티스토리 뷰
목차
보안 위협의 양상은 갈수록 지능화되고 있으며, 특히 기업을 노리는 공격은 점점 더 고도화된 방식으로 진화하고 있습니다. 그중에서도 RaaS(서비스형 랜섬웨어), 내부 데이터 유출(DLP), 다중인증(MFA)은 오늘날 보안 담당자가 반드시 이해하고 통제해야 할 핵심 키워드입니다. 이 글에서는 각 요소가 가지는 보안적 의미와, 실무에서 기업 보안 담당자가 어떻게 대응할 수 있는지를 실질적인 관점에서 정리합니다.
RaaS: 조직적이고 상업화된 랜섬웨어 공격의 확산
과거의 랜섬웨어는 기술력이 있는 해커 개인이 단순히 파일을 암호화하고 금전을 요구하는 형태가 대부분이었습니다. 하지만 최근 몇 년 사이 RaaS(Ransomware-as-a-Service)라는 새로운 형태의 사이버 공격이 주류로 떠오르면서, 기업 보안의 판도가 완전히 달라졌습니다. RaaS는 말 그대로 '랜섬웨어를 서비스처럼 제공하는 구조'를 의미합니다. 공격자가 아닌 일반 범죄자가 암시장이나 다크웹에서 랜섬웨어 키트를 구매하거나 임대해 공격을 실행할 수 있도록 하면서, 사이버 공격의 진입장벽이 현저히 낮아졌습니다. 이제 기술이 없어도, 금전만 있다면 누구나 기업을 공격할 수 있게 된 것입니다. 특히 RaaS는 타겟팅 기능도 매우 정교합니다. 산업군, 조직 규모, 주요 문서 유형 등을 기반으로 맞춤형 공격을 수행할 수 있으며, 피해를 입은 기업의 데이터를 미리 분석하여 협박 수위를 조절하는 등 '정찰형 공격'도 빈번해지고 있습니다. 이에 따라 보안 담당자는 기술 대응뿐만 아니라, 사전 탐지 체계 및 대응 시나리오 수립, 전사적 훈련을 병행해야 하며, 랜섬웨어에 대한 단순 방어를 넘어서 복구 체계와 백업 전략까지 포함한 총체적 보안 체계를 점검해야 합니다. RaaS 공격은 단순히 암호화와 금전 요구에 그치지 않습니다. 최근에는 데이터를 유출한 뒤 기업의 신뢰도에 타격을 주기 위해 언론사나 투자자에게 유출 사실을 먼저 알리는 방식까지 등장했습니다. 이로 인해 기업은 금전 손실뿐 아니라 평판 리스크까지 감당해야 하는 이중 피해를 입습니다. 또한 일부 RaaS 그룹은 피해 기업의 내부 구조, 조직도, 연간 매출 등을 조사한 뒤 맞춤형 협박 전략을 펼치기도 합니다. 보안 담당자는 단순한 공격 차단이 아닌, 사이버 리스크 시나리오 기반의 대응 매뉴얼을 수립하고, 다부서 협업체계를 정기적으로 점검해야 합니다.
DLP: 내부 유출은 항상 ‘내부자’로부터 시작된다
많은 기업이 외부 해킹에만 집중한 나머지, 내부 데이터 유출에 대한 경계는 소홀한 경우가 많습니다. 그러나 실제 보안 사고 중 상당수가 내부자 또는 퇴사자, 혹은 실수에 의해 발생합니다. 이때 가장 중요한 역할을 하는 것이 바로 DLP(Data Loss Prevention) 시스템입니다. DLP는 기업 내 데이터를 식별하고, 중요 정보가 외부로 유출되는 것을 방지하기 위한 기술입니다. 이메일, USB, 클라우드 업로드, 인쇄 등 다양한 전송 경로를 모니터링하며, 지정된 규칙에 따라 특정 행동을 차단하거나 관리자에게 경고를 보냅니다. 예를 들어, 내부 직원이 대량의 고객 정보를 이메일 첨부 파일로 외부에 발송하려 할 경우, DLP는 이를 감지하고 발송을 중지하거나 기록을 남깁니다. 보안 담당자는 DLP를 단순히 '감시 도구'로 인식해서는 안 됩니다. 실제 업무 흐름을 방해하지 않으면서도 핵심 데이터를 효과적으로 보호하는 정책을 설계하고, 각 부서와의 커뮤니케이션을 통해 정책 수용성을 확보해야 합니다. 더불어 문서 등급 분류, 자동 태깅, 암호화 정책과의 연동 등을 통해 보안성을 한층 강화할 수 있습니다. 특히 재택근무나 외부 협력업체 활용이 일반화된 환경에서는, 네트워크 외부에서도 작동 가능한 클라우드 기반 DLP 설루션 도입이 효과적일 수 있습니다. DLP 시스템의 진화는 단순한 탐지 단계를 넘어, **사용자 행동 분석(UEBA)**과 결합되어 보다 정교한 통제 기능을 제공하고 있습니다. 예를 들어 특정 직원이 평소보다 많은 파일을 이동하거나, 평소와 다른 시간대·기기에서 접속할 경우 이를 위험 신호로 인식하고 자동 차단하거나 관리자 알림을 발생시킵니다. 하지만 기술적 차단만으로는 충분하지 않습니다. 교육 없는 DLP는 업무 효율성 저하와 직원 불만으로 이어질 수 있기 때문에, 보안 담당자는 기술과 함께 문화적 수용성 확보를 위한 내부 커뮤니케이션 전략도 병행해야 합니다.
MFA: 인증 체계는 다중화가 기본이다
오늘날 대부분의 보안 침해 사고는 계정 탈취에서 시작됩니다. 관리자 계정 하나가 뚫리는 순간, 공격자는 내부망에 접근해 권한 상승을 시도하고 시스템 전체를 장악할 수 있습니다. 이를 방지하기 위한 기본이 바로 MFA(Multi-Factor Authentication), 즉 다중인증입니다. MFA는 기존의 ID/비밀번호 방식에 더해, 인증앱, 생체정보, 하드웨어 키, 1회용 OTP 등의 추가 요소를 요구합니다. 공격자가 비밀번호를 탈취하더라도, 2차 인증 수단이 없으면 접근이 불가능하기 때문에 침투 확률을 현저히 낮출 수 있습니다. 특히 기업 보안 담당자는 전 임직원이 MFA를 필수로 설정하도록 정책을 강제하고, 관리자 계정이나 민감 시스템에는 물리적 보안키(FIDO2 등)를 사용하는 방식으로 보안 강도를 높일 필요가 있습니다. 더불어 로그인 이력, 이상 징후 탐지, 접속 국가 및 기기 제한 등과 연계하여 리스크 기반 인증(Risk-based Authentication)을 구현하면 더욱 효과적입니다. 중요한 것은, MFA가 단지 기술 구현에서 끝나는 것이 아니라 직원 교육, 기술 지원, 사용자 피드백 반영을 통해 전사적으로 정착되어야 한다는 점입니다. 또한, MFA 설정 미흡 계정을 정기적으로 점검하고, 우회 시도에 대한 감시 체계를 마련하는 것이 장기적인 보안 유지를 위한 핵심 전략입니다. MFA 적용 시 가장 많이 간과되는 부분은 ‘유지 관리’입니다. 보안 담당자는 MFA 도입 이후에도 정기적인 상태 점검, 미적용 계정 확인, 백업 인증 수단 등록 여부 등을 지속적으로 관리해야 합니다. 또한 MFA 도입으로 인해 사용자 경험이 지나치게 불편해질 경우, 직원들이 이를 우회하거나 비활성화하려는 경향도 나타납니다. 이를 방지하기 위해, 위험 기반 접근제어(RBAC)와 결합해 고위험 작업에만 MFA를 추가하거나, 신뢰 기기에서는 간소화하는 방식의 UX 조정이 필요합니다. 단순한 일괄 적용이 아니라, 조직과 사용자 특성을 고려한 유연한 MFA 정책 설계가 중요합니다.
기업 보안 담당자의 역할은 단순히 시스템을 지키는 것을 넘어, 위험을 예측하고 사람과 기술, 정책을 연결하는 전략가로 확장되고 있습니다. RaaS의 외부 위협, DLP를 통한 내부 통제, 그리고 MFA 기반 인증 체계는 서로 유기적으로 연결되어야 하며, 기술적 도입만큼 중요한 것은 실제 현장에서 어떻게 운용되고 있는가입니다. 변화하는 공격 환경 속에서, 보안 담당자는 '도입'보다 '운영'에 방점을 두고, 실무에 기반한 보안 체계를 구축해 나가야 할 때입니다.
📌 출처
- ENISA Threat Landscape 2025
https://www.enisa.europa.eu/topics/csirt-cert-services - MITRE ATT&CK Framework – Insider Threats
https://attack.mitre.org - IBM Cost of a Data Breach Report 2025
https://www.ibm.com/reports/data-breach - Microsoft Zero Trust & Identity Security
https://www.microsoft.com/security - Gartner: Best Practices for MFA in Enterprise Environments
https://www.gartner.com