위키리크스 시대··· CXO에게 필요한 데이터 보안 시각

CSO

기업 내부에서 비롯된 위협을 기술만으로 막아낼 수 없다. 아직 현재 진행형인 위키리크스 폭로와 이와 관련된 무분별한 불법 정보 공개는 정부 차원의 문제가 아니다. 이는 부주의 또는 고의적으로 발생할 수 있는 정보 노출의 문제를 극적으로 보여주고 있다. 모든 기업들이 직면하고 있는 문제이기도 하다.

내부 위협의 원인이 고의적인 것만은 아니다. 실수로 공개된 정보가 악용되어 기업의 수익이나 특정 개인의 경력, 평판에 해를 주기도 한다. 중요한 정보를 위험에 처하도록 만드는 것은 사람의 행동이다. 내부 관계자에서 비롯되는 정보 보안 위협에 대처하기 위해서는 관리와 기술 모두에 대한 고려가 필요하다.

인간에 대한 이해의 문제
기업의 위험은 2가지에 뿌리를 두고 있다. 기밀 정보를 보유하고 있다는 것과 이를 이용하도록 인가된 인력이 있다는 것이다. 이 밖에도 한 가지가 더 있다. 기밀 정보를 원하는 누군가가 있다는 것이다.

기업은 기밀 정보 접근 과정을 적절히 보호한다고 할지라도 위험에 처할 수 있다. 인가된 사용자가 악의적인 목적에서 정보를 훔칠 방법을 찾을 수도 있고, 보안 지식이 부족해 정보를 잃어버릴 수도 있기 때문이다.

그러나 위험 노출을 줄이기 위해 정보 보안 방어 계층을 발전시키는 데에는 문제가 발생한다. 누군가 자신의 업무를 완수하도록 접근을 허용해야 하는 까닭에 완벽하게 위험을 제거할 수 없기 때문이다. 또 기술이 정보 보안의 구현 요소 역할을 하기는 하지만 모든 '구멍'을 막지는 못한다.

흔히들 '보안에 있어 가장 취약한 부분은 사람'이라는 말을 하곤 한다. 그러나 실제로는 사람을 이해하지 못하는 것이 가장 취약한 부분이다. 사용자의 의사결정에 대한 자율권이 늘어나면 책임도 커진다. 따라서 정보 위험을 경감하기 위한 추가적인 지원 대책이 필요하다.

직원들은 자신의 기본적인 업무를 수행하는 과정에서 보안을 포기할 수 있다. 자신의 기본 업무에 초점을 맞추게 되는데, 보안과 관련해 필요한 작업이 목표 달성에 장애가 되는 경우가 있기 때문이다. 또 각자 갖고 있는 '보안'에 대한 인식을 바탕으로 결정을 내린다.

그런데 이런 결정이 현실과는 동떨어져있을 수 있다.  여기에 더해, 직원들은 자신만의 기준으로 비용 대비 이익을 계산하는데, 이런 계산에서 위험과 관련된 요소가 배제될 수 있다. 결과적으로 직원들은 비즈니스 또는 개인적인 관점에서는 가장 적합한 행동을 하려고 했지만, 정보 보안 관점에서는 잘못된 행동을 하게 된다.

정보 보안 전략과 툴을 효과적으로 수립하고 구축하기 위해서는 인간의 행동을 이해해야 한다. 이를 위해서는 사용자의 선의과 지성에 호소해야 한다. 그렇게 해야만 기업과 사용자 모두에게 도움이 되는 보안 대책을 수립할 수 있다.

내부 위협에서 비롯되는 위험 낮추기
내부에서 비롯된 공격은 드물다. 그러나 데이터의 가치가 커지면서 공격이 가져오는 피해가 커지고 있는 추세다.

완벽하게 연결된 오늘날과 같은 세상에서 '나홀로 비극(Private Tragedy)'이란 없다. 많은 민법 조항들이 다른 사람의 데이터를 누출한 기업에게 공적 책임을 요구하고 있다. 데이터가 전체 시장에서 차지하는 비중이 커지면서, 금융 관련 규정들은 데이터 손실 사고를 중대한 사고로 간주하고 있으며, 이사회에까지 책임을 묻고 있다. 정부 정책 설계자들은 내부로부터 비롯된 공격을 방어하기 위해 공식적으로 지정한 중요 기반의 경우 정기적인 조사 체계를 마련하도록 의무화하고 있다.

개념적으로 판단했을 때, 특정인이 내부자(범죄자)가 되었다는 것은 이미 접근 제어 관문을 통과했다는 것이다. 그리고 접근 제어 관문 안에 있다는 것은 접근 제어가 억지력을 갖지 못한다는 의미이다. 그리고 내부 범죄자는 자신의 업무를 수행하기 위한 인증을 확보했을 것이다. 즉 이미 보안 신뢰를 받은 개인이거나 이를 확보할 수 있는 방법을 발견한 사람이라는 이야기다. 따라서 승인 시스템이 억지력을 갖지 못한다.


일부 직원이나 관계자의 작업에는 특별 승인이 필요할 수 있다. IT 업무를 유지 하다 보면 예상 못한 개입이 필요한 경우가 있기 때문이다. 그리고 정보 취약성을 발견하고 파악하도록 승인된 특정 내부 관계자나 내부 조사 팀에 이런 특별 승인을 부여할 수 있다.

다른 말로 설명하면, 상시 내부 위협이 될만한 사람이 있을 수 있다는 의미이다. 역할 자체가 아주 특별한 권한과 역량을 필요로 하기 때문이다. 반드시 부정적이라고만 볼 수는 없지만, 이런 위협이 존재한다는 것이 현실이다. 문제는 어떤 방법으로 지정된 전문가인 내부인의 적법한 역량, 승인, 접근 제어에 귀속되지 않는 수단으로 이를 관리할 수 있는가 하는 것이다.

답은 있다. 운영 환경을 바꾸는 것이다.

보안 시스템에 있어서 가장 중요하면서 가장 값진 설계 목표 가운데 하나는 'No silent failure'이다. 내부 공격에서 비롯된 'Silent Failure'나 'Invisible Failure'를 방지할 수 있도록 운영 환경을 개선하기 위해서는 최소한 엔지니어링 문제를 정확히 규정해야 한다.

이런 엔지니어링 문제에 대한 가장 저렴하면서도 효과적인 솔루션은 데이터가 이동할 때 이를 확인할 수 있는 운영 환경을 설치하는 것이다. 정지중인 데이터가 움직일 때는 운영 환경이 관여된다. 따라서 운영환경을 통해 이를 발견하는 방식이다. 실시간으로 데이터 이벤트를 감지, 수령, 반응하는 메카니즘이 필요하다.

최대한의 효과를 갖기 위해서는, 데이터 상태를 감지해 행동하는 메카니즘이 적응 가능한 메카니즘이어야 한다. 예를 들어, 시스템 운영자는 개입은 필요 없지만 감시는 필요한 데이터 이벤트를 구별하기를 원할 수 있다.

또 데이터 이벤트뿐만 아니라 특정 시간, 지리적 위치 등 외부 요소에 따라 행동하기 원할 수 있으며, 기상 악화와 같이 전체 환경이 악화되었을 때는 다른 규칙을 적용하기 원할 수도 있다.

이 밖에도 많은 수요가 있을 수 있다.

그렇다면, CIO들은 어떤 방법으로 이를 성취할 수 있을까? CIO들이 이런 종류의 프로그램을 성공적으로 개발하기 위해서는 누구와 협력을 해야 할까?


인가된 내부인에서 비롯된 위협은 언제나 존재한다. 또 이를 경감하는 방법은 회사마다 크게 다르다. 정보의 디지털화가 가속화되고, 저장 매체가 증가하고, (아이패드 등) 새로운 장치와 (소셜 네트워크 등) 공유 매체가 등장하면서, 기술적인 위험은 계속 증가하고 있다. 이렇듯 위험이 발전하면서, 여러 보안 솔루션을 계층적으로 적용할 필요성이 대두되고 있다.


하나의 툴만으로는 위험을 경감할 수 있다. RBAC(Role Based Access Control), 접근/권리 승인, 데이터 분류, 보안 이벤트 감시, 데이터 손실 방지 기술 등을 통합해 적용해야 효과를 얻을 수 있다. 그러나 PBAC, DLP, SIEM 등의 첨단 방법과 기술을 사용하는 경우에도, 악의적인 목적을 가진 인가된 사용자를 추적하고 감시하기에 충분한 정도로 배치를 하지 못하는 경우가 많다.

물론 비정상적인 행동을 모두 범죄 행동으로 판단할 수는 없다. 선의를 가진 직원들이 자신의 업무를 위해 이런 행동을 할 수 있다. 따라서 왜 특정 행동이 위험으로 이어질 수 있는지를 설명하는 훈련과 프로그램에 보안 정책과 절차를 통합하는 것이 중요하다.

이를 위해서는 사용자의 감정과 지성에 호소해야 한다. 그렇게 해야만 기업과 사용자 모두에게 도움이 되는 보안 대책을 수립할 수 있다. 이런 방법은 인가된 내부 사용자에 의한 데이터 누출을 감지하고 예방하는데 도움이 되고, 정보 보안 역량을 파악하고 배양하는데도 도움이 된다.

요약하면, CIO들은 내부 위험과 관련된 문제를 사람과 프로세스, 기술이라는 전체적인 관점으로 고찰해야 한다. 또 악의적인 의도를 가진 내부인 뿐 만 아니라 선의의 의도를 가진 직원들 모두에 초점을 맞춰야 한다.

* 크레이그 슈마드(Craig Shumard)는 슈마드 앤 어소시에이츠(Shumard and Associates)의 대표이다. 슈마드 앤 어소시에이츠는 정보 보안 솔루션 개선에 초점을 맞춘 보안 컨설팅 회사이다. 슈마드는 CIGNA의 CISO를 역임했으며, 정보 보안과 프라이버시, 컴플라이언스 분야에서 오랜 기간 경력을 쌓았다. ciokr@idg.co.kr