2017.05.02

'퇴사·이직과 함께 유출되는' 기업 기밀, 어떻게 지킬까

Andy Patrizio | CIO
'회사에서 가장 가치 있는 자산은 회사를 떠난다'는 격언이 있다. 그러나 최근 발표된 보안 조사 보고서에 따르면, 이 가장 가치 있는 자산을 따라 회사를 떠나 다시 돌아오지 않는 또다른 가치 있는 자산도 있다.



오스터만 리서치(Osterman Research)의 조사에 참여한 조직 가운데 69%는 직원들이 퇴사하면서 정보 자원을 가지고 가는 바람에 심각할 정도의 데이터 및 지식 유출을 경험했다고 대답했다.

어떤 식이든 데이터 유출은 기업에 위협이 된다. 이번 조사 보고서에 따르면, 직원이 회사를 떠나면서 2가지 형태의 문제가 발생할 수 있다. 회사를 그만두면서 의도적으로 데이터를 가져가는 문제, 퇴사 직원이 회사가 모르거나 접근할 수 없는 클라우드 스토리지 서비스에 수많은 기업 정보를 보관하고 있는 문제가 여기에 해당된다.

법은 정리 해고 60일 전에 이를 통보하도록 요구하고 있다. 정리 해고가 임박했음을 알고 있는 직원, 새 직장을 찾아 회사를 그만두는 직원들이 데이터 유출 문제를 초래한다. 직원들은 정리 해고 임박은 알고 있어도, 자신이 그 대상인지 모르지만, 이런 정리 해고는 일부 직원들이 회사 데이터를 빼내도록 유도하기도 한다.

오스터만 리서치의 마이클 오스터만 대표는 "데이터를 빼내도록 유도하는 동기 부여 요소는 많다. 계약이나 지적재산을 들고 경쟁사로 이직하는 직원, 경영진에 대한 불만 때문에 회사를 그만두면서 복수하는 직원들을 예로 들 수 있다"고 말했다.

기술 포렌직 조사 서비스를 제공하는 베스트지 디지털 인베스티게이션(Vestige Digital Investigation)의 CTO그렉 켈리는 "자신의 데이터기 때문에 회사를 옮기면서 가져갈 수 있다고 생각하는 사람들이 많다. 연락처 목록, 가격 정보, 마케팅 자료가 이런 데이터의 예로 들 수 있다. 부당하다고 생각하지 않는다. 자신의 것이고, 자신이 소유하고 있다고 생각해 이런 일을 한다. 이런 직원들이 경쟁사에서 근무하지 못하도록 규정한 조항이나 법 위반 사실을 알고 있는지는 단언할 수 없다"고 말했다.

악의적인 의도가 없는 행동
새 일자리에 유용할 것으로 믿어 정보를 가지고 나가는 사례가 많다. 예를 들어, 영업직 직원들은 고객, 잠재 고객, 유망 고객 목록을 가지고 나가고 싶어한다. 다른 부서 직원들도 업무 연락처 정보를 가지고 나갈 수 있다.

오스터만은 "악의적인 의도가 없을 수도 있다. 새 일자리에서 모든 일을 새로 시작하는 대신 원활하게 시작하고 싶어 이런 일을 한다"고 설명했다.

그렇지만 악의적인 의도가 없는 경우에도 기업이 피해를 입을 수 있다. 직원이 고객 명부를 가지고 경쟁사로 이직하면, 고객 명부라는 회사의 자산이 다른 회사로 빠져 나가는 셈이다. 잠재 고객이나 고객 명부 개발에 많은 시간과 노력, 돈을 투자한다. 이런 정보가 경쟁사에 넘어가면 (특히 가치가 높은 영업 비밀과 직결된 경우를 중심으로)기업에 피해가 초래될 수 있다.

의도하지 않게 데이터가 유출되는 경우도 있다. 지금은 클라우드나 모바일 앱에 정보를 보관하는 BYOD 시대다. 따라서 정보를 들고 나간다고 생각하지 못한 채 회사를 옮길 수도 있다.

재직했던 회사에 피해를 주고, 경쟁사에서 쉽게 새출발을 하기 위해 악의적으로 정보를 가지고 이직을 하는 경우도 있다. 그러나 오스터만은 이런 경우는 데이터 유출 사고에서 5~10%에 불과하다고 지적했다.

의도적으로 데이터를 가지고 이직을 하지만, 잘못된 행동이라는 사실을 모르는 사람들도 있다. 예를 들어, 영업 사원들은 자신이 힘들게 개발한 고객 명부, 즉 연락처 정보가 자신의 것이라는 생각을 한다.

데이터 유출을 막는 방법
전문가들에 따르면, 가장 먼저 해야 할 일은 콘텐츠 소유자를 명확히 규정하는 것이다. 사전에 직원들이 약정서에 서명하도록 만들어야 한다. 트위터 팔로워, 영업 명부, 기타 자산의 소유권을 누구 갖는지 동의하게 하는 것이다.

그리고 모니터링해야 한다. 직원들이 정기적으로 하는 일을 파악하기 위해 행동을 분석하는 전략을 도입하는 방법도 있다. 이는 '비정상적인 행동'을 쉽게 포착할 수 있도록 도와준다. 예를 들어, 일요일 새벽 2시에 CRM 데이터베이스에서 대량으로 정보를 다운로드 하는 행동은 의심스러운 행동이다.

기술적으로 가장 쉽게 도입해 이용할 수 있는 방법은 USB 플래시 드라이브에 데이터를 복제하지 못하도록 만드는 것이다. 첼시 매닝과 에드워드 스노든이 이런 방법으로 군사 정보와 정부 정보를 언론에 유출했다. 이를 방지하거나, 사본에 대해 경고하는 기술이 존재한다.

또 기업과 기관은 '섀도우 IT(Shadow IT)'를 파악해야 한다. 클라우드 보안 회사인 넷스코프(Netskope)의 최고 과학자인 크리슈나 나라야나스와미는 기업 내부에서 쓰이는 클라우드 앱이 보통 1,000개 이상이지만, 이 중 IT가 알고 있는 앱의 비중은 5~10%라고 말했다. 나머지는 IT가 모르는 앱이다.

나라야나스와미는 "아주 쉽게, 그리고 자주 금지된 앱에서 데이터를 다운로드 받고 있다"고 설명했다.

켈리는 데이터 유실 및 유출을 더 확실히 방지해야 하며, 그 출발점은 다양한 데이터 자산에 대한 접근권을 제약하는 것이라고 강조했다. 더 엄격한 정책으로 (예를 들어)영업 부서 직원이 자신의 업무와 관련 없고, 가치가 높은 엔지니어링 도면, 솔루션에 접근하지 못하도록 만들 수 있다.

더 엄격한 데이터 정책과 지속적인 모니터링
이런 정책을 수립해 적용하면서, 계속 데이터를 감시해야 한다. 데이터에 접근한 사람, 접근 횟수, 정당한 근거가 있는지 등을 파악해야 한다는 의미다.

마지막으로 보안 전문가들은 더 적극적으로 PC를 '잠글' 필요가 있다고 강조했다. USB 플래시 드라이브 복사, 금지된 클라우드 앱, 개인 이메일 사용을 금지하는 방법이 있다. 예를 들어, 이메일 같은 경우, 지메일에서 파일을 첨부시켜 쉽게 데이터를 유출할 수 있다.

켈리는 "모든 것을 감시하는 '빅 브라더'가 되기보다는, 정보가 유출되지 못하도록 벽을 세우고 길을 막아야 한다"고 강조했다. 그러나 USB 플래시 드라이브 복사 금지는 반발을 초래할 수 있다고 경고했다. 영업 부서의 경우 USB 플래시 드라이브를 이용해 고객에게 프레젠테이션이나 샘플을 제시하는 경우가 많다. 따라서 이를 금지하면 일부 직원에게 업무 방해가 초래될 수 있다.

클라우드 스토리지를 전면 금지하는 기업은 없다. 나라야나스와미는 "승인된 앱, 금지된 앱에 관한 정책을 더 효과적으로 집행해야 한다"고 강조했다. 클라우드 접근 중개업체를 통해 데이터 분류 프로그램을 활용할 수 있다. 데이터를 분류, 해당 데이터가 필요하고 중요한 사람만 접근할 수 있도록 도와주는 프로그램이다.

데이터 정책과 인적 자원 측면에서 많은 기업들에게 미흡한 부분이 하나 있다.

켈리는 "기업들의 커뮤니케이션이 미흡하다. 정보를 적절히 보호하기 위해, 서면 정책을 수립해 집행하는 것이 아주 중요하다. 그리고 직원에게 이런 정책을 알려야 한다. 여기에 멈춰서는 안 된다. 직원으로부터 업무에 방해를 주는 요소에 대한 피드백을 수렴해야 한다. 기술 솔루션만으로는 불충분하다"고 지적했다.

그러나 나라야나스와미는 이런 방법에 대해 약간의 의구심을 드러냈다.

그는 "얼마나 많은 직원이 정책을 읽고 이해할까? 이렇게 하는 직원은 많지 않을 것이다. 기술 솔루션은 여기에 도움을 줄 수 있다. 민감한 데이터가 있는 앱이 있다고 가정하자. 데이터 다운로드가 비정상적일 경우, 민감한 데이터라는 점을 상기시키고, 그 이유를 묻는 경고 화면을 표시할 수 있다"고 말했다.

* Andy Patrizio는 20년간 컴퓨터 분야를 취재해온 프리랜서 저널리스트다. ciokr@idg.co.kr
 

2017.05.02

'퇴사·이직과 함께 유출되는' 기업 기밀, 어떻게 지킬까

Andy Patrizio | CIO
'회사에서 가장 가치 있는 자산은 회사를 떠난다'는 격언이 있다. 그러나 최근 발표된 보안 조사 보고서에 따르면, 이 가장 가치 있는 자산을 따라 회사를 떠나 다시 돌아오지 않는 또다른 가치 있는 자산도 있다.



오스터만 리서치(Osterman Research)의 조사에 참여한 조직 가운데 69%는 직원들이 퇴사하면서 정보 자원을 가지고 가는 바람에 심각할 정도의 데이터 및 지식 유출을 경험했다고 대답했다.

어떤 식이든 데이터 유출은 기업에 위협이 된다. 이번 조사 보고서에 따르면, 직원이 회사를 떠나면서 2가지 형태의 문제가 발생할 수 있다. 회사를 그만두면서 의도적으로 데이터를 가져가는 문제, 퇴사 직원이 회사가 모르거나 접근할 수 없는 클라우드 스토리지 서비스에 수많은 기업 정보를 보관하고 있는 문제가 여기에 해당된다.

법은 정리 해고 60일 전에 이를 통보하도록 요구하고 있다. 정리 해고가 임박했음을 알고 있는 직원, 새 직장을 찾아 회사를 그만두는 직원들이 데이터 유출 문제를 초래한다. 직원들은 정리 해고 임박은 알고 있어도, 자신이 그 대상인지 모르지만, 이런 정리 해고는 일부 직원들이 회사 데이터를 빼내도록 유도하기도 한다.

오스터만 리서치의 마이클 오스터만 대표는 "데이터를 빼내도록 유도하는 동기 부여 요소는 많다. 계약이나 지적재산을 들고 경쟁사로 이직하는 직원, 경영진에 대한 불만 때문에 회사를 그만두면서 복수하는 직원들을 예로 들 수 있다"고 말했다.

기술 포렌직 조사 서비스를 제공하는 베스트지 디지털 인베스티게이션(Vestige Digital Investigation)의 CTO그렉 켈리는 "자신의 데이터기 때문에 회사를 옮기면서 가져갈 수 있다고 생각하는 사람들이 많다. 연락처 목록, 가격 정보, 마케팅 자료가 이런 데이터의 예로 들 수 있다. 부당하다고 생각하지 않는다. 자신의 것이고, 자신이 소유하고 있다고 생각해 이런 일을 한다. 이런 직원들이 경쟁사에서 근무하지 못하도록 규정한 조항이나 법 위반 사실을 알고 있는지는 단언할 수 없다"고 말했다.

악의적인 의도가 없는 행동
새 일자리에 유용할 것으로 믿어 정보를 가지고 나가는 사례가 많다. 예를 들어, 영업직 직원들은 고객, 잠재 고객, 유망 고객 목록을 가지고 나가고 싶어한다. 다른 부서 직원들도 업무 연락처 정보를 가지고 나갈 수 있다.

오스터만은 "악의적인 의도가 없을 수도 있다. 새 일자리에서 모든 일을 새로 시작하는 대신 원활하게 시작하고 싶어 이런 일을 한다"고 설명했다.

그렇지만 악의적인 의도가 없는 경우에도 기업이 피해를 입을 수 있다. 직원이 고객 명부를 가지고 경쟁사로 이직하면, 고객 명부라는 회사의 자산이 다른 회사로 빠져 나가는 셈이다. 잠재 고객이나 고객 명부 개발에 많은 시간과 노력, 돈을 투자한다. 이런 정보가 경쟁사에 넘어가면 (특히 가치가 높은 영업 비밀과 직결된 경우를 중심으로)기업에 피해가 초래될 수 있다.

의도하지 않게 데이터가 유출되는 경우도 있다. 지금은 클라우드나 모바일 앱에 정보를 보관하는 BYOD 시대다. 따라서 정보를 들고 나간다고 생각하지 못한 채 회사를 옮길 수도 있다.

재직했던 회사에 피해를 주고, 경쟁사에서 쉽게 새출발을 하기 위해 악의적으로 정보를 가지고 이직을 하는 경우도 있다. 그러나 오스터만은 이런 경우는 데이터 유출 사고에서 5~10%에 불과하다고 지적했다.

의도적으로 데이터를 가지고 이직을 하지만, 잘못된 행동이라는 사실을 모르는 사람들도 있다. 예를 들어, 영업 사원들은 자신이 힘들게 개발한 고객 명부, 즉 연락처 정보가 자신의 것이라는 생각을 한다.

데이터 유출을 막는 방법
전문가들에 따르면, 가장 먼저 해야 할 일은 콘텐츠 소유자를 명확히 규정하는 것이다. 사전에 직원들이 약정서에 서명하도록 만들어야 한다. 트위터 팔로워, 영업 명부, 기타 자산의 소유권을 누구 갖는지 동의하게 하는 것이다.

그리고 모니터링해야 한다. 직원들이 정기적으로 하는 일을 파악하기 위해 행동을 분석하는 전략을 도입하는 방법도 있다. 이는 '비정상적인 행동'을 쉽게 포착할 수 있도록 도와준다. 예를 들어, 일요일 새벽 2시에 CRM 데이터베이스에서 대량으로 정보를 다운로드 하는 행동은 의심스러운 행동이다.

기술적으로 가장 쉽게 도입해 이용할 수 있는 방법은 USB 플래시 드라이브에 데이터를 복제하지 못하도록 만드는 것이다. 첼시 매닝과 에드워드 스노든이 이런 방법으로 군사 정보와 정부 정보를 언론에 유출했다. 이를 방지하거나, 사본에 대해 경고하는 기술이 존재한다.

또 기업과 기관은 '섀도우 IT(Shadow IT)'를 파악해야 한다. 클라우드 보안 회사인 넷스코프(Netskope)의 최고 과학자인 크리슈나 나라야나스와미는 기업 내부에서 쓰이는 클라우드 앱이 보통 1,000개 이상이지만, 이 중 IT가 알고 있는 앱의 비중은 5~10%라고 말했다. 나머지는 IT가 모르는 앱이다.

나라야나스와미는 "아주 쉽게, 그리고 자주 금지된 앱에서 데이터를 다운로드 받고 있다"고 설명했다.

켈리는 데이터 유실 및 유출을 더 확실히 방지해야 하며, 그 출발점은 다양한 데이터 자산에 대한 접근권을 제약하는 것이라고 강조했다. 더 엄격한 정책으로 (예를 들어)영업 부서 직원이 자신의 업무와 관련 없고, 가치가 높은 엔지니어링 도면, 솔루션에 접근하지 못하도록 만들 수 있다.

더 엄격한 데이터 정책과 지속적인 모니터링
이런 정책을 수립해 적용하면서, 계속 데이터를 감시해야 한다. 데이터에 접근한 사람, 접근 횟수, 정당한 근거가 있는지 등을 파악해야 한다는 의미다.

마지막으로 보안 전문가들은 더 적극적으로 PC를 '잠글' 필요가 있다고 강조했다. USB 플래시 드라이브 복사, 금지된 클라우드 앱, 개인 이메일 사용을 금지하는 방법이 있다. 예를 들어, 이메일 같은 경우, 지메일에서 파일을 첨부시켜 쉽게 데이터를 유출할 수 있다.

켈리는 "모든 것을 감시하는 '빅 브라더'가 되기보다는, 정보가 유출되지 못하도록 벽을 세우고 길을 막아야 한다"고 강조했다. 그러나 USB 플래시 드라이브 복사 금지는 반발을 초래할 수 있다고 경고했다. 영업 부서의 경우 USB 플래시 드라이브를 이용해 고객에게 프레젠테이션이나 샘플을 제시하는 경우가 많다. 따라서 이를 금지하면 일부 직원에게 업무 방해가 초래될 수 있다.

클라우드 스토리지를 전면 금지하는 기업은 없다. 나라야나스와미는 "승인된 앱, 금지된 앱에 관한 정책을 더 효과적으로 집행해야 한다"고 강조했다. 클라우드 접근 중개업체를 통해 데이터 분류 프로그램을 활용할 수 있다. 데이터를 분류, 해당 데이터가 필요하고 중요한 사람만 접근할 수 있도록 도와주는 프로그램이다.

데이터 정책과 인적 자원 측면에서 많은 기업들에게 미흡한 부분이 하나 있다.

켈리는 "기업들의 커뮤니케이션이 미흡하다. 정보를 적절히 보호하기 위해, 서면 정책을 수립해 집행하는 것이 아주 중요하다. 그리고 직원에게 이런 정책을 알려야 한다. 여기에 멈춰서는 안 된다. 직원으로부터 업무에 방해를 주는 요소에 대한 피드백을 수렴해야 한다. 기술 솔루션만으로는 불충분하다"고 지적했다.

그러나 나라야나스와미는 이런 방법에 대해 약간의 의구심을 드러냈다.

그는 "얼마나 많은 직원이 정책을 읽고 이해할까? 이렇게 하는 직원은 많지 않을 것이다. 기술 솔루션은 여기에 도움을 줄 수 있다. 민감한 데이터가 있는 앱이 있다고 가정하자. 데이터 다운로드가 비정상적일 경우, 민감한 데이터라는 점을 상기시키고, 그 이유를 묻는 경고 화면을 표시할 수 있다"고 말했다.

* Andy Patrizio는 20년간 컴퓨터 분야를 취재해온 프리랜서 저널리스트다. ciokr@idg.co.kr
 

X