악의적인 내부자는 일반적으로 불만을 품은 현 직원 또는 액세스 자격 증명이 폐기되지 않은 불만을 품은 전 직원으로, 복수나 금전적 이득 또는 두 가지 모두를 위해 의도적으로 액세스 권한을 오용합니다. 일부 악의적인 내부자는 해커, 경쟁사 또는 국가 행위자와 같은 악의적인 외부자를 위해 '작업'하여 비즈니스 운영을 방해하거나(악성 프로그램 설치 또는 파일이나 애플리케이션 변조) 고객 정보, 지적 재산, 영업 비밀 또는 기타 민감한 데이터를 유출합니다.

최근 다음과 같이 악의적인 내부자에 의한 공격이 있었습니다.

• 코로나19 팬데믹이 시작될 무렵, 불만을 품은 의료 포장 업체 전 직원이 이전에 만든 관리자 계정을 사용해 가짜 신규 사용자 계정을 설정한 뒤 수천 개의 파일을 변경해 병원과 의료 기관에서 주문한 개인 보호 장비 배송을 지연하거나 중단했습니다 (ibm.com 외부 링크).
   

• 2022년 한 트위터 직원이 뇌물을 받고 사우디아라비아 왕국과 사우디 왕실 관리들에게 트위터 사용자의 개인 정보를 전송한 혐의로 체포되었습니다(ibm.com 외부 링크). 미국 법무부에 따르면 해당 직원은 “...반대 목소리를 표적으로 삼아 외국 정부의 요원으로 비밀리에 행동했다”고 합니다. 

부주의한 내부자는 악의적인 의도는 없지만 피싱 공격에 속아 시간을 절약하기 위해 보안 제어를 우회하거나, 사이버 범죄자가 조직 네트워크에 액세스하는 데 사용할 수 있는 노트북을 분실하거나, 조직 외부의 개인에게 잘못된 파일(예: 민감한 정보가 포함된 파일)을 이메일로 보내는 등 무지나 부주의로 보안 위협을 야기합니다.

2022 Ponemon 내부자 위협 비용 글로벌 보고서의 조사 대상 기업 중 내부자 위협의 대부분(56%)은 내부자의 부주의 또는 과실로 인해 발생한 것으로 나타났습니다.²

훼손된 내부자는 외부 위협 행위자가 자격 증명을 훔친 합법적인 사용자입니다. Ponemon 보고서에 따르면 훼손된 내부자를 통해 시작된 위협은 가장 비용이 많이 드는 내부자 위협으로, 피해자가 이를 해결하는 데 평균 804,997달러의 비용이 소요됩니다.³

내부자 유출은 내부자의 부주의한 행동으로 인해 발생하는 경우가 많습니다. 예를 들어, 2021년에 한 사기꾼은 소셜 엔지니어링 전술, 특히 보이스 피싱(비싱) 전화를 사용하여 거래 플랫폼 Robinhood의 고객 지원 시스템에 대한 액세스 자격 증명을 획득했습니다. 이 공격으로 500만 개 이상의 고객 이메일 주소와 200만 개 이상의 고객 이름이 도난당했습니다 (ibm.com 외부 링크).

내부자 위협은 완전히 자격을 갖춘 사용자, 때로는 권한이 있는 사용자에 의해 부분적으로 또는 전체적으로 실행되기 때문에 부주의하거나 악의적인 내부자 위협 표시 또는 행동을 일반 사용자 작업 및 행동과 구분하기가 특히 어려울 수 있습니다. 한 연구에 따르면 보안 팀이 내부자 위협을 탐지하고 차단하는 데 평균 85일이 걸리지만⁴, 일부 내부자 위협은 수년 동안 탐지되지 않았습니다 (링크는 ibm.com 외부).

내부자 위협을 더 효과적으로 탐지, 억제, 방지하기 위해 보안 팀은 다양한 기법과 기술을 결합합니다.

권한이 있는 모든 사용자에게 보안 정책(예: 비밀번호 보안, 민감한 데이터의 적절한 처리, 디바이스 분실 신고)과 보안 인식(예: 피싱 사기를 인식하는 방법, 시스템 액세스 또는 민감한 데이터 요청을 올바르게 라우팅하는 방법)에 대해 지속적으로 교육하면 부주의한 내부자 위협의 위험을 낮추는 데 도움이 될 수 있습니다. 교육을 통해 위협의 영향을 전반적으로 완화할 수 있습니다. 예를 들어, 2023 데이터 유출 비용 보고서에 따르면 직원 교육을 실시한 기업의 평균 데이터 유출 비용은 232,867달러로 전체 평균 유출 비용보다 5.2% 낮았습니다.

ID 및 액세스 관리(IAM)는 적절한 사용자와 디바이스가 적시에 적절한 이유로 액세스할 수 있도록 보장하는 방식으로 사용자 ID, 인증 및 액세스 권한을 관리하는 데 중점을 둡니다. (IAM의 하위 분야인 권한 있는 액세스 관리는 사용자, 애플리케이션, 관리 계정 및 디바이스에 부여된 액세스 권한을 보다 세밀하게 제어하는 데 중점을 둡니다.)

내부자 공격을 방지하기 위한 핵심 IAM 기능은 ID 수명 주기 관리입니다. 불만을 품고 퇴사한 직원의 권한을 제한하거나 퇴사한 사용자의 계정을 즉시 폐기하는 것은 내부자 위협의 위험을 줄일 수 있는 ID 수명 주기 관리 조치의 예입니다.

사용자 행동 분석(UBA)은 고급 데이터 분석 및 인공 지능(AI) 을 적용하여 기준 사용자 행동을 모델링하고 잠재적인 내부자 위협을 포함하여 신규 또는 진행 중인 사이버 위협을 나타낼 수 있는 이상 징후를 탐지합니다. (밀접하게 관련된 기술인 사용자 및 엔터티 행동 분석 또는 UEBA는 이러한 기능을 확장하여 IoT 센서 및 기타 엔드포인트 디바이스에서 비정상적인 동작을 탐지합니다).

UBA는 기업 전반에서 보안 관련 데이터를 수집하고 상호 연관 및 분석하는 보안 정보 및 이벤트 관리(SIEM)와 함께 자주 사용됩니다.

공격형 보안(또는 OffSec)은 악의적인 행위자가 실제 공격에서 사용하는 것과 동일한 전술인 적대적 전술을 사용하여 네트워크 보안을 훼손하지 않고 강화합니다. 공격형 보안은 일반적으로 윤리적 해커, 즉 해킹 기술을 사용하여 IT 시스템 결함뿐만 아니라 사용자가 공격에 대응하는 방식의 보안 위험과 취약성을 탐지하고 해결하는 사이버 보안 전문가에 의해 수행됩니다.

내부자 위협 프로그램을 강화하는 데 도움이 되는 공격형 보안 조치에는 피싱 시뮬레이션과 윤리적 해커로 구성된 팀이 조직을 대상으로 목표 지향적인 모의 사이버 공격을 수행하는 레드 팀 구성이 포함됩니다.