최근 퇴사자 권한 오남용으로 촉발된 대규모 개인정보 유출 사고는 내부자 위협이 기업 신뢰와 직결되는 경영 리스크임을 다시 한번 확인시켰다. 외부 공격 차단에 집중해온 기존 경계형 보안 체계가 정상 권한을 활용한 내부 위협 앞에서는 사실상 무력하다는 점도 드러났다. 안랩은 이러한 환경 변화에 대응해 AI 기반 사용자 행위 분석을 중심으로 하는 AhnLab XDR을 통해 내부자 위협을 실시간으로 감지하고 차단하는 선제적 통합 보안 전략을 제시하고 있다.

내부자 위협, 왜 기존 보안으로는 한계가 있는가

내부자 위협(Insider Threat)은 합법적인 접근 권한을 가진 사용자가 고의 또는 과실로 조직 자산을 남용하는 보안 위협을 의미한다. 내부자 위협이 무서운 이유는 이들이 '정상 계정'을 사용한다는 점이다. 이미 인증을 통과한 ID와 권한을 보유하고 있기 때문에, 방화벽이나 안티바이러스 같은 전통 보안 수단은 사실상 무력화된다. ‘외부 침입자’를 막도록 설계된 경계형 보안은 이미 ‘안쪽에 있는 위협’을 구분해내는 데 한계가 있다.

클라우드 확산과 원격 근무의 보편화는 이러한 한계를 더욱 확대시켰다. 데이터 접근 방식이 경계 중심에서 사용자 ID 중심으로 이동하면서, 퇴사자 계정 하나가 회수되지 않은 채 방치되거나 협력업체 직원의 접근 권한이 계약 종료 후에도 살아있는 것만으로도 심각한 보안 취약점이 된다. 내부자 위협 대응의 핵심은 더 이상 ‘누가 내부자인가’를 의심하는 것이 아니라, 모든 계정을 잠재적 위험 요소로 보고, 정상 권한을 가진 사용자라 하더라도 그 행위를 지속적으로 검증하는 체계를 구축하는 것이다.

알림의 홍수에서 진짜 위협을 가려내는 AhnLab XDR

이러한 환경 변화 속에서 주목받는 보안 플랫폼이 XDR(eXtended Detection & Response)이다. 위협 표면이 엔드포인트, 네트워크, 클라우드 등으로 확장되면서 기업들은 각 영역을 방어하기 위해 다양한 보안 솔루션을 도입해왔다. 가트너에 따르면 2024년 기준 기업이 평균적으로 운영하는 보안 솔루션 수는 45개에 달하며, 최대 130개의 솔루션을 운영하는 기업도 있는 것으로 조사됐다. 그러나 솔루션이 늘어날수록 탐지 이벤트와 알림 역시 기하급수적으로 증가했고, 수천 건의 알림 속에서 정작 지금 당장 대응해야 할 위협이 무엇인지 판단하기 어려워졌다.

AhnLab XDR은 이 문제에서 출발한다. 핵심 철학은 무조건 많이 탐지해 보여주는 것이 아니라, 대응 우선순위를 제공해 조직의 리스크를 낮추고 보안 태세를 강화하는 데 있다. 이를 위해 각 보안 솔루션에서 생성되는 데이터를 통합 수집·정규화하고, 이벤트 간의 상관관계를 분석해 리스크를 식별하며, 여러 이벤트를 하나의 사건(Incident) 흐름으로 재구성한다. 개별 솔루션의 알림만으로는 정상으로 보이던 행위도, 전체 맥락(Context) 속에서 연결되면 그 안에 숨겨진 위협의 흐름이 드러난다.

이렇게 식별된 리스크에는 고도화된 계산식을 적용해 리스크 지수(Risk Score)를 산정한다. 자산의 중요도, 이벤트 특성, 발생 확률, 가중치 등을 종합적으로 계산해 0~100점으로 수치화하며, 위험 확률이 같더라도 자산의 중요도에 따라 다른 점수가 부여된다. 보안 담당자는 이 점수를 기준으로 지금 조직에 가장 큰 영향을 미칠 리스크가 무엇인지 직관적으로 파악해 우선 대응할 수 있다. 이것이 단순 탐지 솔루션과 XDR 플랫폼의 결정적 차이다.

내부 데이터 유출, AI가 ‘행동 패턴’으로 잡아낸다

AhnLab XDR이 내부자 위협 대응에 강점을 가지는 이유는 AI 기반 행위 분석 역량에 있다. 내부자 위협은 대부분 명확한 악성 코드나 침투 흔적을 남기지 않는다. 정상 권한을 사용하기 때문에, 단일 이벤트만으로는 이상 여부를 판단하기 어렵다. 따라서 내부자 위협을 탐지하기 위해서는 개별 이벤트가 아닌 ‘사용자 행위 패턴’을 분석해야 한다.

AhnLab XDR은 AI 기반 행위 분석을 통해 사용자와 자산의 평소 활동 패턴을 학습하고, 이를 기준으로 정상 범위를 벗어난 행위를 탐지한다. 예를 들어, 평소 오후 6시에 퇴근하고 하루 10건 미만의 파일만 다운로드하던 직원이 어느 날 밤 9시, 타 지역에서 VPN으로 접속해 대량의 프로젝트 파일을 다운로드하고 외부 메일 전송을 시도했다. 각각의 행위는 단독으로 보면 정상 범주 안에 있다. 그러나 AhnLab XDR은 평소 패턴을 벗어난 행위들을 하나의 흐름으로 연결해 데이터 유출 시도로 판단해 대응한다. 보안 담당자는 다음날 아침 AhnLab XDR 대시보드에서 이 모든 경위와 자동 대응 이력을 한눈에 확인할 수 있다.

이미지 1. AhnLab XDR 내부자 위협 탐지 시나리오

내부자 위협 대응의 핵심은 ‘선제적 보안’
최근 잇따르는 내부자 위협 사고가 남긴 교훈은 분명하다. 내부자 위협은 이제 기업 신뢰도와 직결되는 경영 리스크다. 그러나 내부자 위협의 특성상 사고가 발생한 이후에야 피해를 인지하는 경우가 많다. 내부자 위협 대응의 핵심은 이상 징후를 조기에 인지하고 사전에 대응할 수 있는 ‘선제적 보안’ 체계를 구축하는 데 있다.

지금 기업에 필요한 것은 또 하나의 개별 솔루션이 아니라, 조직 전반의 위험을 통합적으로 파악하고 우선순위에 따라 관리할 수 있는 전략적 보안 체계다. AhnLab XDR은 AI 기반 행위 분석을 통해 내부 사용자의 이상 행위를 실시간으로 감지하고 자동 대응함으로써, 내부자 위협 대응을 ‘사후 대응’ 중심에서 벗어나 AI 기반 ‘선제적 방어’ 체계로 전환하는 현실적인 해법이 될 수 있다.

출처 : AhnLab