2015.09.30

기고 | 가장 큰 보안 위협은 내부에 있다?

David Weldon | CIO

대다수 컴퓨터 전문가에게 IT보안에 대해 이야기해 보라고 하면, 악성코드, 해커, 스파이웨어, 디도스 공격 같은 온갖 종류의 외부 위협에 대해 듣게 될 것이다. 하지만, 만약 더 크고, 어쩌면 더 많은 비용이 드는 위협이 내부에서 오는 거라면?


이미지 출처 : Thinkstock

최근 '유명세'를 탄 애슐리 매디슨(Ashley Madison)은 고객들의 '불륜'을 조장하며 꽤 성공적으로 운영됐던 웹사이트다. 이런 까닭에 이 사이트에서 내부의 위협으로 역대 가장 시끄러운 보안 사고 가운데 하나가 발생한 것을 두고 '정의가 실현'됐다면서 반길 사람도 있을 것이다.

최근 IT 보안 분석가인 존 맥아피는 애슐리 매디슨의 사고는 내부에서 비롯됐다고 결론 내렸다. 그는 "애슐리 매디슨은 해킹당하지 않았다. 모회사인 애비드 라이프 미디어(Avid Life Media) 소속 직원이 데이터를 훔친 것이 사고의 원인이었다"고 설명했다.

이 주장이 사실이라면, 애슐리 매디슨의 보안 침해 사고는 외부가 아닌 내부 위협에서 비롯된 사고다. 그런데 이는 크게 놀랄 일은 아니다. 올해 발표된 여러 IT보안 조사 보고서에 따르면, 내부에서 발생한 데이터 도난과 기업 보안 침해 사고 위협이 커지고 있는 추세다.

내부 위협이 금전적으로 더 큰 피해, 방어가 더 어려운 위협을 초래하는 경우도 있다. 비유하면, 외부의 도둑이나 강도는 피해자의 집으로 침입해 들어가야 한다. 그러나 그 집에 살고 있는 누군가 물건을 훔치려 한다면 그럴 필요가 없다. 정문 열쇠와 보석함 위치를 알고 있기 때문이다.

물론 내부 위협과 외부 위협에 동일하게 적용되곤 하는 동기 하나가 있다. 데이터를 '영리 추구' 수단으로 삼는 것이다. 외부 위협의 경우, 해커들은 일반적으로 암시장에 내다 팔 수 있는 데이터를 훔치려 시도한다. 내부 위협의 경우, 과거 재직했던 또는 현재 재직 중인 직원이 경쟁사가 원할 전략 정보나 자신이 개발한 뭔가를 '현금화'하려 시도한다.

지난 1월 보스턴의 한 소송 사건을 예로 들 수 있다. 이는 프록터 앤 갬블 컴퍼니(Proctor & Gamble Company)는 질레트 컴퍼니(Gillette Company)에 근무했었던 직원 4명이, 비밀 정보와 영업 기밀을 경쟁 업체에 누출시켰다는 이유로 소송을 제기했던 사건이다.

7월에는 메리트 헬스 노스웨스트 미시시피(Merit Health Northwest Mississippi) 직원 한 명이 2년 동안 허가 없이 환자 정보를 빼돌렸다는 혐의로 고소를 당했다. 이 직원은 신원 도용 목적에서 환자의 이름, 주소, 생년월일, 사회보장(Social Security) 번호, 의료 보험 정보, 의료 기록 등을 훔친 것으로 알려지고 있다.

데이터 침해 사고를 조사하는 NCI(National Cybersecurity Institute)의 COO 제인 르클레어는 불만을 가진 직원이 초래할 위협에 대비하는 것이 가장 어렵다고 지적했다. NCI가 외부 데이터 침해 사고에 많은 시간을 투자한다고 생각할지 모르겠다. 그러나 NCI는 내부 위협을 가장 크게 걱정하고 있다.

르클레어는 "현재 내부 위협에 초점을 맞추지 않는 기업들이 많다. 그래서 이와 관련해 해야 할 일이 많다. 미국인들은 신뢰를 중요하게 생각한다. 이런 까닭에 중소 기업을 중심으로 직원을 잠재적인 위협 요소로 취급하기가 아주 어렵다"고 설명했다.

물론 대다수는 위협 요소가 아니다. 그러나 위협 요소가 충분하기 때문에, 기업은 내부와 외부 모두를 경계해야 한다.
 


르클레어는 "내부 위협에는 과거 회사에 근무했던 사람들도 포함된다. 이 점을 감안하면, 위협이 생각보다 크다는 사실을 알 수 있다"고 지적했다. 그녀는 "화가 나는 일이 있어서, 또는 해고를 당해서 회사를 그만 둔 사람들이 있다. 이들을 빨리 '정리'해야 한다. '복수'를 하고 싶어할 수 있기 때문이다"고 말했다.

아직 재직 중이지만 '마음이 떠난' 직원들도 있을 수 있다.

르클레어는 "제대로 대우를 받지 못하고 있다고 생각하는 직원들이 있다. 기타 여러 가지 이유로 불만을 갖고 있을 수도 있다. 회사가 열심히 일한 자신을 제대로 대우하지 않고, 보상하지 않는다고 생각하는 직원들이다. 이는 아주 자주 고려해야 할 또 다른 수준의 불만들이다. 개인적으로 내부 위협의 더 큰 원인 중 하나라고 생각한다"고 말했다.

또 가장 위험한 위협 중 하나로 입증된 새로운 형태의 내부 위협이 있다. 정치적인 동기가 있는 위협이다.

과거 CISO로 일한 경력을 갖고 있는 IT 정보 보안 컨설턴트 캔디 알렉산더는 "나는 항상 사람의 시각(관점)을 관찰한다. IT나 보안 담당자는 사회의 최신 뉴스와 트렌드에 관심을 기울여야 한다. 'IT세계'에도 그러한 것들이 반영되기 때문이다. 현대 사회와 문화에는 많은 것들에 반대가 많다. 이런 것들이 사건사고로 발전한다"고 말했다.

 




2015.09.30

기고 | 가장 큰 보안 위협은 내부에 있다?

David Weldon | CIO

대다수 컴퓨터 전문가에게 IT보안에 대해 이야기해 보라고 하면, 악성코드, 해커, 스파이웨어, 디도스 공격 같은 온갖 종류의 외부 위협에 대해 듣게 될 것이다. 하지만, 만약 더 크고, 어쩌면 더 많은 비용이 드는 위협이 내부에서 오는 거라면?


이미지 출처 : Thinkstock

최근 '유명세'를 탄 애슐리 매디슨(Ashley Madison)은 고객들의 '불륜'을 조장하며 꽤 성공적으로 운영됐던 웹사이트다. 이런 까닭에 이 사이트에서 내부의 위협으로 역대 가장 시끄러운 보안 사고 가운데 하나가 발생한 것을 두고 '정의가 실현'됐다면서 반길 사람도 있을 것이다.

최근 IT 보안 분석가인 존 맥아피는 애슐리 매디슨의 사고는 내부에서 비롯됐다고 결론 내렸다. 그는 "애슐리 매디슨은 해킹당하지 않았다. 모회사인 애비드 라이프 미디어(Avid Life Media) 소속 직원이 데이터를 훔친 것이 사고의 원인이었다"고 설명했다.

이 주장이 사실이라면, 애슐리 매디슨의 보안 침해 사고는 외부가 아닌 내부 위협에서 비롯된 사고다. 그런데 이는 크게 놀랄 일은 아니다. 올해 발표된 여러 IT보안 조사 보고서에 따르면, 내부에서 발생한 데이터 도난과 기업 보안 침해 사고 위협이 커지고 있는 추세다.

내부 위협이 금전적으로 더 큰 피해, 방어가 더 어려운 위협을 초래하는 경우도 있다. 비유하면, 외부의 도둑이나 강도는 피해자의 집으로 침입해 들어가야 한다. 그러나 그 집에 살고 있는 누군가 물건을 훔치려 한다면 그럴 필요가 없다. 정문 열쇠와 보석함 위치를 알고 있기 때문이다.

물론 내부 위협과 외부 위협에 동일하게 적용되곤 하는 동기 하나가 있다. 데이터를 '영리 추구' 수단으로 삼는 것이다. 외부 위협의 경우, 해커들은 일반적으로 암시장에 내다 팔 수 있는 데이터를 훔치려 시도한다. 내부 위협의 경우, 과거 재직했던 또는 현재 재직 중인 직원이 경쟁사가 원할 전략 정보나 자신이 개발한 뭔가를 '현금화'하려 시도한다.

지난 1월 보스턴의 한 소송 사건을 예로 들 수 있다. 이는 프록터 앤 갬블 컴퍼니(Proctor & Gamble Company)는 질레트 컴퍼니(Gillette Company)에 근무했었던 직원 4명이, 비밀 정보와 영업 기밀을 경쟁 업체에 누출시켰다는 이유로 소송을 제기했던 사건이다.

7월에는 메리트 헬스 노스웨스트 미시시피(Merit Health Northwest Mississippi) 직원 한 명이 2년 동안 허가 없이 환자 정보를 빼돌렸다는 혐의로 고소를 당했다. 이 직원은 신원 도용 목적에서 환자의 이름, 주소, 생년월일, 사회보장(Social Security) 번호, 의료 보험 정보, 의료 기록 등을 훔친 것으로 알려지고 있다.

데이터 침해 사고를 조사하는 NCI(National Cybersecurity Institute)의 COO 제인 르클레어는 불만을 가진 직원이 초래할 위협에 대비하는 것이 가장 어렵다고 지적했다. NCI가 외부 데이터 침해 사고에 많은 시간을 투자한다고 생각할지 모르겠다. 그러나 NCI는 내부 위협을 가장 크게 걱정하고 있다.

르클레어는 "현재 내부 위협에 초점을 맞추지 않는 기업들이 많다. 그래서 이와 관련해 해야 할 일이 많다. 미국인들은 신뢰를 중요하게 생각한다. 이런 까닭에 중소 기업을 중심으로 직원을 잠재적인 위협 요소로 취급하기가 아주 어렵다"고 설명했다.

물론 대다수는 위협 요소가 아니다. 그러나 위협 요소가 충분하기 때문에, 기업은 내부와 외부 모두를 경계해야 한다.
 


르클레어는 "내부 위협에는 과거 회사에 근무했던 사람들도 포함된다. 이 점을 감안하면, 위협이 생각보다 크다는 사실을 알 수 있다"고 지적했다. 그녀는 "화가 나는 일이 있어서, 또는 해고를 당해서 회사를 그만 둔 사람들이 있다. 이들을 빨리 '정리'해야 한다. '복수'를 하고 싶어할 수 있기 때문이다"고 말했다.

아직 재직 중이지만 '마음이 떠난' 직원들도 있을 수 있다.

르클레어는 "제대로 대우를 받지 못하고 있다고 생각하는 직원들이 있다. 기타 여러 가지 이유로 불만을 갖고 있을 수도 있다. 회사가 열심히 일한 자신을 제대로 대우하지 않고, 보상하지 않는다고 생각하는 직원들이다. 이는 아주 자주 고려해야 할 또 다른 수준의 불만들이다. 개인적으로 내부 위협의 더 큰 원인 중 하나라고 생각한다"고 말했다.

또 가장 위험한 위협 중 하나로 입증된 새로운 형태의 내부 위협이 있다. 정치적인 동기가 있는 위협이다.

과거 CISO로 일한 경력을 갖고 있는 IT 정보 보안 컨설턴트 캔디 알렉산더는 "나는 항상 사람의 시각(관점)을 관찰한다. IT나 보안 담당자는 사회의 최신 뉴스와 트렌드에 관심을 기울여야 한다. 'IT세계'에도 그러한 것들이 반영되기 때문이다. 현대 사회와 문화에는 많은 것들에 반대가 많다. 이런 것들이 사건사고로 발전한다"고 말했다.

 


X