내부자 보안 이슈, 결국은 '신뢰'의 문제다

좋든 싫든, 내부자로 인한 보안 위협은 기업과 보안 담당자가 직면한 현실이다. 하지만 내부 공격자가 모두 악의나 적개심을 가진 이들이라고 생각한다면 그것이야말로 오산이다.

“내부 보안 위협의 범주는 일반적 위협보다 훨씬 넓다. 악의를 가지고, 고의로 정보를 훔치려는 공격자에 의해 행해지는 위협만이 아니라는 점에서 특히 그렇다.” ISF(Information Security Forum)의 매니징 디렉터 스티브 더빈은 이렇게 강조했다.

Credit: Thinkstock

내부 위협을 구성하는 또 다른 요인으로는 보안에 대한 무관심을 지목할 수 있다. 이들은 보안 규칙에 대해 알고는 있지만, 단지 효율성 등을 이유로 이를 우회하려 하는 이들이다.

사고로 인한 내부 위협도 존재한다. 보안에 무관심한 직원들이 동료에게 용량이 큰 파일을 한 번에 보내고 싶어서 회사에서 승인하지 않는 웹 기반 파일 호스팅 서비스 등을 사용하는 이들이 있을 수 있다. 사고에 의한 내부 위협이란 실수로 키보드를 잘못 눌러 다른 사람의 이메일로 자료를 보내는 경우 등이 해당된다. 요즘의 자동 완성 기능 때문에 빈번히 발생하곤 한다.

더빈은 “내부 위협 중에는 고의적이고 악의적인 위협보다는 아마도 후자의 두 가지 경우가 더 큰 영향을 미칠 것이다. 또 보안 부서에서 통제하기도 더욱 어렵다”라고 말했다.

물론 일단 한번 정보 유출이나 보안 사고가 터지고 나면, 그것의 발생 원인이 고의적이었는지 실수였는지는 더 이상 중요하지 않다.

사고는 때와 장소를 가리지 않는다
더빈은 “이러한 위협들은 어느 하나 간단히 다룰만한 문제가 아니다. 우연하게 발생하는 사고를 방지하기란 사실상 불가능하다. 기업들이 사용할 수 있는 전략은 제한적이다. 인식 개선 프로그램이나 트레이닝 프로그램 등일 뿐이다. 보안에 무관심한 내부 인물들을 변화시키기 위해서는 정책과 절차에 대한 소통이 필요하다”라고 이야기했다.

ISF는 이번 주 포럼 회원들에게 ‘내부 위협 관리하기(Managing the Insider Threat)’라는 제목의 브리핑 페이퍼를 배포하고 모바일 기기 및 인터넷 사용 증가로 내부 위협의 강도가 훨씬 높아졌음을 알렸다.

오늘날 직장인들은 한 명당 여러 대의, 상호 연결된 전자 기기를 운용하는 경우가 드물지 않으며 그만큼 정보 유출도 대량으로, 즉각적으로 발생할 수 있다. 이제 유출 피해의 범위는 시공간적 제약을 넘어서 넓게 확산될 수 있게 됐다. 게다가 회사와 직원 간 신뢰 관계나 충성도 역시 예전처럼 굳건하지 않다.

그렇다면 내부자 위협을 관리할 최선의 방안은 무엇일까? 더빈은 내부 위협의 위험을 축소할 첫 단계로 리스크 평가를 진행하는 것을 제안했다.

그는 “장기적인 안목에서 가용 정보를 세밀하게 검토하는 노력이 중요하다. 당신이 보유한 모든 정보를 항목화하고, 그와 관련한 사고가 발생했을 때 어떤 문제가 있을지를 가정해보라”라고 말했다.

데이터가 중요한 것일수록 더욱 철저히 지키고 통제해야 한다. 보안 인식 및 교육 프로그램도 이러한 자각에서 시작된다. 교육을 받는 직원들에게도 이것이 왜 중요한 문제인지를 인식시킬 필요가 있다.

또한 최소 권한 프레임워크(least privilege framework)를 구축할 필요가 있다. 정보에 대한 액세스를 꼭 필요한 최소한의 인물들에게만 허용하는 것이다. 여기에는 상위 매니저들도 포함된다고 더빈은 설명했다.

더빈은 “당신이 회사의 사장이라 가정해보자. 당신에게 필요한 것은 상급의 기업 재무 정보뿐이다. 바꿔 말해, 당신과 말 한 마디 나눌 일도 없는 평 직원의 성과 보고서 등에 대해선 액세스 권한이 굳이 필요 없다는 말이다”라고 설명했다.

결국 신뢰의 문제다
이런 방법론적인 것도 중요하지만, 결국에는 신뢰가 있는가의 문제로 귀결된다.

더빈은 “여러 가지 요인들로 인해 기업이 내부 위협에 노출되는 경우가 많아지고 있다. 그럼에도 기술적으로 통제할 수 있는 범위는 제한적이다. 이런 위협에 대처하기 위해서는 신뢰에 대한 이해와 내부 직원들 간의 신뢰 관계를 구축, 개선하는 데 더 많은 투자를 해야 한다”라고 말했다.

신뢰와 관련해 기억해야 할 것은 이것이 양방통행이라는 것을 기억하는 것이다. 직원들을 신뢰할 수 있는가를 철저히 따지는 만큼 직원들에게도 회사가 신뢰할 수 있는 대상임을 보여주어야 한다. 예를 들어, 직원의 행동을 모니터링 하고 있을 때는 이를 본인에게 알려줘야 한다.

더빈은 “직원에 대해 어떤 모니터링을 하고 있는지 전부 다 공개해줘야 한다. 예를 들어 증권 거래소에서 일 하는 직원들은 자신들의 모든 행동, 말이 녹화되고 있다는 사실을 알고 있다”라고 덧붙였다.

-> ‘직원을 감시하라’ … IT부서의 달갑잖은 임무

반대로 규정에 명시하거나 별도의 통보를 하지 않고 직원의 이메일 트래픽을 모니터링 한다면, 직원들은 절대 기업을 신뢰할 수 없을 것이다. 더빈은 “이 설명을 반드시 기억할 필요가 있다. 내부 관계자가 초래하는 위협은 분명 실제적인 것이지만, 그러한 사고를 최전방에서 예방하고 감지하는 것 역시 내부의 직원들이기 때문이다. 데이터 보호와 관련한 그들의 책임과 권리를 확실히 이해시키는 것이 당신의 역할임을 기억해야 한다”라고 말했다.

“즉 핵심은 개방성과 신뢰, 그리고 커뮤니케이션이다. 보안 정책이 비즈니스에 적합한지, 그리고 최신 경향에 잘 맞는지도 확인해야 한다”고 더빈은 덧붙였다.

ciokr@idg.co.kr