2015.02.05

산업 스파이·악의적 직원으로부터 기밀을 보호하는 방법

David Geer | CSO
일부 스파이들은 기업 기밀을 탈취하기 위해 ‘취업’을 이용한다. 어떤 이들은 다른 일자리를 알아보기 위해 가능한 많은 회사 정보를 갖고 떠나야 한다는 유혹에 빠지기도 한다.

이는 무슨 말일까? 배신자를 색출하고 민감한 데이터에 대한 접근을 제한하고자 하는 노력만으로는 충분하지 않을 수 있다는 의미다. CSO온라인닷컴은 이런 정보 슬리퍼 에이전트(Sleeper Agent)에 대한 장벽은 무엇인지, 산업 스파이가 보호체계를 통과하는 방법은 어떤 것들이 있는지, 보안 책임자들이 데이터 저장소를 안전하게 보호할 수 있는 기술적인 방법으로는 어떤 것들이 가능한지에 대해 주목해봤다.



"진입"
때때로 산업 스파이는 자신의 의도를 숨긴 채 순수하게 일자리를 찾는 것처럼 속여 다른 조직으로부터 진입한다. 이를 막기 위해서는 경쟁사 출신 직원을 막아야 할까? 그러나 경쟁사 출신의 직원을 전적으로 배제하는 것은 불가능에 가깝다. 때로는 오히려 경쟁사 출신의 직원이 소중한 자산일 수 있다. 그 긍정적인 효과를 감안하면 경쟁사 출신을 배제하는 것이 바람직하지 못한 조치일 수 있다.

"경쟁사의 직원은 기업이 원하는 기술, 시장 지식, 경험이 있기 때문에 훌륭한 후보감이다"고 보메트릭(Vormetric)의 CSO 솔 케이츠는 말했다.

사기 취업자 방지 노력은?
대다수 기업은 간단한 신상 및 추천 확인만 실시할 뿐 숨겨진 동기를 찾아내려 노력하지는 않는다. "기밀 정보를 주기적으로 취급하는 일부 정부 협력사들조차도 보안 확인 절차를 통해 제공한 신상정보 확인에만 전적으로 의존할 뿐 추가적인 확인 절차를 실시하지 않는다"라고 DBWIG(Dinolt, Becnel, & Wells Investigative Group)의 경영 파트너 필립 벡넬은 진단했다.

방법 중 하나는 이전의 고용주가 지원자를 기업 데이터 및 IP(Intellectual Property) 간첩행위로 고소한 적이 없는지 확인하기 위해 법적 신상정보 확인을 실시하는 것일 수 있다. 하지만 이런 조치는 후보자가 이미 간첩행위를 실행에 옮기고 고용주가 이를 발견한 전력이 있는 경우에만 유효하다.

기업의 정보에 몰래 접근하는 이는?
다행히 현실은 첩보 영화와 다르다. 스파이 활동을 위해 차근차근 시작하는 산업 스파이는 사실 거의 없다.

기업 간첩행위자 대다수는 스파이 활동을 위해 감시가 덜하면서도 기회가 많은 직종을 통해 진입함으로써 데이터에 접근한다. "수위나 우편실 직원 등 진입장벽이 낮은 하위 직종을 통해 기업에 손쉽게 취업할 수 있으며, 스파이는 왕국으로 들어가는 열쇠를 얻게 된다"라고 벡넬이 말했다.

이와 관련해 목표 기업에서 이미 근무하는 누군가를 매수하면 스파이를 더욱 손쉽게 잠입시킬 수 있다. 벡넬은 "경쟁사에서 불만이 많은 직원에 접근하여 더 나은 보상이 제공되는 직위를 제시하면서 회사를 떠나기 전에 민감한 모든 데이터를 유출하도록 요구하는 것이 일반적이다"라고 말했다.

특히 현직 직원을 유혹하려 한다면, 모든 데이터에 일일이 접근할 수 있으며 감사를 받지 않는 IT 직원이 가장 스파이로서 매력적이다. 케이츠는 "실제로 일부 대형 간첩행위는 IT 종사자들에 의해 이뤄졌다"라고 말했다.

차단하거나 금지하거나
신중하고 엄격한 신상정보 확인을 이용하면 경쟁사 또는 해외에서 근무하는 간첩행위자를 실수로 채용하는 일이 줄어들 것이다. 이 때 주의할 점은 하위직에도 기준을 높여야 한다는 점이다. 벡넬은 "하위직 직원도 부사장을 채용하듯이 해야 한다"라고 말했다.

경쟁사 출신자를 채용할 때는, 신상정보와 의도 확인에 신중을 기해야 한다. 강력한 보안이 필요한 경우라면 거짓말 탐지기 사용 비용과 이를 사용하지 않았을 때 치러야 할 대가도 고려해야 한다.

HR 부서의 역할도 있다. 채용자를 가르치면서 모니터링을 함께 수행해야 한다. 케이츠는 그들이 업무시간에 업무 외에 다른 무엇인가를 하고 한다면 그 무엇인가가 간첩행위일 수 있다고 지적했다.

무엇보다도 가장 중요한 것은 지적 재산, 고객 데이터, 기타 산업스파이가 관심을 가질 만한 데이터 등 민감한 정보에 대한 직원의 노출도를 확인하고 제한할 수 있는 방안을 마련하는 것이다. 민감한 정보에 대한 직원의 접근성을 감시할 적절한 통제수단을 마련해야 한다.

이와 관련해 빅데이터(Big Data) 감사를 통해 기업은 보호가 필요한 부분을 인지하여 민감한 정보에 강력한 보호수단을 적용할 수 있다. 감사를 통해 데이터의 양, 새로운 데이터의 종류, 데이터 민감성 증가 등에 관한 정보를 파악할 수 있기 때문에 위험 및 영향분석을 실시함으로써 무엇이 가장 중요한지 파악할 수 있다.

이를 토대로 기업은 다양한 데이터 및 데이터 저장소를 보호할 방법과 정보를 확인 또는 접근해야 하는 사람의 역할, 책임, 지식에 기초한 접근성 관리 방법을 결정할 수 있다.

이와 함께 불만이 많은 직원이 간첩행위자로 돌변하지 않도록 인사 정책을 마련해야 한다. 벡넬은 "보상과 대우가 좋은 직원은 배신할 가능성이 낮다"라고 말했다.

산업 스파이를 차단할 수 있는 기타 접근방식으로는 사람들에게 경쟁금지 합의서에 서명하도록 하고 컴퓨터 사용에 대한 기업 감시 및 기록에 관한 기업정책을 공표할 수 있다.

벡넬은 "이를 통해 불만에 찬 직원이 경쟁사로 이직하기 전 민감한 데이터를 USB 드라이브로 옮길 때 한 번 더 생각할 수 있도록 할 수 있다"라고 말했다. 또한 기업 입장에서는 향후 이를 법적 청구의 근거로 활용할 수 있다.

IT 직원의 경우, 별도의 보안부서에 관리하는 암호화 및 접근 관리를 활용해 데이터를 보지 않고도 업무를 처리할 수 있도록 조치할 수 있다. 예를 들어, 백업을 위해 IT 직원이 데이터를 확인할 필요는 없다. 케이츠는 데이터의 암호화된 상태를 유지하고 키를 다른 사람에게 맡겨 둠으로써 기업은 시스템 관리자의 데이터 간첩행위를 성공적으로 예방할 수 있다고 조언했다. ciokr@idg.co.kr 

2015.02.05

산업 스파이·악의적 직원으로부터 기밀을 보호하는 방법

David Geer | CSO
일부 스파이들은 기업 기밀을 탈취하기 위해 ‘취업’을 이용한다. 어떤 이들은 다른 일자리를 알아보기 위해 가능한 많은 회사 정보를 갖고 떠나야 한다는 유혹에 빠지기도 한다.

이는 무슨 말일까? 배신자를 색출하고 민감한 데이터에 대한 접근을 제한하고자 하는 노력만으로는 충분하지 않을 수 있다는 의미다. CSO온라인닷컴은 이런 정보 슬리퍼 에이전트(Sleeper Agent)에 대한 장벽은 무엇인지, 산업 스파이가 보호체계를 통과하는 방법은 어떤 것들이 있는지, 보안 책임자들이 데이터 저장소를 안전하게 보호할 수 있는 기술적인 방법으로는 어떤 것들이 가능한지에 대해 주목해봤다.



"진입"
때때로 산업 스파이는 자신의 의도를 숨긴 채 순수하게 일자리를 찾는 것처럼 속여 다른 조직으로부터 진입한다. 이를 막기 위해서는 경쟁사 출신 직원을 막아야 할까? 그러나 경쟁사 출신의 직원을 전적으로 배제하는 것은 불가능에 가깝다. 때로는 오히려 경쟁사 출신의 직원이 소중한 자산일 수 있다. 그 긍정적인 효과를 감안하면 경쟁사 출신을 배제하는 것이 바람직하지 못한 조치일 수 있다.

"경쟁사의 직원은 기업이 원하는 기술, 시장 지식, 경험이 있기 때문에 훌륭한 후보감이다"고 보메트릭(Vormetric)의 CSO 솔 케이츠는 말했다.

사기 취업자 방지 노력은?
대다수 기업은 간단한 신상 및 추천 확인만 실시할 뿐 숨겨진 동기를 찾아내려 노력하지는 않는다. "기밀 정보를 주기적으로 취급하는 일부 정부 협력사들조차도 보안 확인 절차를 통해 제공한 신상정보 확인에만 전적으로 의존할 뿐 추가적인 확인 절차를 실시하지 않는다"라고 DBWIG(Dinolt, Becnel, & Wells Investigative Group)의 경영 파트너 필립 벡넬은 진단했다.

방법 중 하나는 이전의 고용주가 지원자를 기업 데이터 및 IP(Intellectual Property) 간첩행위로 고소한 적이 없는지 확인하기 위해 법적 신상정보 확인을 실시하는 것일 수 있다. 하지만 이런 조치는 후보자가 이미 간첩행위를 실행에 옮기고 고용주가 이를 발견한 전력이 있는 경우에만 유효하다.

기업의 정보에 몰래 접근하는 이는?
다행히 현실은 첩보 영화와 다르다. 스파이 활동을 위해 차근차근 시작하는 산업 스파이는 사실 거의 없다.

기업 간첩행위자 대다수는 스파이 활동을 위해 감시가 덜하면서도 기회가 많은 직종을 통해 진입함으로써 데이터에 접근한다. "수위나 우편실 직원 등 진입장벽이 낮은 하위 직종을 통해 기업에 손쉽게 취업할 수 있으며, 스파이는 왕국으로 들어가는 열쇠를 얻게 된다"라고 벡넬이 말했다.

이와 관련해 목표 기업에서 이미 근무하는 누군가를 매수하면 스파이를 더욱 손쉽게 잠입시킬 수 있다. 벡넬은 "경쟁사에서 불만이 많은 직원에 접근하여 더 나은 보상이 제공되는 직위를 제시하면서 회사를 떠나기 전에 민감한 모든 데이터를 유출하도록 요구하는 것이 일반적이다"라고 말했다.

특히 현직 직원을 유혹하려 한다면, 모든 데이터에 일일이 접근할 수 있으며 감사를 받지 않는 IT 직원이 가장 스파이로서 매력적이다. 케이츠는 "실제로 일부 대형 간첩행위는 IT 종사자들에 의해 이뤄졌다"라고 말했다.

차단하거나 금지하거나
신중하고 엄격한 신상정보 확인을 이용하면 경쟁사 또는 해외에서 근무하는 간첩행위자를 실수로 채용하는 일이 줄어들 것이다. 이 때 주의할 점은 하위직에도 기준을 높여야 한다는 점이다. 벡넬은 "하위직 직원도 부사장을 채용하듯이 해야 한다"라고 말했다.

경쟁사 출신자를 채용할 때는, 신상정보와 의도 확인에 신중을 기해야 한다. 강력한 보안이 필요한 경우라면 거짓말 탐지기 사용 비용과 이를 사용하지 않았을 때 치러야 할 대가도 고려해야 한다.

HR 부서의 역할도 있다. 채용자를 가르치면서 모니터링을 함께 수행해야 한다. 케이츠는 그들이 업무시간에 업무 외에 다른 무엇인가를 하고 한다면 그 무엇인가가 간첩행위일 수 있다고 지적했다.

무엇보다도 가장 중요한 것은 지적 재산, 고객 데이터, 기타 산업스파이가 관심을 가질 만한 데이터 등 민감한 정보에 대한 직원의 노출도를 확인하고 제한할 수 있는 방안을 마련하는 것이다. 민감한 정보에 대한 직원의 접근성을 감시할 적절한 통제수단을 마련해야 한다.

이와 관련해 빅데이터(Big Data) 감사를 통해 기업은 보호가 필요한 부분을 인지하여 민감한 정보에 강력한 보호수단을 적용할 수 있다. 감사를 통해 데이터의 양, 새로운 데이터의 종류, 데이터 민감성 증가 등에 관한 정보를 파악할 수 있기 때문에 위험 및 영향분석을 실시함으로써 무엇이 가장 중요한지 파악할 수 있다.

이를 토대로 기업은 다양한 데이터 및 데이터 저장소를 보호할 방법과 정보를 확인 또는 접근해야 하는 사람의 역할, 책임, 지식에 기초한 접근성 관리 방법을 결정할 수 있다.

이와 함께 불만이 많은 직원이 간첩행위자로 돌변하지 않도록 인사 정책을 마련해야 한다. 벡넬은 "보상과 대우가 좋은 직원은 배신할 가능성이 낮다"라고 말했다.

산업 스파이를 차단할 수 있는 기타 접근방식으로는 사람들에게 경쟁금지 합의서에 서명하도록 하고 컴퓨터 사용에 대한 기업 감시 및 기록에 관한 기업정책을 공표할 수 있다.

벡넬은 "이를 통해 불만에 찬 직원이 경쟁사로 이직하기 전 민감한 데이터를 USB 드라이브로 옮길 때 한 번 더 생각할 수 있도록 할 수 있다"라고 말했다. 또한 기업 입장에서는 향후 이를 법적 청구의 근거로 활용할 수 있다.

IT 직원의 경우, 별도의 보안부서에 관리하는 암호화 및 접근 관리를 활용해 데이터를 보지 않고도 업무를 처리할 수 있도록 조치할 수 있다. 예를 들어, 백업을 위해 IT 직원이 데이터를 확인할 필요는 없다. 케이츠는 데이터의 암호화된 상태를 유지하고 키를 다른 사람에게 맡겨 둠으로써 기업은 시스템 관리자의 데이터 간첩행위를 성공적으로 예방할 수 있다고 조언했다. ciokr@idg.co.kr 

X