인가된 내부인에서 비롯된 위협은 언제나 존재한다. 또 이를 경감하는 방법은 회사마다 크게 다르다. 정보의 디지털화가 가속화되고, 저장 매체가 증가하고, (아이패드 등) 새로운 장치와 (소셜 네트워크 등) 공유 매체가 등장하면서, 기술적인 위험은 계속 증가하고 있다. 이렇듯 위험이 발전하면서, 여러 보안 솔루션을 계층적으로 적용할 필요성이 대두되고 있다.
하나의 툴만으로는 위험을 경감할 수 있다. RBAC(Role Based Access Control), 접근/권리 승인, 데이터 분류, 보안 이벤트 감시, 데이터 손실 방지 기술 등을 통합해 적용해야 효과를 얻을 수 있다. 그러나 PBAC, DLP, SIEM 등의 첨단 방법과 기술을 사용하는 경우에도, 악의적인 목적을 가진 인가된 사용자를 추적하고 감시하기에 충분한 정도로 배치를 하지 못하는 경우가 많다.
물론 비정상적인 행동을 모두 범죄 행동으로 판단할 수는 없다. 선의를 가진 직원들이 자신의 업무를 위해 이런 행동을 할 수 있다. 따라서 왜 특정 행동이 위험으로 이어질 수 있는지를 설명하는 훈련과 프로그램에 보안 정책과 절차를 통합하는 것이 중요하다.
이를 위해서는 사용자의 감정과 지성에 호소해야 한다. 그렇게 해야만 기업과 사용자 모두에게 도움이 되는 보안 대책을 수립할 수 있다. 이런 방법은 인가된 내부 사용자에 의한 데이터 누출을 감지하고 예방하는데 도움이 되고, 정보 보안 역량을 파악하고 배양하는데도 도움이 된다.
요약하면, CIO들은 내부 위험과 관련된 문제를 사람과 프로세스, 기술이라는 전체적인 관점으로 고찰해야 한다. 또 악의적인 의도를 가진 내부인 뿐 만 아니라 선의의 의도를 가진 직원들 모두에 초점을 맞춰야 한다.
* 크레이그 슈마드(Craig Shumard)는 슈마드 앤 어소시에이츠(Shumard and Associates)의 대표이다. 슈마드 앤 어소시에이츠는 정보 보안 솔루션 개선에 초점을 맞춘 보안 컨설팅 회사이다. 슈마드는 CIGNA의 CISO를 역임했으며, 정보 보안과 프라이버시, 컴플라이언스 분야에서 오랜 기간 경력을 쌓았다. ciokr@idg.co.kr