사이버 공격은 ‘내부자’를 노린다... 어느새 대세가 된 내부자 위협
[설문조사] 내부자 위협 중 가장 위험한 것은 금전적 이득 등 명확한 목적 가진 내부자
내부자 위협 대응 솔루션 전문기업 집중분석: 네오아이앤이, 안랩, 넷앤드, 위즈코리아, 마크애니

[보안뉴스 원병철 기자] 2025년 11월 쿠팡의 해킹 사건이 알려지고, 정부가 3370만건의 개인정보가 유출된 것으로 발표하면서 사건의 파문이 일파만파 번졌다. 특히 정부와 쿠팡이 강대강으로 맞서고 미국이 개입하면서 단순 해킹 사건을 넘어 국제적, 정치적 문제로 커졌고, 해킹 이슈는 뒤로 밀렸다. 하지만 실제 보안 담당자들은 이번 사건이 SKT 해킹 사건 못지않은 보안 이슈로 보고 있다. 그동안 외부 해킹에 초점이 맞춰졌던 것과 달리 이번 사건은 대표적인 ‘내부자 위협’으로 자리매김했기 때문이다.


쿠팡의 해킹 사건은 △2025년 6월 24일 시작됐다. 퇴사한 중국인 전 직원이 탈취한 ‘JWT 서명키’를 이용해 쿠팡 서버에 몰래 접근했다. 이후 △11월까지 5개월간 고객 이름, 주소, 전화번호, 이메일, 주문 정보 등이 무제한으로 조회됐다. △11월 16일 일부 고객들이 ‘비밀번호를 알고 있다’는 내용의 이메일을 받기 시작했고, △11월 18일 고객 민원과 트래픽 이상 징후를 통해 쿠팡 보안팀이 침해 사실을 알게 됐다. △11월 19일 쿠팡은 경찰청 사이버수사대에 ‘약 4500건의 계정 정보’가 노출됐다며 신고했으며, △11월 30일 과기정통부와 개인정보위 등이 포함된 ‘민관합동조사단’이 구성돼 현장 조사를 실시했다. 그리고 △2026년 2월 10일 이름과 이메일 등 3367만건 유출이 확인됐으며, 배송지 목록 1억4000만건이 조회된 사실이 있다는 내용의 정부 조사 결과가 발표됐다.

이번 사건에서 유출된 것으로 알려진 개인정보는 ‘고객 이름’, ‘주소’, ‘전화번호’, ‘이메일’, ‘공동 현관 비밀번호’, ‘최근 주문 내역’ 등이었으며, 카드나 계좌 등 결제 정보는 포함되지 않은 것으로 파악됐다.

이번 쿠팡 해킹 사건은 2011년 발생한 네이트·싸이월드 해킹 사건(3500만건 유출)에 이어 두 번째로 큰 역대급 규모이며, 전자상거래 분야에서는 가장 큰 사건이다. 전자상거래 분야의 특성상 대한민국 경제활동 인구 대부분이 포함된 것으로 알려져 네이트·싸이월드 해킹 사건과는 또 다른 충격을 주고 있다.


내부자 위협, 합법적 접근 권한 뒤에 숨어있는 공격자
쿠팡 해킹 사건에서 가장 이슈가 된 것은 바로 ‘내부자 위협’(Insider Threat)이다. 내부자 위협은 조직의 데이터와 시스템, 그리고 시설에 합법적인 접근 권한을 가진 사람(예를 들면, 직원, 계약업체, 파트너 등)이 그 권한을 남용해 조직에 해를 끼치는 보안 위협을 말한다.

안랩은 이를 합법적인 접근 권한을 가진 사용자, 또는 그 권한이 악용되는 과정에서 조직의 자산과 데이터가 유출·변조·오남용될 수 있는 모든 위험을 포괄하는 개념으로 봤다. 임직원뿐 아니라 퇴직자, 협력업체 인력, 그리고 정상 계정을 탈취해 활용하는 공격자까지 포함된다는 것. 결국 내부자 위협의 핵심은 ‘누가 접근했는가’라는 신분의 문제가 아니라 정상 권한처럼 보이는 접근이 실제로 어떤 행위를 하고 있는가에 있다는 설명이다.

내부자 위협은 크게 3가지 유형이 있는데, 첫 번째는 ‘악의적 내부자’(Malicious Insider)로, 실제 내부자가 의도적으로 정보를 유출하거나 시스템을 파괴하는 것을 말한다. 예를 들면, 금전적 이득을 얻기 위해 정보를 팔거나, 조직과 임직원과의 마찰로 인해 악감정을 가져 시스템을 파괴하는 경우를 들 수 있다.

두 번째는 ‘부주의한 사용자’(Negligent Insider)로 보안 규정을 어기거나 실수로 위협을 초래하는 경우를 말한다. 즉, 악의적인 목적은 없지만 단순 실수나 보안 규정을 쉽게 여겨 문제를 만드는 경우다. 회사 기밀이 담긴 노트북이나 USB를 분실하거나 피싱 메일을 열어 악성코드에 감염되는 등의 실수가 큰 문제를 만든다.

세 번째는 ‘권한 도용자’(Imposter Insider)로 외부 공격자가 내부자의 계정 정보를 탈취/습득해 내부자인 것처럼 활동하는 경우를 말한다. 이 경우 시스템은 알 수 없기 때문에 탐지가 매우 어렵다. 쿠팡 사건의 경우 바로 첫 번째인 악의적 내부자 유형이라고 볼 수 있다. 아직 수사가 진행 중이기 때문에 정확한 판단을 내리기 어렵지만, 퇴사한 임직원이 악의적 목적을 갖고 내부 시스템에 접근해 내부 정보를 탈취했기 때문이다.

쿠팡뿐만 아니라 최근 발생한 보안 사고를 살펴보면, 외부 시스템을 직접 공격하기보다는 정상 계정을 탈취하거나 관리되지 않은 계정을 악용해 내부 시스템으로 확산되는 방식으로 일어나는 경우가 많다고 업계에서는 지적한다.

내부자 위협, 아이덴티티 관리와 데이터 관리는 물론 내부자 행동분석까지 필요해
내부자 위협에서 가장 문제가 되는 부분은 어떤 것일까? 내부자 위협은 모두 공식적으로 내부 시스템에 접근할 수 있는 상황이기 때문에 기존 외부의 접근을 제어하는 솔루션으로는 해결할 수 없는 문제다. 특히 쿠팡 사건은 이러한 내부자 위협에서 발생할 수 있는 대부분의 위협이 종합적으로 포함된 것으로 업계에서는 보고 있다.

가장 첫 번째는 ‘아이덴티티’(Identity) 관리다. 아이덴티티에는 사용자의 ‘계정 관리’와 이를 통해 접근할 수 있는 시스템을 관리하는 ‘접근 관리’, 그리고 퇴사한 직원을 관리하는 ‘퇴사자 관리’ 등이 포함된다.

두 번째는 ‘데이터’(Data) 관리다. 내부자가 어떤 데이터에 접근하고, 복사나 사진 촬영 등을 통해 유출하는지를 확인하고 보호하는 것이 포함된다. 여기에는 비정상적인 데이터 조회를 파악할 수 있는 이상 징후 탐지 시스템도 추가된다.

세 번째는 ‘내부자의 행동’ 분석 및 관리다. 내부자가 어떤 행동을 하는지 분석 및 탐지하는 것도 시급하다. 여기에는 로그 기록 관리와 개인정보 접속기록 관리 등이 포함된다.

이번 사건과 관련해 네오아이앤이는 “쿠팡 사건의 핵심은 단순한 시스템 취약점 문제가 아니라, 계정과 권한관리 등 아이덴티티의 중요성이 간과됐다는 점”이라면서, “특히 퇴사자 계정이나 장기간 사용하지 않는 휴면 계정이 관리되지 않을 경우, 공격자가 이를 악용해 내부 시스템에 접근할 수 있는 보안 취약점이 될 수 있다”고 지적했다.

넷앤드 또한 “내부 자산에 대한 접근 권한 관리의 실효성이 기업 보안에 얼마나 결정적인 영향을 미치는지를 보여준 상징적인 사건”이라면서, “퇴직자의 권한 회수 프로세스와 주요 인증키 관리의 최적화가 무엇보다 중요하다는 것을 알 수 있다”고 설명했다.

실제로 이번 사건에서 퇴직 후에도 사용됐던 서명 키의 갱신 주기와 마스터 키에 대한 접근 통제, 그리고 KMS(Key Management System) 기반의 체계적인 관리가 이뤄지지 않았던 것이 주요 변수로 작용했다는 설명이다. 넷앤드는 “만약 인사 정보와 연동된 실시간 권한 회수와 함께 비정상적인 접근 및 대량 데이터 조회를 즉각 식별할 수 있는 모니터링 체계가 유기적으로 작동했다면, 리스크 확산을 조기에 차단할 수 있었을 것”이라고 덧붙였다.

위즈코리아는 이상행위의 조기 탐지와 실시간 통제가 충분히 이뤄지지 않았던 점을 지적했다. “비정상적으로 많은 개인정보가 조회됐음에도 이를 즉시 탐지하거나 차단하지 못했습니다. 또한 누가 어떤 고객정보를 얼마나 조회했는지에 대한 데이터 접근 가시성도 제한적이어서 보안 조직이 상황을 신속하게 파악하기 어려웠다고 봅니다.”

오픈텍스트는 “이 사건은 기존의 룰 기반 보안 모니터링(Rule-Based Security Monitoring)이 가지는 구조적 한계를 보여준다”면서, “사용자가 정상적인 인증 정보와 권한을 이용해 접근하는 경우 단순 정책 기반 탐지 방식만으로는 이를 이상 행위로 판단하기 어렵기 때문”이라고 설명했다. 아울러 “결국 이번 사건은 기업 보안에서 계정 및 권한의 생명주기 관리(Identity Lifecycle Management)와 정상 권한을 가진 사용자 활동에 대한 지속적인 모니터링 체계가 얼마나 중요한지를 보여주는 대표적인 내부자 위협 사례”라고 말했다.


일회성 검증 넘어 지속적 검증과 행위 분석, 그리고 퇴사자 관리 필요
그렇다면 업계에서 제시한 내부자 위협의 해결책으로는 어떤 것이 있을까? 네오아이앤이는 ‘아이덴티티 보안 기술’을 꼽았다. 특히 아이덴티티 기반 위협 탐지와 접근 통제 기술에 초점을 맞춰 인증 과정에서의 이상행위를 분석해 계정 탈취나 비정상 접근을 실시간 탐지하고, 추가적인 인증이나 접근 제한을 적용하는 리스크 기반 인증을 구축하면 공격을 사전에 차단할 수 있다는 설명이다.

피앤피시큐어 역시 ‘인증’을 강조했다. 이번 사건에서 가장 부족했던 부분은 시스템 문을 한 번 열어주는 역할에 그친 일회성 정적 인증 체계의 한계와 지속적인 검증 부재라는 지적이다. 특히 공격자가 위변조한 전자 출입증을 관문 서버가 맹목적으로 신뢰해 접속을 허용한 것이 가장 큰 문제였다는 것. 이를 해결하기 위해서는 단 한 번의 로그인으로 끝나는 인증이 아닌, 세션 전체를 감시하고 지속적으로 신원을 확인하는 동적인 인증 체계를 도입해야 한다고 조언했다. 아울러 계정과 행위, 그리고 사람 자체를 검증하는 멀티 레이어 기술도 필요하다고 덧붙였다.

안랩은 정상 권한을 이용하는 내부자 위협의 특성상 단일 이벤트 기반 탐지 방식으로는 식별하기 어렵기 때문에, 개별 이벤트가 아닌 사용자의 ‘행위 패턴을 분석’하고, 다양한 보안 영역의 정보를 함께 분석하는 접근 방식이 중요하다고 말했다. 대표적인 것이 XDR이다. 엔드포인트부터 네트워크와 클라우드, 이메일 등 여러 영역에서 발생하는 보안 데이터를 수집하고, 이벤트 간 상관관계를 분석해 하나의 사건 흐름으로 재구성함으로써 이상 징후를 식별하고, 위협의 우선순위를 판단할 수 있다는 분석이다.

여기에 누구도 신뢰하지 않는다는 의미를 담은 ‘제로트러스트’를 적용해 모든 접근을 지속적으로 검증하면 혹시라도 발생할 수 있는 위협을 막을 수 있을 거라는 계산이다.

넷앤드는 ‘속도’의 중요성을 언급했다. 사후 인지 중심의 수동적 대응에서 벗어나 ‘실시간 가시성 확보와 선제적 대응 체계’로의 패러다임 전환이 필요하다는 주장이다. 접속 세션 내에서 발생하는 명령어와 데이터 접근 이력을 실시간으로 모니터링하면, 대량의 데이터 조회 등 비정상 행위를 감지할 수 있고, 즉각 식별하고 세션을 차단할 수 있는 능동적 방어 체계를 구축해야 한다는 것이다. 특히 퇴직자 관리가 중요한데, 넷앤드는 ‘계정 삭제’라는 기초적 단계를 넘어 ‘완전한 권한 회수’가 프로세스화돼야 한다고 강조했다. 아울러 이를 위해서는 △통합 접근제어 시스템 도입 △중요 자산 보호 고도화 △인사 시스템 연동 자동화 △포렌식 대비 로그 관리 등이 준비돼야 한다고 설명했다.

인스피언 역시 속도를 언급했다. 내부자 위협은 정상 사용자 활동과 구분하기 어렵기 때문에 ‘이상 징후를 얼마나 빠르게 탐지하느냐’가 핵심이라는 설명이다. 이를 위해서는 다양한 시스템에서 발생하는 보안 이벤트를 통합 수집하고 분석하는 체계가 필요하다는 것이다. 때문에 인스피언은 SIEM 기반의 통합 로그 분석과 상관 분석 기술을 통해 비정상적인 접근 패턴이나 행위를 조기에 탐지하는 것이 중요하다고 강조했다.

이너버스는 SIEM을 꼽았다. 내부자 위협에서 ‘로그 기반 행위 분석’ 기술이 가장 중요한데, 다양한 시스템과 보안 장비에서 발생하는 로그를 통합 수집하고 분석하는 로그 분석 및 SIEM 기술을 기반으로 내부자 위협을 탐지해야 한다는 설명이다.

위즈코리아는 ‘실제 행위에 대한 분석’과 ‘가시성 확보’를 강조했다. 내부 시스템에서 발생하는 사용자 접근 및 정보처리 이력을 통합 수집·기록하고, 데이터 조회·변경·다운로드 등 실제 행위를 정밀하게 추적·분석하는 기술을 기반으로 내부 활동에 대한 전사적 가시성을 확보해야 한다는 설명이다. 또한 사용자 행위 패턴 분석을 통해 이상행위를 탐지하고, 감사나 조사에 필요한 증적을 확보함으로써 단순 접근 통제를 넘어 내부자의 정보 오남용과 데이터 유출 위험을 실질적으로 탐지하고 대응할 수 있어야 한다고 강조했다.

로그 기록을 넘어 위협의 의도를 파악해야 한다는 주장도 제기된다. 마크애니는 “단순한 로그 기록을 넘어 위협의 의도를 파악하는 통합 지능 기술”의 중요성을 강조하면서, “예를 들면, 비가시성 워터마크 기술을 이용하면, 유출된 이미지나 출력물에서 최초 유출자의 ID, 접속 IP, 시간 등 최대 72비트의 핵심 데이터를 추출해 무결한 책임 추적성을 보장할 수 있다”고 설명했다.

또한 시각 인공지능 모델 기술을 이용하면 웹캠을 통해 사용자의 미세한 행동 패턴을 분석해 스마트폰으로 화면을 촬영하려는 시도를 실시간으로 탐지하고 차단할 수 있으며, 로컬 게이트웨이 기술을 통해 클라우드 보안 정책이 닿지 않는 로컬 PC와 오프라인 사각지대까지 통제 체계를 확장할 수 있다고 덧붙였다.


내부자 위협에 대한 경각심 부각... 이상행위 탐지와 권한관리 체계, 통합보안에 대한 관심 높아져
쿠팡 사건 이후 사용자들은 내부자 위협에 대한 경각심을 갖기 시작했다. 특히 단순히 내부 직원의 일탈을 넘어 계정과 권한관리, 즉 아이덴티티 보안 관점의 리스크로 인식하는 경향이 커지고 있다고 업계는 설명한다. 이미 랜섬웨어나 정보 유출 사고에서 계정 탈취와 권한 악용이 주요 원인으로 지적되면서, 인증 단계에서의 이상행위 탐지와 권한관리 체계를 강화하려는 관심이 높아지고 있다는 것이다.

특히 대부분의 사용자는 외부 공격에 대응할 수 있는 보안 체계는 갖추고 있지만, 내부자 위협과 관련해서는 부족하다는 것을 인식하고 있다는 반응이다. 예를 들면, “협력사 계정의 권한은 어디까지인가” 또는 “정상적인 다운로드와 데이터 유출 시도는 어떻게 구분하는가”와 같은 문의를 한다는 것이다. 이에 대해 업계는 새로운 솔루션을 추가하는 것도 중요하지만, 현재 운영 중인 보안체계 안에서 실제로 중요한 위협이 무엇이지 식별하고, 이에 신속하게 대응할 수 있는 운영 가시성을 확보하는 것도 필요하다고 조언한다.

아울러 이제는 대중화된 스마트폰을 이용한 개인정보 유출과 출력 등 오프라인 문제에도 대응할 수 있는 방법을 고민하는 자세가 필요하다는 조언도 있었다. 도면과 같은 중요 데이터의 경우 화면에 띄워 사진을 찍는다면 보안 솔루션으로 대응할 수 없기 때문에, 이러한 부분도 고민하는 것이 필요하다는 지적이다.

가트너(Gartner) 역시 최근 사이버보안 트렌드에서 복잡해지는 위협 환경과 AI 확산, 보안 운영 효율성 문제 등을 주요 변화 요인으로 제시하고 있다. 단순히 “접근이 있었는가, 없었는가”를 확인하는 수준을 넘어, 누가 어떤 기기로 어떤 맥락에서 무엇에 접근하려 하는지를 종합적으로 분석하는 보안 방식으로 발전하고 있다는 의미라고 업계에서는 보고 있다.


내부자 위협 및 대응 솔루션 사용자 설문조사
그렇다면 현재 내부자 위협과 대응 솔루션에 대한 보안 전문가들의 생각은 어떨까? 시큐리티월드와 보안뉴스는 보안 전문가들의 의견을 듣기 위해, 2026년 3월 11일부터 13일까지 3일간 약 10만명의 보안전문가들에게 설문조사를 실시했다. 이번 설문조사에는 공공(24.8%)과 민간(75.2%)의 보안전문가 1171명이 답했다. 먼저 ‘내부자 위협’(Insider Threat)이란 용어를 알고 있는지 물어봤다. 역시 응답자의 상당수(70.9%)가 ‘안다’고 답변했다. 또한 20.6%는 ‘들어봤지만, 정확하게는 모른다’고 답했고, 8.5%는 ‘모른다’고 답했다.

그럼 ‘내부자 위협’ 유형 중 어느 유형이 가장 위험하다고 보는지를 물어봤다. 응답자의 절반가량인 53.9%는 ‘악의적 내부자: 금전적 이득이나 회사에 대한 보복 등 명확한 목적을 가진 내부자’를 꼽았다. 이어 37.6%는 ‘부주의한 내부자: 보안 규정을 무시하거나 실수해 위협을 초래한 내부자’를 선택했다. 마지막 8.5%는 ‘권한 도용자: 외부 공격자가 내부자의 계정 정보를 탈취해 도용’을 선택했다.

그렇다면 응답자들이 실제 겪은 내부자 위협은 어떤 것이 있을까? 71.8%는 ‘부주의한 내부자: 보안 규정을 무시하거나 실수해 위협을 초래한 내부자’를 꼽았다. 이어 19.7%는 ‘악의적 내부자: 금전적 이득이나 회사에 대한 보복 등 명확한 목적을 가진 내부자’를 선택했다. 마지막 8.5%는 ‘권한 도용자: 외부 공격자가 내부자의 계정 정보를 탈취해 도용’을 골랐다.

이번 쿠팡 해킹 사건과 관련해 응답자들은 어떤 문제가 가장 치명적이었다고 생각할까? 응답자의 절반가량인 49.6%는 ‘퇴사자 계정 관리’를 꼽았다. 이어 27.4%는 ‘과도한 접근 관리’를 선택했으며, 11.1%는 ‘세분화되지 않은 로그 감시’를 골랐다. 또한 7.7%는 ‘개발/테스트 환경과 운영 환경 분리’를, 그리고 4.2%는 ‘API 취약점 및 인증 우회’를 각각 선택했다.

그렇다면 응답자들은 이러한 내부자 위협에 대응하기 위해 어떤 솔루션을 사용하고 있을까? 여러 솔루션을 사용하고 있을 수 있어 복수 선택으로 물어본 결과 응답자의 48.7%는 ‘퇴사자 계정 관리: IAM’을, 그리고 47.0%는 ‘과도한 접근 권한 관리: PAM’을 사용하고 있다고 답했다. 또한 26.5%는 ‘세분화되지 않은 로그 감시: SIEM’을, 25.6%는 ‘개발/테스트 환경과 운영 환경 분리: 데이터 마스킹 & 가상 데스크톱’을 사용 중이라고 답했다. 14.5%는 ‘API 취약점 및 인증 우회: WAAP & 제로트러스트’를 꼽았다.

익숙함에 잊어버린 것들... 기본 보안 수칙 일상화부터
쿠팡 해킹 사건을 계기로 내부자 위협에 대한 보안담당자의 경각심이 높아지고 있다. 이미 내부 계정과 권한을 활용한 공격 형태를 경험해 왔기에, 이번 사건을 계기로 본격적인 관심이 표출되고 있다는 것이다. 이 때문에 보안 업계에서도 보안 데이터 분석과 이상 행위 탐지 중심의 운영체계로의 전환이 필요하다고 말한다.

아울러 그동안 소홀해 왔던 퇴사자 계정의 회수나 협력사 계정의 관리, 편의를 위해 개인이 관리해 왔던 키와 인증 정보의 통제된 관리체계 안에서의 운영, 그리고 사고 발생 이후 확인 용도의 로그를 평소에도 일정한 기준에 따라 저장하고 점검하는 체계를 갖춰야 한다고 강조한다.

이와 함께 정상적인 권한 사용자도 행위 분석, 통합 분석, 제로트러스트 기반의 접근 통제를 함께 적용해 내부자 위협 대응을 사고 후 수습이 아닌, 사고 이전의 이상 징후를 조기에 식별하고 대응하는 체계로 발전시켜야 한다는 조언이다.

또한 그동안 내부자 위협을 인사 문제나 내부통제 문제로 바라보던 것을 넘어 보안 거버넌스와 함께 작동하는 관리 체계로 접근하는 것도 중요하다고 업계는 지적한다. 특히 그동안 잊혀졌던 퇴사자 관리 체계를 다시 한번 돌아보고, 통합 및 자동화할 수 있는 체계를 갖추는 것이 중요하다.

사실 내부자 위협은 우리가 전혀 모르던 문제가 아니다. 내부의 익숙함이 주는 소홀함에서 시작된 문제라 할 수 있다. 때문에 기술도 중요하지만, 기본 보안수칙의 일상화가 무엇보다 시급하다.


[내부자 위협 대응 솔루션 집중 분석-1] 네오아이앤이
Identity 중심 보안 전략의 전환
AD 보안과 ITDR, 제로트러스트 구현을 위한 실질적 접근 방안

디지털 전환과 클라우드 확산은 기업 보안 전략의 근간을 바꾸고 있다. 내부망 중심의 경계형 보안 모델은 하이브리드·멀티클라우드 환경에서 더 이상 유효하지 않다. 오늘날 공격은 네트워크 경계를 우회해 ‘계정’과 ‘권한’을 중심으로 전개된다.

위협은 네트워크가 아니라 Identity 통해 확산
초기 침투 이후 공격자는 악성코드를 대량 배포하기보다 정상 인증 프로토콜을 활용해 권한을 상승시키고, 내부에서 수평 이동하며, 최종적으로 도메인 관리자 권한을 확보한다. 그 순간 조직 전체의 통제권은 공격자에게 넘어간다.

이 모든 과정의 중심에는 Active Directory(AD)가 있다. AD는 사용자, 서버, 애플리케이션의 인증과 권한을 통제하는 핵심 인프라이며, Entra ID와 연계되는 하이브리드 환경에서는 클라우드 접근 통제까지 영향을 미친다. 따라서 Identity를 보호하지 못하면 제로트러스트 및 랜섬웨어 침해에 대응할 수 없다.

ITDR은 침해 이후 대응이 아니라 공격 표면을 줄이는 전략
기존 보안 체계는 IOC(Indicator of Compromise), 즉 침해 발생 이후의 증거를 탐지하는 데 집중해 왔다. 그러나 AD 환경에서는 관리자 계정이 탈취된 이후 탐지하는 것은 이미 늦은 경우가 많다. 공격자는 정상 인증 체계를 활용하기 때문에 행위 기반 탐지로는 한계가 존재한다.

ITDR(Identity Threat Detection & Response)은 접근 방식을 바꾸어 IOE(Indicator of Exposure), 즉 잠재적 노출 상태를 먼저 식별하고 공격 표면을 제거해 공격이 발생하기 전에 침투 경로를 차단하는 것이 핵심이다. 이 전략을 실질적으로 구현하는 대표적 솔루션이 셈페리스(Semperis)와 실버포트(Silverfort)다.

AD 침해사고 대응 및 보호를 위한 AD 보안 솔루션: 셈페리스(Semperis)
AD 구조의 취약점을 제거해 침해사고를 사전에 차단한다
셈페리스 DSP는 AD 및 Entra ID 환경을 지속적으로 분석해 200여개 이상의 진단 항목을 기반으로 보안 수준을 수치화해 평가한다. 그러나 핵심은 단순 취약점 점검이 아니라, 공격자가 실제로 악용할 수 있는 취약점을 사전에 식별하는 데 있다.

과도한 관리자 권한, SIDHistory 설정 오류, 위임 구성 문제, Kerberos 취약성, 도메인 간 신뢰 관계 위험 등은 개별적으로도 위협이 되지만, 다수의 취약점을 이용해 도메인 관리자 권한 탈취로 이어지는 공격 경로를 형성할 수 있다. 셈페리스는 이러한 취약점을 가시화해 어떤 계정이 가지고 있는 취약점을 찾아서 알려주고 개선책을 제시해 준다.

이를 통해 관리자는 단순 경고가 아니라, 공격 경로를 차단하기 위한 구체적 개선 포인트를 확보함으로써 AD 보안 수준을 선제적으로 강화할 수 있다.

셈페리스의 보안 진단 및 취약점 분석 화면
AD 변경을 실시간으로 통제해 위협 확산을 원천 차단
AD 침해는 정상 관리 작업처럼 위장되는 경우가 많다. 그룹 멤버십 수정, GPO 변경, 특권 계정 권한 추가는 일상적인 운영 행위처럼 보인다. 셈페리스 DSP는 AD 오브젝트 변경을 실시간으로 모니터링하고 정책 위반 여부를 즉시 판단한다. 비정상 권한 상승이나 정책 변경이 감지되면 자동 원복(Auto Undo)을 수행해 변경 이전 상태로 복구한다. 일반 계정에 관리자 권한이 추가되면 즉시 제거하고, 퇴사자 계정이 활성화되면 자동 비활성화한다. 이는 침해 이후 대응이 아니라 위협이 확산되기 전 차단하는 능동적 방어 체계이다.

Forest 단위 복구로 AD 복원력 확보
AD가 완전히 손상된 상황에서 단순 백업 복원은 충분하지 않다. 악성 오브젝트가 포함된 상태로 복원되면 동일한 침해가 반복될 수 있다. 셈페리스 ADFR은 Forest 단위 복구 기능을 통해 클린 백업 검증, 악성 오브젝트 제거, 신뢰 관계 재구성, 단계적 복원을 수행한다. 이는 비즈니스 연속성을 유지하면서도 보안 검증 기반 복구를 가능하게 한다.

결과적으로 셈페리스는 공격 표면 관리와 복원력을 동시에 강화해 AD 보안 수준을 구조적으로 향상시켜 준다.

제로트러스트 기반 통합 인증 보안 솔루션: 실버포트(Silverfort)
모든 인증을 시각화해 보이지 않던 위험 식별
대부분 기업에서 인증은 가장 중요한 통제 지점이지만 동시에 충분히 시각화되지 않은 영역이다. 특히 레거시 시스템과 서비스 계정은 기존 MFA 통제의 사각지대에 놓여 있는 경우가 많다. 실버포트는 AD 인증 트래픽을 직접 분석하여 Kerberos, NTLM, LDAP, RADIUS은 물론 레거시 시스템 인증까지 통합적으로 수집·기록·조회한다.

기존 MFA가 시스템에 접근하는 단계에만 집중했다면, 실버포트는 시스템 내부에서 발생하는 CLI, 윈도우 Native 툴을 통한 모든 인증 프로토콜 통제한다. 이를 통해 그동안 정책 통제 밖에 있던 레거시 자산과 서비스 계정 영역을 보안 체계 안으로 편입시킨다. 관리자는 비인가 관리자 접근, 해외 IP 기반 특권 로그인, Password Spraying, Kerberoasting, 낮은 보안 프로토콜 사용 등을 즉시 식별할 수 있다. 이는 “보이지 않던 인증 위협”을 구조적으로 드러나게 해준다.

실버포트의 인증 보안 아키텍처
위험 기반 정책으로 인증 단계에서 공격 차단
실버포트는 40여개 이상의 위협 지표를 기반으로 인증 요청의 위험도를 평가한다. 위험도가 높으면 정책에 따라 즉시 차단하거나 추가 인증(MFA)을 요구한다. 해외 관리자 접근 차단, NTLMv1 사용 금지, 지정 단말 외 관리자 접근 제한, 서비스 계정의 허용된 시스템 외 접근 제한 등 세밀한 정책 적용이 가능하다. 설령 단말이 이미 감염됐더라도 인증 단계에서 정책이 적용되면 공격은 확산되지 못한다. 실버포트는 실질적인 ‘인증 방화벽’ 역할을 수행한다.

내부 위협과 계정 탈취를 동시에 통제
서비스 계정과 특권 계정은 내부 위협의 핵심 지점이다. 실버포트는 인증 패턴을 분석해 이상 행위를 실시간으로 탐지하고 통제한다. 이는 단순 MFA 솔루션이 아니라 인증 계층에서 동작하는 정책 기반 통제 플랫폼이다. 계정이 탈취되더라도 정책에 부합하지 않으면 공격은 차단된다.

Identity 중심 통합 보안 아키텍처가 답이다
셈페리스와 실버포트를 통해 AD 보안은 개별 기능 중심의 대응을 넘어 전 주기를 포괄하는 체계적인 방어 구조로 확장된다. AD 내부에 잠재된 권한 상승 경로는 사전에 식별·제거되고, 인증 단계에서 발생하는 이상 행위는 실시간으로 탐지된다. 위험 기반 정책을 통해 고위험 접근은 즉시 차단되며, 설령 침해가 발생하더라도 검증된 복구 체계를 통해 피해를 최소화할 수 있다.

예방(Prevention)–탐지(Detection)–통제(Protection)–복구(Recovery)가 하나의 흐름으로 유기적으로 연결되는 구조가 완성되는 것이다. 여기에 네오아이앤이의 차별화 요소는 AD 보안 진단 서비스에 있다. 네오아이앤이는 자체 개발한 AD 보안 진단 방법론을 통해 단순 설정 점검이 아닌, 실제 공격 시나리오 기반의 취약점 분석과 보안 수준 평가를 수행한다. Hybrid AD 환경까지 포함한 진단을 통해 취약 구조를 도출하고, 개선 우선순위를 제시하며, 정책 반영 이후 효과까지 검증한다.

이는 단순 솔루션 공급이 아닌, 모니터링 → 진단 → 개선 → 실시간 탐지 → 인증 통제 → 복구로 이어지는 AD 보안 전 주기에 걸친 통합 서비스 모델이다. 그 결과 고객의 보안 수준은 일회성 점검이나 부분적 개선에 머무르지 않는다. 구조적 취약점 제거부터 인증 단계 차단, 침해 이후 복구까지 포함한 Identity 중심 방어 체계로 지속적으로 고도화된다.

네오아이앤이는 2017년 창립 이후로 AD 보안 및 ITDR에 특화된 전문 역량을 기반으로, 고객 환경에 최적화된 실질적 AD 보안 토탈 서비스를 제공하고 있다.


[내부자 위협 대응 솔루션 집중 분석-2] 안랩
AI 행위 분석으로 내부자 데이터 유출을 실시간 차단하는 선제적 보안
내부자 위협으로부터 기업을 보호하는 AhnLab XDR

최근 퇴사자 권한 오남용으로 촉발된 대규모 개인정보 유출 사고는 내부자 위협이 기업 신뢰와 직결되는 경영 리스크임을 다시 한번 확인시켰다. 외부 공격 차단에 집중해 온 기존 경계형 보안 체계가 정상 권한을 활용한 내부 위협 앞에서는 사실상 무력하다는 점도 드러났다. 안랩은 이러한 환경 변화에 대응해 AI 기반 사용자 행위 분석을 중심으로 하는 AhnLab XDR을 통해 내부자 위협을 실시간으로 감지하고 차단하는 선제적 통합 보안 전략을 제시하고 있다.

내부자 위협, 왜 기존 보안으로는 한계가 있는가
내부자 위협(Insider Threat)은 합법적인 접근 권한을 가진 사용자가 고의 또는 과실로 조직 자산을 남용하는 보안 위협을 의미한다. 내부자 위협이 무서운 이유는 이들이 ‘정상 계정’을 사용한다는 점이다. 이미 인증을 통과한 ID와 권한을 보유하고 있기 때문에, 방화벽이나 안티바이러스 같은 전통 보안 수단은 사실상 무력화된다. ‘외부 침입자’를 막도록 설계된 경계형 보안은 이미 ‘안쪽에 있는 위협’을 구분해 내는 데 한계가 있다.

클라우드 확산과 원격 근무의 보편화는 이러한 한계를 더욱 확대했다. 데이터 접근 방식이 경계 중심에서 사용자 ID 중심으로 이동하면서, 퇴사자 계정 하나가 회수되지 않은 채 방치되거나 협력업체 직원의 접근 권한이 계약 종료 후에도 살아있는 것만으로도 심각한 보안 취약점이 된다. 내부자 위협 대응의 핵심은 더 이상 ‘누가 내부자인가’를 의심하는 것이 아니라, 모든 계정을 잠재적 위험 요소로 보고, 정상 권한을 가진 사용자라 하더라도 그 행위를 지속적으로 검증하는 체계를 구축하는 것이다.

알림의 홍수에서 진짜 위협을 가려내는 AhnLab XDR
이러한 환경 변화 속에서 주목받는 보안 플랫폼이 XDR(eXtended Detection & Response)이다. 위협 표면이 엔드포인트, 네트워크, 클라우드 등으로 확장되면서 기업들은 각 영역을 방어하기 위해 다양한 보안 솔루션을 도입해 왔다. 가트너에 따르면 2024년 기준 기업이 평균적으로 운영하는 보안 솔루션 수는 45개에 달하며, 최대 130개의 솔루션을 운영하는 기업도 있는 것으로 조사됐다. 그러나 솔루션이 늘어날수록 탐지 이벤트와 알림 역시 기하급수적으로 증가했고, 수천 건의 알림 속에서 정작 지금 당장 대응해야 할 위협이 무엇인지 판단하기 어려워졌다.

AhnLab XDR은 이 문제에서 출발한다. 핵심 철학은 무조건 많이 탐지해 보여주는 것이 아니라, 대응 우선순위를 제공해 조직의 리스크를 낮추고 보안 태세를 강화하는 데 있다. 이를 위해 각 보안 솔루션에서 생성되는 데이터를 통합 수집·정규화하고, 이벤트 간의 상관관계를 분석해 리스크를 식별하며, 여러 이벤트를 하나의 사건(Incident) 흐름으로 재구성한다. 개별 솔루션의 알림만으로는 정상으로 보이던 행위도, 전체 맥락(Context) 속에서 연결되면 그 안에 숨겨진 위협의 흐름이 드러난다.

이렇게 식별된 리스크에는 고도화된 계산식을 적용해 리스크 지수(Risk Score)를 산정한다. 자산의 중요도, 이벤트 특성, 발생 확률, 가중치 등을 종합적으로 계산해 0~100점으로 수치화하며, 위험 확률이 같더라도 자산의 중요도에 따라 다른 점수가 부여된다. 보안 담당자는 이 점수를 기준으로 지금 조직에 가장 큰 영향을 미칠 리스크가 무엇인지 직관적으로 파악해 우선 대응할 수 있다. 이것이 단순 탐지 솔루션과 XDR 플랫폼의 결정적 차이다.

내부 데이터 유출, AI가 ‘행동 패턴’으로 잡아낸다
AhnLab XDR이 내부자 위협 대응에 강점을 가지는 이유는 AI 기반 행위 분석 역량에 있다. 내부자 위협은 대부분 명확한 악성코드나 침투 흔적을 남기지 않는다. 정상 권한을 사용하기 때문에, 단일 이벤트만으로는 이상 여부를 판단하기 어렵다. 따라서 내부자 위협을 탐지하기 위해서는 개별 이벤트가 아닌 ‘사용자 행위 패턴’을 분석해야 한다.

AhnLab XDR은 AI 기반 행위 분석을 통해 사용자와 자산의 평소 활동 패턴을 학습하고, 이를 기준으로 정상 범위를 벗어난 행위를 탐지한다. 예를 들어, 평소 오후 6시에 퇴근하고 하루 10건 미만의 파일만 다운로드하던 직원이 어느 날 밤 9시, 타 지역에서 VPN으로 접속해 대량의 프로젝트 파일을 다운로드하고 외부 메일 전송을 시도했다. 각각의 행위는 단독으로 보면 정상 범주 안에 있다. 그러나 AhnLab XDR은 평소 패턴을 벗어난 행위들을 하나의 흐름으로 연결해 데이터 유출 시도로 판단해 대응한다. 보안 담당자는 다음 날 아침 AhnLab XDR 대시보드에서 이 모든 경위와 자동 대응 이력을 한눈에 확인할 수 있다.

내부자 위협 대응의 핵심은 ‘선제적 보안’
최근 잇따르는 내부자 위협 사고가 남긴 교훈은 분명하다. 내부자 위협은 이제 기업 신뢰도와 직결되는 경영 리스크다. 그러나 내부자 위협의 특성상 사고가 발생한 이후에야 피해를 인지하는 경우가 많다. 내부자 위협 대응의 핵심은 이상 징후를 조기에 인지하고 사전에 대응할 수 있는 ‘선제적 보안’ 체계를 구축하는 데 있다.

지금 기업에 필요한 것은 또 하나의 개별 솔루션이 아니라, 조직 전반의 위험을 통합적으로 파악하고 우선순위에 따라 관리할 수 있는 전략적 보안 체계다. AhnLab XDR은 AI 기반 행위 분석을 통해 내부 사용자의 이상 행위를 실시간으로 감지하고 자동 대응함으로써, 내부자 위협 대응을 ‘사후 대응’ 중심에서 벗어나 AI 기반 ‘선제적 방어’ 체계로 전환하는 현실적인 해법이 될 수 있다.


[내부자 위협 대응 솔루션 집중 분석-3] 넷앤드
쿠팡 사례 등 퇴사자에 의한 보안사고 급증... ‘권한의 완전한 회수’가 핵심
넷앤드 HIWARE, ‘통합 퇴사자 관리’로 내부자 위협 차단

넷앤드의 통합 접근제어 및 계정관리(IAM) 솔루션 HIWARE는 기업 보안의 가장 취약한 고리로 지목되는 ‘퇴사자 및 내부자 위협’을 정조준한다. 인사 시스템(HR)과 연동된 계정 라이프사이클 자동 관리와 전방위적 권한 회수를 통해 보안 공백을 차단하고, 내부자 위협 관리 거버넌스를 제시한다.

최근 발생한 대형 이커머스 기업의 개인정보 유출 사고는 내부자 권한 관리의 허점이 얼마나 치명적인지 보여주었다. 퇴사자가 재직 당시 확보했던 마스터키와 권한이 적시에 회수되지 않아 퇴사 후에도 장기간 내부 시스템에 접근이 가능했고, 대규모 정보 유출로 이어졌다. 이는 내부자 권한에 대한 기존의 수동적 관리와 파편화된 보안 체계의 한계를 보여준다. 특히 퇴사자의 계정과 권한이 완전히 회수되지 않을 경우 언제든지 악용될 수 있어 퇴사 즉시 모든 권한을 회수하고 이를 시스템적으로 증명할 수 있는 통합 관리 체계가 필수적이다.

퇴사 즉시 ‘전방위적 통합 권한 회수’
HIWARE는 HR 시스템과 연동해 직원 입사부터 퇴사까지의 계정 라이프사이클과 권한을 제로 트러스트 원칙에 기반해 자동화 관리한다. 과거에는 직원 퇴사 시 관리자가 수많은 시스템에 분산된 계정을 일일이 수동 삭제해야 했다. 이 과정은 조직 규모가 클수록 관리 누락이 잦고, 특히 여러 사람이 함께 사용하는 공용 계정(root, admin 등)은 패스워드가 변경되지 않은 채 방치돼 퇴사자의 불법 침입 통로로 악용되기도 했다.

반면 HR 시스템을 통해 퇴사자 정보 획득 후 자동 구동되는 ‘전방위적 통합 권한 회수’ 기능은 HIWARE의 독보적인 강점이다. VPN이나 클라우드 관리 콘솔 등 모든 접속 경로를 즉시 차단하고, 정책에 따라 퇴사자 개인 계정 잠금 또는 삭제, 사용했던 공용 계정의 패스워드까지 자동 변경 처리한다. 또한, 시스템에 수동 생성된 로컬 계정과 잔여 권한까지 탐지하는 ‘유령 계정 추적’ 기능으로 관리자의 눈이 닿지 않는 보안의 사각지대까지 완벽히 해소한다.

퇴사 전 이상 징후 탐지로 내부자 위협 선제 대응
HIWARE는 사후 대응을 넘어 사고 발생 전 잠재적 위협을 탐지할 수 있는 ‘퇴사 전 행위 감사’(Pre-exit Audit) 기능으로 선제적 방어 체계를 구축한다.

퇴사 확정 전 일정 기간 동안의 모든 접속 세션, 명령어 실행 이력, 데이터베이스 쿼리 등을 통합 조회하고, 평소보다 과도한 데이터 다운로드나 중요 설정 파일 접근 등 이상 징후를 자동으로 탐지·분석해 관리자에게 알린다. 이는 악의적인 정보 유출이나 시스템 훼손 시도를 사전에 탐지해 비즈니스 리스크를 최소화하는 핵심 장치다.

자동화된 증적 관리로 ‘증명하는 보안’ 실현
최근 금융감독원과 한국인터넷진흥원(KISA)의 보안 점검 기준은 단순히 “퇴사자 계정을 삭제했는가”에서 “삭제됐음을 어떻게 증명하는가”로 강화되는 추세다.

HIWARE는 이러한 요구에 대응하기 위해 퇴사자의 계정 정보, 권한 회수 일시, 처리 주체, 각 시스템별 처리 성공 여부 등이 포함된 퇴사자 보안 점검 리포트를 자동 생성해 제공한다. 기업은 이를 통해 수작업으로 수행하던 증적 생성 시간을 90% 이상 단축할 수 있다. 또한 관리자는 모든 인프라의 계정 상태를 실시간으로 확인할 수 있는 통합 대시보드로 상시 감사 수검 체계를 유지하고, 보안 감사와 컴플라이언스 요구에 효과적으로 대응할 수 있다.

넷앤드 관계자는 “보안 사고는 기술의 부재가 아닌 관리 누락에서 시작된다”며, “HIWARE의 통합 퇴사자 관리 기능은 내부자 위협을 사전 차단하고 기업의 법적 방어권을 확보하는 동시에 보안 통제력을 증명하는 핵심 보안 거버넌스가 될 것”이라고 강조했다.

한편 국내 IAM 시장 점유율 1위인 넷앤드는 HIWARE를 통해 온프레미스와 클라우드 인프라 전 영역을 빈틈없이 관리하는 통합 관리 체계를 구축하고, 복잡한 IT 환경에서도 내부자 보안을 체계적으로 통제할 수 있도록 내부 보안 관리 패러다임의 전환을 이끌고 있다.


[내부자 위협 대응 솔루션 집중 분석-4] 위즈코리아
AI 기반의 내부자 행동 분석 및 위험관리 플랫폼
위즈코리아 ‘BlackBox Series’, 내부자 위협 시대, 기업 보안의 새로운 기준

최근 개인정보와 기업 기밀정보 유출 사고가 반복적으로 발생하면서 보안 위협의 중심이 점차 조직 내부로 이동하고 있다. 통신사, 금융기관, 온라인 쇼핑몰 등 다양한 산업 분야에서 고객정보 유출 사고가 발생했고, 이러한 사건들은 기업의 신뢰도와 브랜드 가치에 큰 영향을 미쳤다.

공공기관도 예외가 아니다. 일부 지자체 등에서 관리하던 개인정보가 외부로 유출되거나 불법적으로 거래되면서 사회적 논란이 된 사건들이 대표적이다. 온라인 성범죄 사건에서 피해자 개인정보가 유출되거나 성폭력 피해자 가족의 신상정보가 노출돼 2차 범죄로 이어진 사례는 내부 정보 통제의 중요성을 다시 한번 보여준다.

여기에 더해 반도체 기업의 핵심 공정 기술 유출 사건과 같이 기업의 핵심 기술과 기밀정보가 외부로 유출되는 산업 보안 문제도 점점 심각해지고 있다.

내부자 위협, 기업 보안의 새로운 전선
이러한 사건들의 공통된 특징 중 하나는 단순한 외부 해킹만이 아니라 조직 내부에서 발생하는 정보 접근과 권한의 오남용이 중요한 원인으로 작용했다는 점이다. 이처럼 정상적인 접근 권한을 가진 사용자나 내부 계정이 악용되어 발생하는 보안 위험을 ‘내부자 위협’(Insider Threat)이라고 하며, 외부 공격과 달리 탐지와 대응이 어렵고 사고 발생 시 피해 규모가 매우 커질 수 있다. 따라서 최근 기업 보안의 핵심 과제는 단순히 외부 침입을 차단하는 것을 넘어 조직 내부에서 발생하는 정보 접근과 활용 활동을 어떻게 관리할 것인가로 확장되고 있다.

보안 담당자가 직면하는 현실적 딜레마
많은 기업이 내부자 위협의 위험성을 인식하고 있지만 실제 대응 체계를 구축하는 과정에서는 여러 현실적인 고민에 직면한다. 기업들은 내부자 위협을 상대적으로 가능성이 낮은 위험으로 보는 경우가 적지 않으며, 또한 내부 사용자 행위를 모니터링하는 보안 체계에 대해 직원 감시 논란이나 조직 문화에 미칠 영향, 개인정보 보호와 노사 관계 문제 등을 우려하는 목소리도 존재한다.

그러나 개인정보 유출 사고가 발생하거나 규제 요구가 강화되는 시점이 되면 기업들의 인식은 빠르게 변화한다. 개인정보보호법과 같은 규제 환경이 강화되면서 기업들은 정보 접근 이력 관리와 사용자 행위 분석 등 내부자 위협 관리 체계의 필요성을 점차 인식하고 있다. 내부자 위협은 전통적인 네트워크 보안이나 침입 탐지 기술만으로는 효과적으로 대응하기 어렵다. 결국 기업 보안의 새로운 방향은 조직 내부에서 누가 어떤 정보에 접근하고 어떻게 처리하는지를 가시화하고 관리하는 보안 체계 구축이라고 할 수 있다.

위즈코리아 BlackBox Series, 무엇이 다른가
위즈코리아의 BlackBox Series는 조직 내부 시스템에서 발생하는 사용자 접근과 정보 처리 행위를 통합적으로 분석해 내부 정보 활용에 대한 전사적 가시성을 제공하기 위해 설계된 내부자 행동 분석 및 위험관리 플랫폼이다.

단순한 접속 로그 관리 수준을 넘어 AI에 기반한 실제 업무 행위 중심의 분석과 이상행위 탐지 기능을 제공함으로써 기업 내 중요정보 보호를 위한 효과적인 보안 체계를 지원한다.

① 전사적 정보 접근 가시성 확보
BlackBox Series의 가장 큰 특징은 조직 내부 정보 활용에 대한 전사적 가시성(Enterprise-wide Visibility)을 제공한다는 점이다. 다양한 정보 시스템에서 발생하는 사용자 활동, 정보 처리 이력, 권한 변경, 보안 이벤트 등을 통합 수집·분석해 조직 내에서 누가(Who), 언제(When), 무엇을(What), 어떻게(How) 수행했는지를 명확하게 파악할 수 있도록 지원한다.

이를 통해 기업은 개인정보와 중요정보가 어떤 경로로 접근되고 활용되는지 한눈에 파악할 수 있으며, 내부 정보 처리 활동 전반을 지속적으로 모니터링하고 추적할 수 있다. 특히 단순한 로그 수집이 아닌 업무 행위(Activity) 중심의 분석을 통해 실제 정보 활용 흐름을 보다 정확하게 파악할 수 있다는 점에서 기존의 다른 보안 솔루션과 차별화된다.

② AI 기반 이상행위 및 위험 탐지
BlackBox Series는 위즈코리아가 자체 개발한 AI 분석 모델 ‘GUREUM’을 기반으로 사용자 행동 패턴을 학습하고 분석한다. 이를 통해 일반적인 보안 시스템으로는 식별하기 어려운 은밀한 내부자 위협을 효과적으로 탐지할 수 있다.

사용자, 정보 주체, 행위 등 다양한 요소를 다차원적으로 분석해 비정상적인 대량 조회나 권한 오남용과 같은 이상행위를 정교하게 구분하며, 내부자에 의한 정보 유출 가능성을 조기에 식별할 수 있도록 지원한다. 이러한 AI 기반 분석 기술은 기존 규칙 기반 보안 시스템의 한계를 보완하며 보다 정밀한 내부자 위협 대응을 가능하게 한다.

③ 정보 자산 중심 보안 및 컴플라이언스 대응
BlackBox Series는 네트워크나 장비 중심이 아닌 정보 자산 중심(Data-Centric Security)의 보안 모델을 기반으로 설계됐다.

개인정보, 기업 기밀, 업무 자료 등 핵심 정보 자산의 처리 행위를 중심으로 위험을 분석하고 관리함으로써 내부자에 의한 정보 유출이나 부정 사용을 예방할 수 있도록 지원한다. 또한 개인정보보호법 등 다양한 규제 요구사항에 대응할 수 있도록 접속 기록 관리와 행위 분석 기능을 제공하며, 모든 활동에 대해 위·변조가 불가능한 감사 추적 정보를 생성해 사고 발생 시 신뢰성 있는 증적을 확보할 수 있도록 지원한다. 이러한 기능은 기업의 내부 감사와 규제 대응에도 중요한 역할을 한다.

기술 구조 측면에서도 운영 효율성을 고려했다. BlackBox Series는 ERP·그룹웨어 및 DB 등 정보처리 시스템 단위로 데이터 접속 및 처리 기록을 수집하며, 다양한 업무 시스템과 연동이 가능하다.

이를 통해 고객 환경에 맞춘 단계적 도입과 확장이 가능하며 대규모 IT 환경에서도 안정적으로 운영할 수 있다. 또한 BlackBox Series는 변화하는 보안 환경에 대응하기 위해 국가정보원이 제시한 새로운 국가망 보안체계(N2SF) 기준을 고려해 설계됐으며, 정부·공공기관의 보안 인프라와 유연하게 연동되고 안정적으로 통합될 수 있도록 지원한다.

내부자 위협 대응, 더 이상 미룰 수 없는 이유
정보 유출 사고는 이제 단순한 IT 이슈가 아니다. 브랜드 신뢰도·주가·고객 이탈·규제 제재까지 연결되는 경영 리스크다. 그리고 그 경로의 상당수는 외부가 아닌 조직 내부에 있다.

외부 침입을 막는 방어선은 이미 갖추어져 있다. 이제는 내부의 정보 흐름을 가시화하고, 이상 신호를 데이터로 증명하며, 규제 요건까지 동시에 충족할 수 있는 보안 체계가 필요하다. 위즈코리아 BlackBox Series는 그 요구에 정면으로 응답하는 기업 보안의 새로운 기준이 될 것으로 보인다.


[내부자 위협 대응 솔루션 집중 분석-5] 마크애니
내부 유출 사고 80% 차지하는 ‘내부자’ 타겟... 비가시성 워터마크 기술 결합
“몰래 찍어도 잡힌다”... 마크애니, ‘지능형 IRM’으로 내부 유출 원천 봉쇄

최근 기업 보안의 패러다임이 외부 해킹 방어에서 ‘내부 위협 관리’로 급격히 이동하고 있다. 실제 기밀 유출 사고의 약 80%가 전·현직 임직원 등 내부자에 의해 발생하고 있으며, 이 중 절반 이상(55%)은 단순 부주의에 의한 과실이다. 나머지 45%는 악의적인 의도나 탈취된 자격 증명을 이용한 고도의 유출 행위로 분석된다.

IRM 전문 기업 마크애니(MarkAny)는 이러한 내부자 위협을 근본적으로 차단하기 위해 파편화된 보안 기능을 하나로 통합한 ‘지능형 IRM’(Inside Risk Management) 체계를 선보이며 시장 공략에 속도를 내고 있다.

물리적 촬영까지 차단... 시각 인공지능 모델 기반 ‘SDR’ 기술 눈길
기존 보안 솔루션의 가장 큰 맹점은 모니터 화면을 스마트폰으로 직접 촬영하는 행위를 막지 못한다는 점이었다. 마크애니의 핵심 기술인 SDR(Screen Detection and Response)은 시각 인공지능 모델을 통해 사용자의 실시간 촬영 행위를 즉각 탐지한다. 스마트폰이 화면을 향하는 순간 이를 감지해 유출 시도를 원천 차단하는 방식이다. 만약 유출이 발생하더라도 추적은 피할 수 없다.

마크애니의 비가시성 워터마킹 기술은 육안으로는 보이지 않는 식별 ID, 접속 주소, 촬영 시간 등을 화면에 심어둔다. 이를 통해 유출된 사진이나 영상만으로도 누가, 언제, 어디서 정보를 빼냈는지 정밀 검출이 가능해 내부자에게 강력한 심리적 유출 억제력을 행사한다.

마이크로소프트(MS) E5 클라우드 보안의 사각지대, ‘SafePC Enterprise’로 메우다
많은 기업이 마이크로소프트(MS) E5 등 클라우드 기반 보안 인프라를 도입하고 있지만, 로컬 저장소나 오프라인 환경에서의 보안 공백은 여전한 숙제다. 마크애니는 자사의 SafePC Enterprise를 IRM 체계에 결합해 이 문제를 해결했다. 이 솔루션은 설계 도면(CAD)이나 소스코드 등 기업의 핵심 비정형 데이터를 자동으로 암호화하고, USB 등 저장 매체나 네트워크를 통한 외부 반출을 통합 제어한다. 클라우드 인프라가 미처 보호하지 못하는 ‘엔드포인트’(사용자 PC)의 모든 데이터 접점을 연결함으로써 완결성 있는 방어 체계를 제공하는 것이 특징이다.

글로벌 제조사 도입으로 실효성 입증... “가장 현실적인 보안 대안”
마크애니의 지능형 IRM은 이미 글로벌 자동차 제조사 등 대규모 사용자 환경에서 그 실효성을 입증했다. 도입 기업들은 유출 경로 추적 시간이 획기적으로 단축됐으며, 보안 사고 예방 효과가 현격히 높아졌다고 평가하고 있다.

최고 마크애니 대표는 “단순히 로그를 쌓는 방식에서 벗어나 데이터의 흐름과 사용자의 의도를 파악하는 것이 지능형 IRM의 핵심”이라며, “2026년 현재 가장 빈번하게 발생하는 촬영 유출과 로컬 데이터 보안 공백을 해결할 수 있는 가장 현실적이고 강력한 솔루션이 될 것”이라고 강조했다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>