2014.04.16

공든 조직 와르르··· ‘내부자 위협’, 어떻게 포착할 것인가

Ira Winkler, Samantha Manke | CSO

에드워드 스노든 사태는 내부자 위협이 그 어느 때보다 위험한 존재가 되었음을 모두에게 알리는 역할을 했다. 이제는 단 한 명의 한 마디 발언이 기업 전체를 무너뜨릴 수도 있는 시대다.

어떤 기업에서도 일어날 수 있는 이와 같은 사고를 막기 위해선 기술적 조치뿐 아니라 비정상적인 행동 신호를 감지하는 역할을 수행하는, 인적 대응 프로그램 역시 반드시 요구된다.

그렇다면, 조직 내 불신 문화를 쌓지 않으면서도 악의를 지닌 내부자를 전략적으로 파악해낼 방법을 어떻게 공유할 수 있을까?

과거 필자가 NSA에 몸 담았을 때, 동료 한 명이 두 건의 문서를 가지고 온 적이 있다. 모두 유사한 직원 유형을 묘사하는 내용을 담고 있었다. 그 특성이란 다음과 같다:

1) 동료들의 작업에 관심이 많다
2) 추가적 업무를 자발적으로 맡는다
3) 늦게까지 업무를 처리하는 날이 많다
4) 휴가를 가지 않는다

첫 번째 문서는 인사 부서에서 발간한 ‘승진 전략서'였고, 다른 하나는 보안 사업부가 발간한 ‘스파이 의심 직원 감지법'이었다.

결론적으로 NSA는 스노든의 유형을 분류하는데 실패했다. 그의 이전 직장인 CIA의 경우 그를 스파이 의심자로 정확히 분류해낸 것과는 비교되는 결과다. 스노든은 그 어느 곳보다 보안이 중요하게 여겨지는 정보 기관에서조차 악의를 지닌 내부자를 포착하는 활동은 명확한 기준 없이 이뤄지고 있음을 여실히 보여줬다.

그렇다면 NSA와 같은 정보 기관도 아닌 기업에서는 어떻게 위협 인물을 (마녀 사냥의 위험 없이) 감지해낼 수 있을까?

시간 여유는 없는 상황이다. 악의적 내부자는, 모든 유형의 기업에게 피해를 입히고 있다. 모든 직급의 인물을 통해 일어날 수 있는 문제다.

일부 매우 영리한 악의적 내부자들은 자신의 행동을 거의 완벽히 감춰버리기도 하지만, 대부분의 악의적 내부자들은, 그 어떠한 징후와 흔적을 남긴다. 그리고 이러한 징후와 흔적을 가장 잘 탐지할 수 있는 것은, 적절한 감지 프로그램을 익힌 동료 직원들이다.

의심과 인식 사이의 균형을 맞추는 것은 쉽지 않은 일임에 분명하다. 그러나, 이는 기업의 질서 유지를 위해 반드시 필요한 과정임을 기억해야 한다. 감지 프로그램을 효율적으로 운영하기 위한 방법으로 전문가들은 일반적으로 다음의 3가지 사항을 조언한다:

1) 정확한 문제 이해, 2) 취해야 할 대응 방법에 대한 이해, 3) 적절한 대응을 위한 동기 부여.

일반적으로 문제를 정확히 이해한다면, 그것 자체가 대응에 대한 동기가 될 수 있다. 그러나 프로그램이 충분한 효율성을 확보하기 위해서는 이 두 과정 모두를 보다 세밀하게 다룰 필요가 있다. 실재하는 문제에 대해 충분히 인식하지만, 자신이 나서 그것을 해결하고자 하는 의지는 없는 직원도 있을 수 있기 때문이다.

다행스러운 점이라 할 수 있는 사실은 근래 곳곳에서 내부자 위협 관련 사고가 많이 발생했고, 이 사고들이 교훈이 될 수 있다는 것이다. 스노든, 브래들리 매닝(Bradley Manning) 등 최근 이목을 끈 사례들은 단 ‘한 명'의 악의적 내부자가 얼마나 큰 타격을 줄 수 있는지를 여실히 보여줬다.

이들의 사례를 교훈 삼아 자신의 기업, 자신의 산업에 적합한 적절한 대응 체계를 구축할 필요가 있다. 일부 기업들은 자신들에게서 발생한 사고를 공론화하길 원치 않는 모습을 보여주기도 한다. 그러나 이들의 사례 역시 익명으로 회자되기는 마찬가지다.

최근의 크고 작은(때론 익명의) 내부자 위협 사고들이 전하는 메시지는 분명하다. 악의적 내부자는 현대 비즈니스의 심각한 위협이다. 발생하는 이상 신호를 무시하지 말고, 적절한 대비 전략을 세워 위험을 예방해야 한다.

사고 사례들이 전하는 교훈은 “어떤 이상을 발견한다면, 그에 관한 어떤 이야기를 공유하라”라는 명제로 정리할 수도 있을 것이다. 내부자 위협 감지 프로그램의 핵심은 규정이나 정책 위반 사례를 정확히 포착해내는 것이다. 내부자 위협 사고를 막을 수 있는 것은 사람, 바로 자신들임을 직원들에게 분명히 인식 시키는 것 역시 중요한 과정이다.

하지만 기업이 직원들의 상호 고발의 장이 되어서는 안될 것이다. 직원들에게 보고해야 할 규정 및 절차 위반 사례를 구체적으로 제시해 이런 문제를 예방하도록 하라. 구체적인 사례로는 동료의 책상을 뒤지는 직원, 동료에게 패스워드를 물어보는 직원, 자신의 업무와 관련 없는 영역을 서성이는 직원, 다른 이의 컴퓨터 계정에 접근을 시도하는 직원 등을 생각해볼 수 있다. 재무 분야에서의 위반 사례 역시 주의를 기울여야 할 부분이다.




2014.04.16

공든 조직 와르르··· ‘내부자 위협’, 어떻게 포착할 것인가

Ira Winkler, Samantha Manke | CSO

에드워드 스노든 사태는 내부자 위협이 그 어느 때보다 위험한 존재가 되었음을 모두에게 알리는 역할을 했다. 이제는 단 한 명의 한 마디 발언이 기업 전체를 무너뜨릴 수도 있는 시대다.

어떤 기업에서도 일어날 수 있는 이와 같은 사고를 막기 위해선 기술적 조치뿐 아니라 비정상적인 행동 신호를 감지하는 역할을 수행하는, 인적 대응 프로그램 역시 반드시 요구된다.

그렇다면, 조직 내 불신 문화를 쌓지 않으면서도 악의를 지닌 내부자를 전략적으로 파악해낼 방법을 어떻게 공유할 수 있을까?

과거 필자가 NSA에 몸 담았을 때, 동료 한 명이 두 건의 문서를 가지고 온 적이 있다. 모두 유사한 직원 유형을 묘사하는 내용을 담고 있었다. 그 특성이란 다음과 같다:

1) 동료들의 작업에 관심이 많다
2) 추가적 업무를 자발적으로 맡는다
3) 늦게까지 업무를 처리하는 날이 많다
4) 휴가를 가지 않는다

첫 번째 문서는 인사 부서에서 발간한 ‘승진 전략서'였고, 다른 하나는 보안 사업부가 발간한 ‘스파이 의심 직원 감지법'이었다.

결론적으로 NSA는 스노든의 유형을 분류하는데 실패했다. 그의 이전 직장인 CIA의 경우 그를 스파이 의심자로 정확히 분류해낸 것과는 비교되는 결과다. 스노든은 그 어느 곳보다 보안이 중요하게 여겨지는 정보 기관에서조차 악의를 지닌 내부자를 포착하는 활동은 명확한 기준 없이 이뤄지고 있음을 여실히 보여줬다.

그렇다면 NSA와 같은 정보 기관도 아닌 기업에서는 어떻게 위협 인물을 (마녀 사냥의 위험 없이) 감지해낼 수 있을까?

시간 여유는 없는 상황이다. 악의적 내부자는, 모든 유형의 기업에게 피해를 입히고 있다. 모든 직급의 인물을 통해 일어날 수 있는 문제다.

일부 매우 영리한 악의적 내부자들은 자신의 행동을 거의 완벽히 감춰버리기도 하지만, 대부분의 악의적 내부자들은, 그 어떠한 징후와 흔적을 남긴다. 그리고 이러한 징후와 흔적을 가장 잘 탐지할 수 있는 것은, 적절한 감지 프로그램을 익힌 동료 직원들이다.

의심과 인식 사이의 균형을 맞추는 것은 쉽지 않은 일임에 분명하다. 그러나, 이는 기업의 질서 유지를 위해 반드시 필요한 과정임을 기억해야 한다. 감지 프로그램을 효율적으로 운영하기 위한 방법으로 전문가들은 일반적으로 다음의 3가지 사항을 조언한다:

1) 정확한 문제 이해, 2) 취해야 할 대응 방법에 대한 이해, 3) 적절한 대응을 위한 동기 부여.

일반적으로 문제를 정확히 이해한다면, 그것 자체가 대응에 대한 동기가 될 수 있다. 그러나 프로그램이 충분한 효율성을 확보하기 위해서는 이 두 과정 모두를 보다 세밀하게 다룰 필요가 있다. 실재하는 문제에 대해 충분히 인식하지만, 자신이 나서 그것을 해결하고자 하는 의지는 없는 직원도 있을 수 있기 때문이다.

다행스러운 점이라 할 수 있는 사실은 근래 곳곳에서 내부자 위협 관련 사고가 많이 발생했고, 이 사고들이 교훈이 될 수 있다는 것이다. 스노든, 브래들리 매닝(Bradley Manning) 등 최근 이목을 끈 사례들은 단 ‘한 명'의 악의적 내부자가 얼마나 큰 타격을 줄 수 있는지를 여실히 보여줬다.

이들의 사례를 교훈 삼아 자신의 기업, 자신의 산업에 적합한 적절한 대응 체계를 구축할 필요가 있다. 일부 기업들은 자신들에게서 발생한 사고를 공론화하길 원치 않는 모습을 보여주기도 한다. 그러나 이들의 사례 역시 익명으로 회자되기는 마찬가지다.

최근의 크고 작은(때론 익명의) 내부자 위협 사고들이 전하는 메시지는 분명하다. 악의적 내부자는 현대 비즈니스의 심각한 위협이다. 발생하는 이상 신호를 무시하지 말고, 적절한 대비 전략을 세워 위험을 예방해야 한다.

사고 사례들이 전하는 교훈은 “어떤 이상을 발견한다면, 그에 관한 어떤 이야기를 공유하라”라는 명제로 정리할 수도 있을 것이다. 내부자 위협 감지 프로그램의 핵심은 규정이나 정책 위반 사례를 정확히 포착해내는 것이다. 내부자 위협 사고를 막을 수 있는 것은 사람, 바로 자신들임을 직원들에게 분명히 인식 시키는 것 역시 중요한 과정이다.

하지만 기업이 직원들의 상호 고발의 장이 되어서는 안될 것이다. 직원들에게 보고해야 할 규정 및 절차 위반 사례를 구체적으로 제시해 이런 문제를 예방하도록 하라. 구체적인 사례로는 동료의 책상을 뒤지는 직원, 동료에게 패스워드를 물어보는 직원, 자신의 업무와 관련 없는 영역을 서성이는 직원, 다른 이의 컴퓨터 계정에 접근을 시도하는 직원 등을 생각해볼 수 있다. 재무 분야에서의 위반 사례 역시 주의를 기울여야 할 부분이다.


X