IT 인력의 40%가 승인받지 않은 채 민감한 정보에 접근한 적 있는 것으로 조사됐다. 특히 20%는 임원의 대외비 데이터를 열어본 경험이 있다고 응답했다.
보안 소프트웨어 기업 리버만 소프트웨어가 450명의 IT 전문가를 대상으로 조사한 연구에서 도출된 결과였다.
또 조직 내 IT 인력은 대부분 기업 내부 네트워크를 별도의 승인절차 없이 탐색할 수 있는 것으로 보고됐다. 68%의 응답자가 HR, 파이낸스, 임원진보다 민감한 정보에 더 많이 접근할 수 있다고 대답했다. 기업 내부로부터의 데이터 유출 가능성에 경종을 울리는 조사인 셈이다.
특히 11%의 응답자는 일자리가 위험해지는 경우 자신의 관리자적 권한을 이용해 정리해고 리스트와 같은 민감한 파일을 엿볼 의향이 있다고 응답했다. 또 이 중 1/3의 응답자는 자신들의 상사가 이를 막을 방법을 모른다고 밝혔다.
리버맨 소프트웨어의 필립 리버맨 CEO는 "여기서 알 수 있는 진실은 강력한 관리자 계정이 남용될 수 있다는 것"이라며, "시스템과 절차를 확립하고 데이터를 보호할 필요가 있다"라고 강조했다.
그는 이어 다음 4가지 절차를 통해 내부로부터의 위협을 경감시킬 수 있다고 설명했다.
1. 핵심 IT 자산, 특권 계정, 이들 간의 상호의존성을 규정하고 문서화하라
2. 특권 대리인 계정에 접근 권한을 위임하라. 이를 통해 적합한 인물이라도 필요할 때만 특권을 이용함으로써 IT 자산에 접속할 수 잇도록 하라.
3. 암호와 관련해 복잡성, 다양성, 변경 주기 등에 대한 규칙을 분명히 하라.
4. 특권 계정에의 요청 및 이용 시간, 신청자, 목적 등을 문서화하고 정기적으로 검토하라. ciokr@idg.co.kr