Profiling Insider Threats – Pre-detection model

최근 잇따른 정보유출 사고는 (일일이 열거하지 않아도) 상당수는 내부 사정을 잘 아는 내부자의 소행으로 밝혀졌다. 사실 인가된 사용자의 비정상적인 행위 탐지는 그 반대의 경우보다 훨씬 어려우며 설령 가능하다 해도 상당히 많은 리소스가 소모되는 일이다. 최근 방영되고 있는 ‘유령’이란 드라마에서도 가장 취약한 고리는 인간이라는 사실을 여실히 보여준다. 참고로 세계적인 데이터 유출 사고 기록은 datalossdb.org에서 볼 수 있다.

아직 보완해야 할 점이 많지만 수 년 전 논문으로 작성했던 내부자 위협 사전 탐지 모델을 간단히 소개한다. 사례연구, 범위, 동기, 세 가지 주요관점에 의거한 내부자 위협 지수라는 개념을 포함한다. 이 논문은 미 카네기 멜론 대학의 내부자 위협 연구의 사실을 근거로 작성되었다.


최근 다음 제하로 서적도 출판되었으니 참고바란다.

The CERT Guide to Insider Threats: How to Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud) (SEI Series in Software Engineering)

The consecutive incidents of information leakage turn out to be the result of insiders’  misconduct. It is much more, if any, difficult to detect them in that an authorized insider seems to be often dealt with trusted relationships. The TV drama lately named “Ghost” illustrates that the leakest link in information security is clearly the human. You may want to see data loss reports over the world in

The link above introduces the detection model of profiling insider threats in advance, which I wrote a couple of years ago. This covers case studies, scopes, motives, and the concept of insider threat index using three main perspectives. The paper is based on the insider threat study, CERT® Program Software Engineering Institute, Carnegie Mellon University and National Threat Assessment Center, United States Secret Service, 2004-2008. Or refer to the amazon link for the study.