대다수 컴퓨터 전문가에게 IT보안에 대해 이야기해 보라고 하면, 악성코드, 해커, 스파이웨어, 디도스 공격 같은 온갖 종류의 외부 위협에 대해 듣게 될 것이다. 하지만, 만약 더 크고, 어쩌면 더 많은 비용이 드는 위협이 내부에서 오는 거라면?
이미지 출처 : Thinkstock
최근 '유명세'를 탄 애슐리 매디슨(Ashley Madison)은 고객들의 '불륜'을 조장하며 꽤 성공적으로 운영됐던 웹사이트다. 이런 까닭에 이 사이트에서 내부의 위협으로 역대 가장 시끄러운 보안 사고 가운데 하나가 발생한 것을 두고 '정의가 실현'됐다면서 반길 사람도 있을 것이다.
최근 IT 보안 분석가인 존 맥아피는 애슐리 매디슨의 사고는 내부에서 비롯됐다고 결론 내렸다. 그는 "애슐리 매디슨은 해킹당하지 않았다. 모회사인 애비드 라이프 미디어(Avid Life Media) 소속 직원이 데이터를 훔친 것이 사고의 원인이었다"고 설명했다.
이 주장이 사실이라면, 애슐리 매디슨의 보안 침해 사고는 외부가 아닌 내부 위협에서 비롯된 사고다. 그런데 이는 크게 놀랄 일은 아니다. 올해 발표된 여러 IT보안 조사 보고서에 따르면, 내부에서 발생한 데이터 도난과 기업 보안 침해 사고 위협이 커지고 있는 추세다.
내부 위협이 금전적으로 더 큰 피해, 방어가 더 어려운 위협을 초래하는 경우도 있다. 비유하면, 외부의 도둑이나 강도는 피해자의 집으로 침입해 들어가야 한다. 그러나 그 집에 살고 있는 누군가 물건을 훔치려 한다면 그럴 필요가 없다. 정문 열쇠와 보석함 위치를 알고 있기 때문이다.
물론 내부 위협과 외부 위협에 동일하게 적용되곤 하는 동기 하나가 있다. 데이터를 '영리 추구' 수단으로 삼는 것이다. 외부 위협의 경우, 해커들은 일반적으로 암시장에 내다 팔 수 있는 데이터를 훔치려 시도한다. 내부 위협의 경우, 과거 재직했던 또는 현재 재직 중인 직원이 경쟁사가 원할 전략 정보나 자신이 개발한 뭔가를 '현금화'하려 시도한다.
지난 1월 보스턴의 한 소송 사건을 예로 들 수 있다. 이는 프록터 앤 갬블 컴퍼니(Proctor & Gamble Company)는 질레트 컴퍼니(Gillette Company)에 근무했었던 직원 4명이, 비밀 정보와 영업 기밀을 경쟁 업체에 누출시켰다는 이유로 소송을 제기했던 사건이다.
7월에는 메리트 헬스 노스웨스트 미시시피(Merit Health Northwest Mississippi) 직원 한 명이 2년 동안 허가 없이 환자 정보를 빼돌렸다는 혐의로 고소를 당했다. 이 직원은 신원 도용 목적에서 환자의 이름, 주소, 생년월일, 사회보장(Social Security) 번호, 의료 보험 정보, 의료 기록 등을 훔친 것으로 알려지고 있다.
데이터 침해 사고를 조사하는 NCI(National Cybersecurity Institute)의 COO 제인 르클레어는 불만을 가진 직원이 초래할 위협에 대비하는 것이 가장 어렵다고 지적했다. NCI가 외부 데이터 침해 사고에 많은 시간을 투자한다고 생각할지 모르겠다. 그러나 NCI는 내부 위협을 가장 크게 걱정하고 있다.
르클레어는 "현재 내부 위협에 초점을 맞추지 않는 기업들이 많다. 그래서 이와 관련해 해야 할 일이 많다. 미국인들은 신뢰를 중요하게 생각한다. 이런 까닭에 중소 기업을 중심으로 직원을 잠재적인 위협 요소로 취급하기가 아주 어렵다"고 설명했다.
물론 대다수는 위협 요소가 아니다. 그러나 위협 요소가 충분하기 때문에, 기업은 내부와 외부 모두를 경계해야 한다.