실수든 고의든, 해결책 묘연한 내부자 위협

 입력날짜 : 2017-03-31 16:38

  

 

             

내부자 위협에 대한 뚜렷한 대책 아직 없어
성공적인 기업들은 입사 시부터 ‘배경 점검할 것’이라고 고지해

[보안뉴스 문가용 기자] 보안에 투자하는 돈과 노력이 증가하고 있다고는 하지만, 기업들이 느끼는 불안감은 오히려 짙어지고 있다. 이 불안감의 가장 큰 원인은 바로 내부자의 위협임이 최근 설문 조사를 통해 드러났다. 설문을 실시한 건 보안 분석 전문업체인 헤이스택스 테크놀로지(Haystax Technology)이고, 이 설문에 508명의 보안 전문가들이 참여했다. 

그 결과 응답자의 74%는 “현재 우리 회사는 내부자 위협에 매우 취약하다”고 답했는데, 이는 지난 해 똑같이 진행된 설문 결과보다 약 7% 증가한 수치다. 또, 56%는 내부자 위협으로 인한 사건이 지난 12개월 동안 더 빈번해졌다고 응답하기도 했다. 

이에 헤이스택스는 내부자 위협으로 인한 사건들을 세부적으로 분류했다. 이에 응답자들 중 70%가 “조심성 없이 데이터를 다루다가 실수로 유출되는 경우”를 꼽았고, 68%는 “조직 내 보안 관련 정책을 알고도 무시해버리다가 정보가 유출되는 경우”를 꼽았다. 악의를 가진 내부자가 고의로 벌이는 사건도 61%나 차지했다.

헤이스택스의 부회장인 토마스 리드(Thomas Read)는 “이러한 내부자 위협, 특히 악감정을 가진 악성 내부자 공격에 대해 기업이 취해왔던 조치들은 제대로 효과를 발휘하지 못하고 있다”며 “이러한 설문 결과가 이를 증명한다”고 설명한다. 그렇다면 왜 기업들의 대처법이 효과를 보지 못하는 것일까?

“가장 큰 이유는 내부자 위협이라는 것의 뿌리를 잘라내지 못하는 방법들이기 때문입니다. 고의든 아니든, 악성 내부자가 되는 데에는 일반적으로 1) 공감 결핍, 2) 편집증, 3) 업무 스트레스, 4) 개인사 스트레스 등이 작용합니다. 하지만 내부자 위협에 대해 우린 이런 접근을 잘 하지 않죠. 그저 정보보안의 기술만 사용되는 게 현실입니다.”

정보보안의 기술만 사용한다? “엔드포인트 보안 조치가 대부분이죠. 악성 내부자든 실수로 인한 사고든, 아무튼 엔드포인트만 보호하면 된다는 마인드가 깔린 접근법입니다. 공격을 하고자 결심한 사람이 무슨 일이라도 저지를 수 있다는 걸 간과한 겁니다. 그리고 회사에서 적용한 엔드포인트 보안 솔루션을 잘 아는 내부자라면, 그걸 우회하는 방법 또한 잘 알고 있죠. 소용이 없다는 겁니다.”

그렇다면 ‘악성 내부자’로 돌변했을 때 가장 무서운 사람은 누구일까? 설문 조사 결과 관리자 급의 권한을 가진 IT 담당자인 것이 밝혀졌다. 응답자의 60%가 “권한 높은 IT 담당자가 잠재적으로 가장 무서운 사람”이라고 답했으며, 57%는 비슷한 이유에서 “IT 관련 파트너사 직원이나 보안 컨설턴트”를 꼽았다. 그 다음으로는 일반 정직원 및 일반 관리자들이 뽑혔다. 

악성 내부자 공격에 당했을 때 가장 치명적인 건 어떤 데이터일까? 고객 정보와 금융 정보, 지적재산이라는 것이 이번 설문을 통해 차례로 꼽혔다. 그 다음으로는 직원 정보, 영업 정보, 마케팅 정보, 의료 관련 정보다. 내부자의 위협이 증가하는 이유로, 60%는 “데이터 보호 전략이 제대로 수립되어 있지 않기 때문”이라고 했으며, 그와 비슷한 비율의 응답자는 “데이터에 접근하고 저장할 수 있는 각종 기기들이 너무나 빠르게 늘어나서”라고 답했다. 

앞서 리드 부회장은 “뿌리를 파헤치지 못하고 있다”고 말했는데, 기업들은 “뿌리부터 뽑으려면 회사가 빅 브라더 취급을 받을 수밖에 없다”고 현실적인 고충이 있음을 이번 설문을 통해 드러내기도 했다. 이 점은 리드도 이해하고 있는 바다. “직원더러 ‘당신이 악성 내부자가 되는 것을 막기 위해 모든 행동을 관찰하겠다’고 하면 누가 거기서 일하겠습니까. 그러다가 오히려 악성 내부자를 더 육성하게 되지요.”

얼른 보기엔 이러지도 저러지도 못하는 상황. 그럼에도 내부자 교육 및 단속에 성공하는 기업들이 분명히 존재한다. 리드는 “그런 기업들은 직원들에게 배경 검사가 입사 시 뿐만 아니라 근무 중에도 지속적으로 발생할 것이라는 걸 분명하게 고지한다”며 “이미 업무상 행동들을 회사가 관리할 수 있다는 걸 알고 입사하는 것에 대해서는 의외로 반발이 적다”고 힌트를 준다. “즉, 당신이 여기 근무하는 동안 완벽히 자유롭지는 않다는 걸 미리 알려주는 것입니다.”

출처:http://www.boannews.com/media/view.asp?idx=54065