“보안의 적은 조직 안에 있다”… 내부자 포섭 나선 해커들 [보안 아웃룩]
||2026.01.12
사이버 공격은 날로 정교해지고, 단편적 사건을 넘어 산업과 기술 환경 전반에 영향을 미치고 있다. 변화하는 위협 속에서 보안 시장과 기업 대응 체계는 재편의 기로에 놓였다. 2026년 신년 기획 ‘보안 아웃룩’에서는 사이버 보안 위협과 주요 트렌드를 짚고, 보안 시장과 환경이 향하는 방향을 조망한다. [편집자 주]
사이버 공격자들이 보안 취약점 공략은 물론 내부 직원 매수까지 병행하며 적극적으로 해킹에 나서고 있다. 한 번에 수천~수만 달러의 보상을 제시하며 직원들을 유혹하는 방식이다. 내부자는 이미 인증을 통과한 상태에서 시스템에 접근하기 때문에 보안 장벽을 손쉽게 우회할 수 있고 공격 성공률도 자연스럽게 높아진다. 이 때문에 내부자 포섭은 해커들 사이에서 가장 효율적인 공격 수단 중 하나로 자리 잡고 있다.
글로벌 보안 기업 체크포인트 소프트웨어 테크놀로지스의 연구 조직 체크포인트 리서치는 최근 공개한 보고서에서 내부자 포섭이 은행·통신사·기술 기업 전반을 노리고 빠르게 확산 중인 핵심 사이버 위협이라고 진단했다. 사이버 공격자들이 무차별 해킹이나 취약점 공격에만 의존하지 않고, 조직 내부 인력을 직접 끌어들여 기업 네트워크, 사용자 기기, 클라우드 환경에 접근하는 전략을 병행하고 있다는 분석이다.
체크포인트 리서치가 다크웹과 딥웹을 모니터링한 결과, 내부자 모집 게시글은 대체로 짧고 노골적인 형태로 올라온다. 고객 데이터나 시스템 접근 권한을 제공하면 3000달러~1만5000달러(약 2200만원)를 지급하겠다는 조건이 일반적이다. 게시글은 직원들에게 “끝없는 업무 사이클에서 벗어나라”며 내부 협조를 부추긴다. 장기 근속자를 겨냥해 “내부 협력이 곧 경제적 자유로 가는 빠른 길”이라는 식의 감정적·조작적 메시지를 사용했다.
주요 표적으로는 가상자산 거래소, 은행, 클라우드 서비스 제공업체(CSP) 직원이 지목됐다. 보고서에 따르면 최근 다크웹에는 코인베이스, 바이낸스, 크라켄, 제미니 등 주요 가상자산 거래소 직원을 찾는 게시글이 다수 포착됐다. 이와 함께 액센추어, 젠팩트 등 글로벌 컨설팅 기업 직원들도 표적 목록에 포함됐다. 미국 연방준비제도(Federal Reserve) 또는 협력 은행 시스템 접근 권한을 제공할 내부자를 찾는 게시글, 유럽 대형 은행의 내부 시스템 정보 제공을 요구한 사례도 있다. 일부는 단발성 거래가 아닌, 장기간 협력을 전제로 한 접근 양상도 확인됐다.
기술 기업을 겨냥한 접근 시도도 광범위하게 확인됐다. 체크포인트 리서치는 애플, 삼성전자, 샤오미 등 글로벌 제조사 직원을 찾는 게시글이 다수 발견됐다고 보고했다. 특히 미국 케이블TV·인터넷 서비스 기업인 콕스 커뮤니케이션즈 직원에게 고객 이메일 계정 재설정을 요구했고, CSP 직원을 대상으로는 고객사 계정 접근 권한 제공을 요구한 사례도 포착됐다고 밝혔다.
보고서는 해커가 먼저 접근하는 경우뿐 아니라, 직원이 스스로 접근 권한이나 내부 정보를 판매하겠다고 나서는 사례도 확인되고 있다고 지적했다. 내부자 위협이 단순한 외부 공격의 연장선이 아니라, 조직 내부 통제와 보안 문화 전반의 문제로 확산되고 있다는 분석이다.
체크포인트 리서치는 “이러한 흐름이 이어질 경우 내부자 위협을 사전에 식별하는 것이 점점 더 어려워질 수 있다”고 경고하며 “이 지점에서 방어 난이도가 급격히 높아진다”고 강조했다. 내부 직원이 공격에 가담할 경우 방어 체계를 비활성화하거나, 인증 정보와 권한 정보를 외부에 넘길 수 있어 기존 보안 장비와 관제 체계가 전제해온 ‘외부 위협’ 기반 보안 모델이 무력화되기 때문이다.
내부자 위협의 구조적 위험성은 쿠팡 개인정보 유출 사건에서도 확인된 바 있다. 쿠팡 사건에서는 중국 국적 개발자가 내부 시스템 접근 권한을 활용해 대규모 고객 정보를 외부로 유출한 정황이 드러났다. 민감 시스템에 접근 가능했던 단일 개발자의 관리되지 않은 권한이 곧 수천만명 규모의 고객 데이터로 직결될 수 있음을 보여준 사례다.
뿐만 아니라 내부자 위협은 적극적인 해킹 가담이 아니더라도 현실화될 수 있다는 점에서 더욱 주의가 필요하다. 얼마 전 있었던 신한카드 가맹점주 개인정보 유출 사건은 외부 공격 없이도 내부 직원의 반복적인 정보 조회와 외부 전달 행위가 대규모 유출 사고로 이어질 수 있음을 보여준다. 정상적인 업무 권한을 가진 내부자의 개인정보 접근·활용·반출 등 행위가 체계적으로 관리되지 않을 경우, 언젠가 반드시 개인정보 침해 사고라는 결과로 돌아온다는 게 보안 전문가들의 지적이다.
한 국내 보안 기업의 정보보호컨설팅 담당 임원은 “내부자 포섭은 보안 조직이 가장 간과하기 쉬운 사각지대”라며 “직원 보안 교육과 엄격한 접근 권한 통제 없이는 이러한 공격을 막기 어렵다”고 말했다. 이어 “내부자가 방어 체계를 무력화하거나 정보를 넘기는 순간 공격 차단은 급격히 어려워진다”며 “기술적 보안과 내부자 관리가 결합되지 않으면 유사한 사고는 반복될 수밖에 없다”고 덧붙였다.
정종길 기자
jk2@chosunbiz.com
