'내부자 위협 현황, 그리고 예방법' 보메트릭 보고서 브리핑

기업 주요 데이터에 대한 접근권을 지니고 있는 모든 직원은 기업에게 잠재적 위협 요인이 될 수 있다. 그들에게 주어진 권한 자체가 데이터 유출 통로일 수 있기 때문이다.

보메트릭(Vormetric)이 최근 발표한 2013 내부자 위협 보고서(2013 Insider Threat Report)는 이러한 위험의 본질에 대한 정보와 함께, 그들이 올 8월 2주에 걸쳐 진행한 서베이 결과를 소개하고 있다.

보메트릭은 707 명의 IT 전문가들을 대상으로 그들이 생각하는 내부자 위협의 본질과 그 해결 방안에 관련한 설문을 진행했고 9월 그 결과물을 발표했다. 당연한 결과겠지만, 서베이 참가자 대부분은 내부자 위협을 자사의 ‘매우 심각한 고민'으로 평가하고 있었다.

보메트릭의 CEO 알란 케슬러는 응답자들의 이런 우려에 대해 최근 뉴스 헤드라인을 장식하는, 여러 데이터 유출 및 내부자 위협 사고들에 기인한 측면이 일면 존재했다고 설명했다. 케슬러는 브래들리 매닝(Bradley Manning)이나 에드워드 스노든(Edward Snowden) 사건 등 최근의 사례들을 언급하며 많은 기업들이 이와 같은 사고들에서 자신들 역시 자유로울 수 없음을 인지하기 시작했다고 덧붙였다.

보메트릭의 CSO 솔 케이츠는 기업들의 우려가 단순히 직원의 나쁜 의도라는 측면을 넘어서 직원들에게 부여된 권한 자체에서 야기되는 보안 위협에 대해서까지 확장됐다고 진단했다. 케이츠는 “기업의 통제권을 넘어선 직원의 권한 문제는 새로운 고민거리로 떠오르고 있다”라고 말했다.

보고서는 또 기업들이 가장 우려하는 내부자 위협의 유형이 있다면서, 51%의 응답률을 보인 ‘민감한 데이터에 대한 합법적 접근 권한을 지닌 비-기술적 직원'이라고 전했다. 얼핏 애매할 수 있는 표현이지만, 실제로 많은 직원 집단이 이 범주에 포함될 수 있을 것이다. 한 예로, 인적 자원 사업부의 직원들의 경우에는 개인 식별 정보(PII, Personal Identifiable Information)에 대한 상시적 접근을 필요로 하고, 또 진행하고 있다.

케슬러는 “문제는 기업이 직원들의 이와 같은 정보 이용을 적절히 통제하고 있는지의 여부다. 기술적 측면에서, 특히 구형 시스템의 개편을 시도하고 있는 상황이라면 더욱, 이러한 접근권에 대한 통제는 많은 어려움이 따른다”라고 말했다.

케이츠는 임원 집단 역시 고민의 대상에 포함된다고 덧붙였다. 그들의 역할 역시 본질적으로 기술적 영역과는 거리가 멀지만, 동시에 업무의 특성상 주요 정보들에 대한 접근이 수시로 필요하기 때문이다.

케이츠는 “내부자 위협의 경감은 데이터 및 정보의 활용 능력 향상과도 밀접하게 관련된 문제다”라고 말했다. 또 그는 “교육과 권한 분산은 이 문제를 해결하기 위한 좋은 방법 가운데 하나다”라고 문제 해결을 위한 조언을 전했다.

내부자 위협이 이처럼 주요 문제로 대두된 상황에서 기업들이 적용할 수 있는 또 하나의 대응책으로는 어떠한 직원에게 권한(과 책임)을 부여하기 전에 그의 배경을 철저히 확인하는 방법이 있다. 케이츠에 따르면 이는 오늘날 일반적 방법론으로 자리 잡은 것이지만, 직원들에게 그들의 업무 진행에 지장을 주지 않는 선에서 주요 정보에 대한 접근권을 어느 정도까지 제한할 것인지의 문제는 여전히 많은 고민이 필요한 부분으로 인식되고 있다.

케이츠는 “운영자들에게는 민감한 정보를 차단하는 툴 등, 업계는 특정 직원들에게 시스템 내부의 정보들을 노출 시키지 않는 다양한 방법론들을 개발하고 있다”라고 말했다.

역설적이게도 바로 그, 시스템을 관리하고 데이터를 보호할 책임이 주어진 관리 직원들이 오늘날 가장 큰 위협 요인으로 작용하고 있기 때문이다. 서베이에서는 34%의 보안 전문가가 IT 관리자를 기업의 가장 큰 위협이라 응답하기도 했다. 즉 위협의 가능성은 특정 개인적 차원이 아닌, 그들에게 주어진 권한에 존재하는 것이라고 케이츠는 설명했다.

그는 “IT 관리자의 작업 역시 통제 구조 안에 포함시킬 수는 있지만, 이를 관리하는 것은 결국 해당 관리자 자신이다 .그들은 각종 권한을 승인하고, 데이터 흐름을 조망하며 기업이 이용할 앱 유형을 결정한다”라고 말했다.

즉 통제의 시각에서 기업은 관리자가 자신의 업무 수행을 위해 핵심 정보에 대한 접근권을 가질 수 있을지의 여부를 결정할 필요가 있는 것이다. 이 문제에 관한 해결책으로 케이츠는 IT 관리자가 시도하는 작업에 관한 감사를 진행하는 방법을 제안했다.

케이츠는 “핵심은 그들(관리자)이 기업의 정보를 이용해 무엇을 하는지를 이해하는 것이다. 이것을 보호하는 것이 바로 그들의 역할이기 때문이다. 당신이 관리해야 하는 것은 ‘직원'이 아닌 ‘역할'이다”라고 강조했다.

많은 기업들의 보안 초점 역시 이러한 과정에 맞춰져 있다. 서베이에 따르면 응답자의 31%는 ‘네트워크 보안 툴'을 내부자 위협으로부터 정보를 보호하는 가장 중요한 수단으로 꼽았다.

케슬러는 “여기에는 방화벽에서 침입 감지/방지 서비스(IDS/IPS, Intrusion Detection/Protection Service), 네트워크 기반 맬웨어 감지 솔루션까지 다양한 툴들이 포함될 수 있다. 이러한 방지가 가능한 이유는 맬웨어의 타깃팅이 대부분 사용자가 아닌 권한을 기반으로 이뤄지기 때문이다”라고 설명했다.

케슬러는 관리자 권한 역시 모니터링이 필요한 대상이라는데 동의했다. 그는 “우체국을 떠올려보자. 그들은 모든 이들의 편지를 관리하지만, 그들에게 편지를 열어볼 권리는 없다. 데이터 역시 마찬가지다. 시스템 관리자가 업무 수행을 위해 그 안의 데이터에 대한 열람권을 가질 필요는 없다”라고 말했다.

또한 모바일 업무 환경으로의 이전이라는 변화 역시 고민이 필요한 대상이다. 어떻게 사무실에 머무르지 않는 내부자들을 관리할 수 있을까? 위협은 모바일 기기 사용과 관련해서도, 또 외부 현장에서 기업 네트워크에 접속하는 과정에도 존재한다. 서베이에서 기업의 데이터가 가장 취약하게 관리되는 영역을 묻는 질문에 데스크탑/노트북을 선택한 응답자와 모바일 기기를 선택한 응답자의 비율은 각각 49%와 41%로 조사됐다.

이 결과와 관련해 케이트는 산출된 수치의 행간을 읽을 필요가 있다고 이야기한다. 케이트는 “이들 기기 모두에서 정보 접근은 권한 승인을 통해 이뤄지지만, 사실 기기란 정보의 매개체 이상의 존재가 아니다. 기기가 어느 곳에 존재하느냐의 여부가 위협 수준을 가늠하는 주요 지표가 될 수 있는 것이다”라고 말했다.

그는 “이들 기기에서 데이터나 기록이 유출되는 경우는 사실 드물다. 문제는 기기들이 데이터 센터에 접근하는 통로로 이용될 수 있다는 점이다. 종점이 늘어날수록 리스크 역시 늘어나는 것이다”라고 설명했다.

보메트릭의 보고서는 직원들에게 원격 현장에서의 기업 네트워크 접근을 허용하기 위해서는 사용자 맥락을 고려 사항에 포함하는 것을 검토할 필요가 있다고 설명하고 있다.

가정해보자면 CEO의 경우 기업 LAN을 통해서는 모든 데이터에의 완전한 접근 권한을 부여 받더라도, 인터넷 카페 등에서의 원격 접근은 허용하지 않는 등의 방식도 가능할 것이다. 하지만 케이츠에 따르면 오늘날 기업들이 적용하고 있는 원격 접근 관리 방식은 많은 부분에서 부족함을 드러내고 있었다.

케이츠는 “현재로써는 VPN이 그리 강력히 제 역할을 하고 있지 못하다. 도용의 가능성도 적지 않다. 문제 해결을 위해 데이터베이스 접근 및 활동을 모니터링하는 등의 노력을 진행할 필요가 있을 것이다. 원격 접근의 안전성 검사 과정은 향후 많은 혁신을 거쳐야 할 것이다”라고 말했다.

보고서는 또한 내부자 위협에 대응할 유효한 접근법으로 ‘퍼베이시브 커버리지(pervasive coverage)’를 제안하고 있다. 이로 인해 보안 팀에 업무 부담이 증가하지는 않을까라는 의문에 케이츠는 그렇지 않다고 답한다.

케이츠가 제안하는 내용은 ‘알아야 할 필요가 있는 것에만' 접근을 허용하는 통제 원칙을 수립하라는 것이다. 권한 부여 기반의 접근 허용에서 벗어나 키 입력 추적이나 철저한 감사 체계 도입 등으로 데이터 보호 역량을 향상시킬 수 있다는 것이 그의 설명이다.

그는 “데이터 접근 방식을 하나의 정책으로써 확립하고 총괄적 소유 방식을 중단하는 퍼베이시브 커버리지 전략은 시간과 노력의 투여량을 늘리기보단 오히려 보안 활동의 집중도를 높여줄 것이다”라고 강조했다.

케이츠는 또 “이는 정보로 통하는 길을 정문 하나로 통합하는 것이다. 정문 한 곳만을 철저히 지킴으로써 보다 완벽하게 기업의 데이터를 보호할 수 있게 될 것이다”라고 덧붙였다.

케슬러 역시 접근 통로의 집중과, 특히 상황적 인식이 반영되는 보안 방식의 중요성을 강조했다. 케슬러는 “물론 이 외에도 보다 집중적이고 전략적인 접근법들은 존재하지만, 그것들에는 많은 비용과 추가적 훈련의 부담이 수반된다. 굳이 이런 방식을 도입하지 않더라도 예방과 대응의 측면에 집중에 보안 문제에 접근하고, 대응 시간을 줄이는 등의 노력을 기울인다면, 보안 수준은 충분히 향상될 수 있다”라고 말했다.

그는 “위협에 신속히 대응키 위한 정보 수집 과정이 선행되지 않는다면, 이런 값비싼 툴들도 제 기능을 다하지 못할 것이다. 당신의 데이터 속에는 당신이 다뤄야 할 문제 취해야 할 행동, 그리고 신속한 문제 해결을 가능케 하는 방법론이 들어있다. 예방적 측량법을 통해 공격 가능 지점을 축소하고 빠른 대응으로 문제를 해결하라”라고 덧붙였다. ciokr@idg.co.kr