기업을 상대로 한 사이버보안 위협은 해킹 등에 의한 외부 공격으로만 발생할까요? 사실 많은 보안 위협은 기업 내부자에 의해 발생되고 있습니다. 경찰청 국가수사본부의 발표에 따르면, 기업 핵심기술 유출 사건의 86%가 기업 내부자에 의해 발생했다고 하는데요. 이런 내부 정보 유출은 인식되지 않는 경우가 많아 더 큰 위험을 초래할 수 있습니다. 이렇듯 내부자에 의한 보안 위협이 커지고 있는 오늘날, 기업의 보안 강화는 필수가 됐습니다. 이번 글에서는 사이버 보안 위협 유형과 보안 강화 방법에 대해 알아보겠습니다.
사이버 보안 위협 유형
1. 내부자에 의한 위협 동향
[그림 2]의 경찰청 국가수사본부통계에서 알 수 있듯 해가 갈수록 정보 유출 사건은 늘어나고 있습니다. 그 중에서도 내부인에 의한 정보 유출 비율이 가장 높게 나온 것을 알 수 있는데요. 심지어 해당 통계는 적발된 경우만을 집계한 것으로, 인식하지 못하거나 검거하지 못한 수까지 합하면 그 사례는 더 많을 것으로 예상됩니다.
여기서, 내부인을 좀 더 구체적으로 정의해보겠습니다. [그림 3]에서 알 수 있듯 산업기밀 유출 관련자는 전ᆞ현직 직원이 86.4%로, 임직원에 의한 정보 유출이 대부분인 것을 확인할 수 있습니다. 고의적인 정보유출도 있지만 휴먼 에러(human error, 인간에 의해 의도치 않게 벌어진 것)도 있는데요. 예를 들어 메일 수신자 지정 실수, 출력물 관리 소홀, 생성형 AI의 정보 공개 범위 오인 등이 있습니다. 휴먼 에러의 경우, 보안 담당자가 이를 인지하고 교육을 통해 반복적인 실수를 막아야 합니다.
2. 유출 유형
그렇다면 내부자는 어떻게 정보를 유출하게 될까요? 업무 중인 직원들은 하루에도 수십 통이 넘는 메일을 발송하고, 자료를 출력합니다. 또한 저장매체에 자료를 담기도 하고, 재택근무를 하며 업무 자료를 열람합니다. [그림 4] 중소기업청에서 발표한 산업기밀 유출 관련 수법에서 알 수 있듯 산업 기밀 유출은 수많은 메일 중에 한 건, 다양한 출력물 사이에 한 장, 재택근무를 하면서 찍은 사진 한 장으로 문제가 되기도 합니다.
3. 기밀 유출의 영향
유출된 정보가 어디로 가는가에 따라 그 파급효과는 천차만별입니다. 때문에 불확실한 피해 규모를 예측하는 것보다 유출이 발생하지 않도록 조치를 취하는 것이 중요한데요. 한 건의 기밀 유출이 기업의 영속성을 위협할 수도 있기 때문입니다.
보안솔루션 허점과 대응 방안
1. 보안솔루션의 주요 허점
정보 유출은 데이터가 외부로 연결되는 모든 곳에서 발생할 수 있는데요. 이에 기업에서는 각 채널마다 다양한 보안솔루션을 도입하고 있지만, 유출 기법 역시 그에 따라 진화하고 있습니다. 단순 정형 자료에만 특화된 솔루션의 탐지를 피해 자료를 의도적으로 변조하거나 비정형자료로 변형해 유출하는 것이 그 예입니다. 또한 자료를 이미지로 캡처하거나 확장자를 변경하는 것, 키워드를 변조 혹은 삭제해 우회하는 것만으로도 기존 솔루션을 속이고 정보를 유출할 수 있습니다.
2. 보안솔루션의 허점 대응 방안
정보 유출 방지를 위해 나온 기존 솔루션들은 특정 키워드 기반의 규칙을 통해 정보 유출 위협을 탐지합니다. 문제는 이럴 경우 단순한 키워드 오타만으로도 보안 위협을 탐지하지 못할 수 있다는 점입니다. 또한 모든 경우의 수를 고려해서 감시를 하더라도 모니터링시간이 지나치게 길어져 결국 실시간 대응 이슈 및 비효율성 등의 문제로 이어질 수 있습니다.
이런 문제를 개선하기 위해 AI 기반 유출 방지 솔루션을 도입하는 것도 하나의 방법입니다. 글로벌 사이버 보안 기업 프루프포인트의 ‘2024 Voice of the CISO’ 보고서에 따르면, CISO 중 97%가 AI 기반의 보안 솔루션이 휴먼 에러 및 사이버 위협 대응력을 향상시킬 수 있다고 답했는데요. AI는 사람처럼 종합적인 판단을 내릴 수 있고, 키워드가 아닌 문맥을 분석해 더 효율적으로 정보 유출을 탐지하기 때문입니다. OCR(Optical Character Recognition, 광학 문자 인식), 번역 툴, 맥락 기반 문서 분류, 이미지 분석(도면/소스코드 여부 확인) 등 여러 세부 도구를 이용해 다양한 형태의 AI를 복합적으로 활용할 수 있습니다.
최근에는 행위 프로파일링을 통해 의심자를 도출하는 기술도 도입되고 있는데요. 팀과 개인의 시스템 사용 기록과 행동을 학습해 다른 사용 양상이 나타날 경우 위험도를 높여 모니터링하는 AI 기술입니다.
정보 유출 보안 Self-Check(모의 유출) List
현재 도입된 솔루션에 어떤 허점이 있는지 확인할 수 있는 모의 유출 시나리오가 있습니다. 방법은 간단합니다. 아래 시나리오의 내용을 개인의 메일로 발송했을 때, 유출로 탐지됐는지 확인해 보시면 됩니다.
1. 이미지로 캡처한 개인정보 유출 시나리오
2. 키워드 오타, 변형 후 유출 시나리오
3. 파일 확장자 변경 후 유출 시나리오
더 많은 모의 유출 시나리오가 필요하거나 정보 유출과 관련된 고민이 있으시다면 Secuxper@lgcns.com으로 연락해 보안 전문가의 도움을 받아 보세요!
글 ㅣLG CNS 보안/솔루션사업부 보안신기술팀 김상화