블로그 | 내부자 위협 관리(IRM), 조직도 관점에서 바라보기

어느 부서가 내부자 위협을 책임져야 할까? 이에 대한 대답은 생각보다 그리 간단하지 않을 수 있다.

오늘날 우리는 내부자 위협을 예방하거나 도움이 되는 프로그램을 IRM(Insider Risk Management)이라 부른다. 정부(방첩 또는 대정보라 부름) 및 민간 부문의 업무 환경에서 내부자 위협을 30년 이상 다뤄온 필자는, 조직 내에서 이런 IRM 프로그램이 위치하는 곳, 즉 IRM 프로그램을 관장하는 부서가 어디인 지가 프로그램의 초점 및 효과에 중대한 영향을 미칠 수 있다는 점에 주목하고 있다.

2019년, CSO 미디어의 한 기사에서는 ‘내부자 위험 관리 — 누가 우두머리인가?’라는 질문을 던지고 내부적인 위협에 대한 책임 소관을 분석했다. 4년이 지난 지금도 ‘내부자 위협’ 또는 ‘내부자 위험 관리’의 책임 소관에는 여전히 오해의 소지가 있다.

효과적인 IRM 프로그램은 인포섹(Infosec) 영역에 속한다
최근 내부자 위협 서밋(ITS ; Insider Threat Summit)에서는 효과적인 IRM 프로그램이란 모든 데이터가 위치하고 있는 정보 보안 영역에 위치한다는 견해에 힘이 실렸다. 필자가 3월 말 대화를 나눈 코드42(CODE42)의 CEO 조 페인도 그렇게 생각했다. 

그러나 이견의 소지가 있을 수 있다. 프로그램이 IT/인포섹/CISO 영역에 포함되는 경우 기술 측면이 더욱 강화될 것이며, HR 또는 법무 영역에 포함되는 경우 인간적인 측면이 더욱 강화될 것이다.

필자는 전면적인 방첩 조사를 받아본 경험을 가지고 있다. (참고로 필자가 아니라 로버트 한센이 유죄를 선고받았다) 이 경험에 비춰볼 때 조사를 받는 사람은 인간적 측면에 주목하려는 경향을 가질 것으로 예상한다. 데이터가 늘 ‘옳은’ 이야기를 전달하는 것은 아니기 때문이다.

다른 사람들은 어떻게 생각하는지 알아보자.

2022년 8월, 필자는 MITRE의 인사이드-R 프로텍트(Inside-R Protect) 프로그램이 IRM 솔루션의 필수적인 구성요소이며 전략, 기법, 절차뿐 아니라 행동 요소를 고려해야 한다는 의견을 밝혔다.  

약 9개월 후, 필자는 MITRE 코퍼레이션(MITRE Corporation)의 내부자 위협 역량 최고 과학자 겸 수석 행동심리학자 디나 D. 카푸토 박사에게 질문했다. 그녀는 IRM이 반드시 존재해야 한다고 주장했다. 그녀는 “이때 여러 그룹이 내부자 위험 프로그램을 담당할 수 있다. 강력한 임원 수준의 리더십으로 협업 및 조율을 용이하게 한다면, 특정 그룹이 담당하는 것보다 더 낫다”라고 답했다.

모두가 내부자 위협 관리의 일부를 담당해야 하는가?
예를 들어, 18개 산업 조직에 대한 MIRE 조사에 따르면, 내부자 위험 프로그램을 법무 자문위원 또는 법무팀, 인사, 정보 보안, 보안 및 위협 관리, 위험 관리 등이 담당하고 있었다. 하지만 프로그램의 사명, 접근성, 우선순위에 영향을 미치기 때문에 선택은 여전히 중요하다.

프로그램을 HR/ER 또는 법무팀에서 담당하는 경우 민감한 개인 데이터에 더욱 신속하게 접근할 수 있을 가능성이 높다. 물리적 보안 부서가 프로그램을 담당하는 경우 네트워크화 된 시스템에서의 행동보다는 물리적 시설(건물 출입 등)을 더욱 강조할 가능성이 높다. 프로그램을 정보 보안 부서가 담당하는 경우 항상 사이버 구성요소를 더욱 강조하고 사이버 시스템을 사용하지 않는 사람들에게는 덜 집중할 것이다.

프루프포인트(Proofpoint)의 제품 부사장 팀 초이는 “조직 내에서 내부자 위험 관리 프로그램의 위치에 상관없이 법무, HR, 정보 보안 팀들 사이에서 긴밀한 협업이 존재해야 한다”라고 밝혔다.

초이는 정보 보안 팀이 궁극적으로 조직의 정보 및 IP에 대한 선제적인 보호를 담당하지만 사건에 대한 실제 조사의 대부분은 일반적으로 법무 및 HR 팀들이 처리하며, 이 과정에서 정보 보안 팀이 제공하는 사실 기반 증거를 필요로 한다. 

초이는 “CIO/CISO 팀은 사실과 증거를 소비 가능하고 이해하기 쉬운 방식으로 그리고 적절한 형식으로 제공하여 법무 및 HR팀들이 조사를 신속하고 정확하게 수행할 수 있도록 해야 한다”라고 말했다.

초이의 설명이 정확하다. 사실 및 증거를 소비 가능하고 이해하기 쉬운 방식으로 제공하는 것이 핵심이다.

임원진은 어떠한가?
물을 아래로 흘러내린다. IRM 프로그램 등 많은 사람들이 곤란하다고 여기는 주제에 대한 메시지도 마찬가지이다. 페인은 “CEO가 먼저 위협 위험 관리 프로그램을 논의하고 싶은 경우는 거의 없다. ‘우리는 당신을 신뢰하지 않는다’라는 부정적인 메시지가 불가피하기 때문이다. CEO는 긍정적인 메시지를 선호하기 마련이다. IRM 프로그램을 자신의 소관으로 두고 싶어하는 CISO는 거의 없다. 동료를 모니터링하고 싶은 사람이 있을까?”라고 밝혔다.

페인은 “엄청난 외부적 위협은 쉽다. 동료의 경우 문제가 더욱 복잡해진다”라고 덧붙였다. 그는 IRM을 CISO의 소관으로 두고 IRM 프로그램에 ‘CISO, HR 책임자, 법무 자문위원으로 구성된 리더십 팀’이 있어야 한다고 제안했다.

카푸토는 “또 프로그램의 절반 이상이 임원진 구성원에게 직접 보고해야 한다. 임원진에게 직접 보고하는 것은 더욱 큰 기업 가시성과 액세스에 대한 추가적인 이점이 있으며, 이 덕분에 필요한 리소스를 획득하고 프로그램 이니셔티브를 주도하기가 더 쉽다”라고 밝혔다.

IRM에 대한 결론은?
초이는 “결론은 이렇다. 직원이 데이터를 훔쳤다는 사실을 조직이 확인할 경우, 사실에 기초한 높은 수준의 신뢰성을 확보하고 그렇게 해야 한다. 그리고 다양한 부서들 사이의 긴밀한 협업과 의사소통은 시간이 중요할 때 정확한 조사의 성공을 뒷받침한다”라고 요약했다.

따라서 동료, 제공업체, 파트너 등에 대한 제보가 제기될 때 합법적인 ‘자체’ IRM이 있으면 많은 문제가 해결된다. 법무팀에 보고하는 내부자 위험 관리 팀은 후원자, 즉 요금을 부과하는 독립체(재무, HR, IT, 보안 등)가 있기 때문에 각 사례를 배정할 수 있다. 그리고 IRM 팀은 사실과 증거를 획득하기 위해 IT/인포섹, 보안, 재무 등의 내부의 지원 요소로부터 리소스를 가져온다.

이런 방식으로 편견이 배제되고 신뢰를 깨뜨리거나 정책을 위반했거나 조사가 필요한 것으로 밝혀진 사람 등 각각의 모든 고발을 처리하는 데 있어서 일관된 각본이 확보된다. ciokr@idg.co.kr