위 탐지 도구는 내부자 위협을 줄이는 데 필수적이거나 매우 중요한 것으로 간주되고 있다.
▲내부자 보안위협의 세 가지 근본 원인의 비용을 줄이는데 사용되는 기술[자료=에스케어]
내부자 보안위협의 세 가지 근본 원인의 비용을 줄이는 데 사용되는 기술로는 DLP(데이터 손실 방지) 64%, PAM(권한 있는 액세스 관리) 60%, UEBA(사용자 및 엔터티 행동 분석) 57%, SIEM(보안 정보 및 이벤트 관리) 53%, EDR(엔드포인트 탐지 및 대응) 50%, ITM(내부자 위협 관리) 41%, 기타 3%로 나타났다.
프루프포인트(Proofpoint) 전문 파트너인 에스케어 윤우희 부사장은 “최근 재택근무의 활성화, 클라우드 인프라 도입의 증가로 인해 정보 유출의 가능성이 더욱 높아지고 있다. 특히, 기존 보안기술에 대한 이해도가 높은 일부 직원들이 적용된 DLP 기술을 우회하는 정보 유출을 시도해 내부자 위협관리의 필요성이 부각되고 있는 상황에서 첨단 산업군의 지적재산권 가치가 높은 기업들이 ITM(내부자 위협관리) 솔루션을 적극적으로 도입하고 있다”고 전했다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>