사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.
그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다.
머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다.
포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다.
또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).
다층적인 접근법 사용하기
보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다.
이런 약한 연결 고리를 찾아내기 위해서는 많은 노력이 필요하며 보안 분야를 넘어선 여러 도구를 이용해야 한다.
머피는 “내부자 위험을 찾아내기 위해 특정 도구에 연연하지 않는다”라고 말했다. 예를 들어, 그는 포르쉐를 운전하는 인턴을 의심하지 않을 수 있지만 인턴이 밤늦게 혼자 일하고 제한된 계정에 액세스하려 시도한다면 의심할 것이라고 말했다.
이 접근방식은 오늘날 부상하는 보안 사고방식과도 일치한다. 오늘날 보안은 점차 사용자 자체에 대한 정보를 통합하는 다층적인 접근방식이 필요하다. 사용자 행동 분석, 제로 트러스트(Zero Trust) 정책, 최소 권한의 원칙 등이 모두 이런 점을 반영한다.
하지만 일부 보안 전문가들은 이런 사고방식을 넘어 조직 내의 어떤 모습이 약한 연결고리이며, 이를 확인하는 방법과 위험을 최소화하는 방법을 고려하고 있다.
가이드하우스(Guidehouse)의 사이버 보안 오픈소스 솔루션 책임자 제이슨 더리는 “중요한 것은 지속적으로 잠재적인 위험을 확인하고 위험 영역을 중심으로 가중치를 생성하여 무엇인가 표면으로 떠올랐을 때 살펴볼 수 있도록 하는 프로그램을 마련하는 것”이라고 말했다.
잠재적인 위협 ‘지뢰밭’
내부자 위협뿐 아니라 특히 약한 연결 고리이거나 (관점에 따라) 큰 위험을 유발하는 사람을 감지하는 과정은 예전보다 훨씬 복잡해졌다고 VI(Virtually Informed Ltd.)의 CISO 겸 CTO 사브 셈비가 말했다.
셈비는 데이터 손실 방지 소프트웨어, 네트워크 스캐닝 도구, 신원 및 액세스 관리 플랫폼, 제로 트러스트 방법론 모두가 피해를 입히는 부주의하거나 악의적인 내부자의 위험을 크게 낮출 수 있다고 말했다. 하지만 그는 보안 부문의 다른 것들과 마찬가지로 내부자 위협을 완벽하게 방어할 수 없다고 강조했다.
그는 사물인터넷으로 인한 조직의 위험에 관해 생각해보라고 말했다. 직원은 겉으로 보기에 무해한 IoT 장치(프린터 등)를 가져올 수 있으며 기업에 안전하지 못한 인터넷 연결을 적용했다는 사실을 모를 수 있다. “이런 장치는 인간보다 더 큰 내부자 위협이다”라고 ISACA ETWG(Emerging Trends Working Group)의 구성원인 셈비가 말했다.
자체 기술을 배치하는 현업 부서에 대해 관대한 자세를 취하는 기업이 늘고 있는 가운데, 재택근무로 인해 내부자 위협 문제가 더 복잡해지고 있다고 그가 말했다. 다른 사람들도 이런 요소를 지적하면서 재택근무 중인 악의적이거나 범죄자인 내부자가 주변에 감시자가 없기 때문에 스마트폰으로 민감한 정보의 사진을 촬영하기 쉽다고 입을 모았다.
챔플레인 칼리지(Champlain College)의 조교수 겸 LCDFC(Leahy Center for Digital Forensics & Cybersecurity)의 연구 책임자 아담 골드스테인은 CISO가 최소한 추가적인 위험을 유발하는 사람을 범주화할 수 있다고 조언했다.
우선, 그는 일반적인 재택 근무자를 더욱 취약한 그룹으로 생각할 수 있다고 말했다. 그는 “(이들은) 개인용 기기를 사용하며 그들이 컴퓨터로 하는 일뿐만 아니라 회사와 동료 등에 대한 연결에 대한 감독의 수준이 다르다”라고 말했다.
바쁜 직원, 여러 역할을 담당하는 직원도 더 큰 위험을 만든다고 그가 말했다. “과도하게 일을 벌이면 사람들이 평상시와는 다른 지름길을 택하거나 적절한 교육을 받지 못한 작업이나 시스템에 뛰어들게 된다. 필요한 심층적인 지원을 받지 못하는 경우도 있다”라고 그가 말했다.
골드스테인은 “이런 것들은 직원의 동기 또는 스킬과 관련이 없는 문제일 수 있지만 큰 보안 문제를 유발할 수 있다”라고 덧붙였다.
이와 동시에 악당들이 지속적으로 전략을 발전시킴에 따라 신중한 사람조차도 사기의 피해자가 되고 조직을 노출시킬 수 있는 확률을 높이고 있다고 그는 설명했다. “소셜 엔지니어링형 공격을 시도하거나 스키마를 찾아낸 정교한 공격자는 이것이 특히 잘 실행되거나 그날 누군가 산만해졌을 때 누군가를 잡을 수 있다”라는 설명이다.
악당들도 불만이 있거나 악의적인 직원이 행동을 취하도록 하는 더 쉬운 방법을 찾아냈다. 대표적인 것이 직원이 직접 자격 증명이나 기타 조직의 자산을 판매할 수 있는 채널을 생성하는 것이다. 골드스테인은 “그리고 내부자가 감수해야 하는 위험은 과거보다 훨씬 적어졌다. 왜냐하면 그들은 이것을 피싱 공격처럼 보이게 만들어 그 사람을 추적하기가 훨씬 어렵게 만들 수 있기 때문이다”라고 말했다.
가이드하우스의 사이버 보안 활동 파트너 마이클 에버트는 이런 사례를 경험했다. 사법부에서 범죄 조직에 정보를 판매하고 있는 직원에 관해 경고했을 때에 이르러서야 문제가 드러났다고 그는 전했다. 해당 직원은 쉽게 돈을 벌 수 있는 기회를 본 친구와 공범에게 압박을 받았다.
조치
이런 사고가 CISO에게 의미하는 바는 ‘맥락’을 보안 전략의 일부로 고려해야 한다는 것이다. 에버트는 “누구나 특정 상황에서 멍청한 짓을 한다”라고 말했다. 이런 현실 속에서 누군가 실제로 행동을 취하고 조직을 위험에 빠뜨리기 전에 이런 가능성에 대해 생각하는 것이 중요하다.
하지만 그와 다른 사람들은 CISO의 능력이 제한적이며, 그들이 혼자 일할 때는 더욱 그렇다는 점을 인정했다.
예를 들어, 에버트는 사법부 사례의 직원이 해당 기업의 초기 배경조사뿐 아니라 직원들을 대상으로 2년마다 실시하는 후속 배경조사도 통과했다는 점을 언급했다.
골드스테인은 “많은 조직들이 고용에 앞서 요건을 충족하고 [보안] 교육을 받았는지 확인하기 위해 고용 프로세스 중 배경조사와 다른 작업을 수행한다. 하지만 개인적인 삶이 바뀌거나 조직과 자신의 역할에 대해 다른 느낌을 갖게 된 기존의 직원에 대해서는 어려울 수 있다”라고 말했다.
위협을 유발할 수 있는 직원을 찾아내고 이런 상황에 대응하기 위한 적절한 정책과 절차를 마련해야 하기 위해서는 보안 및 인사 부서는 더욱 긴밀히 협력한다. 규제가 엄격한 산업의 기업들이 이런 부분에서 앞서고 있다고 골드스테인이 말했다.
하지만 골드스테인은 이런 일이 어려우며 여러 조직에서 윤리적인 문제를 유발할 수 있다고 말했다. 그는 “그렇다면 조직의 자산을 보호하고 직원 모니터링에 있어서 큰형님 접근방식을 피하는 것 사이의 균형을 어떻게 맞출 수 있을까”라고 반문했다.
골드스테인은 CISO가 내부자 위협이 관련된 탁상 훈련을 운영하도록 조언했다. “질문하자. [해커가] 이 사람의 자격 증명을 갖는다면 어떻게 될까? 그리고 이 결과를 임원들에게 제공하여 그 위험이 무엇인지 파악할 수 있도록 하라”라고 그는 말했다.
더리는 한 걸음 더 나아가 CISO가 HR 등의 다른 부서 책임자들과 협력하여 누가 위험인지 보여주는 행동이나 활동을 확인하고 이해해야 한다고 말했다. 그는 “모든 기업 부서는 역할이 있다. 이런 유형의 프로그램은 고립되어 실시되어서는 안 된다”라고 덧붙였다.
하지만 더리와 다른 사람들도 특정 성향이나 역할로 인한 위험에 대해 보안 조치에 너무 많은 가중치를 부여하지 않도록 경고했다. 대신에 그들은 잠재적인 시나리오를 고려하고 컨트롤 계층을 평가하여 동기나 상황에 상관없이 누구나 피해를 입히지 않도록 최대한 효과적으로 방지할 수 있도록 하라는 조언이다.
골드스테인은 “사람들을 살펴보아야 하며, 개인의 위험에 대한 추가적인 분석을 수행하면 위험이 무엇인지 그리고 마련된 통제책이 적절한지 또는 더 많이 투자할 수 있는 영역이 있는지 확인하는 데 도움이 될 수 있다”라고 설명했다.
에버트는 사법부 사례를 다시 언급하면서 해당 기업이 직원의 활동을 좀더 잘 모니터링했다면 피해를 예방하거나 제한할 수 있었을 것이라고 전했다. ciokr@idg.co.kr