모든 임직원을 대상으로 보안 교육을 한다 해도, 패치를 업데이트하지 않고, 수년 째 같은 비밀번호를 고수하며, 포스트잇에 비밀번호를 적어두는 사
IT분야에 오래 종사했다면, 생태학적으로 특정 틈새에 부합하는 특정 유형의 사람들을 분류할 수 있을 것이다. 필자는 몇 년 전 IT 종사자들에게 업무와 관련해 만났던 ‘최악’인 사람들의 유형을 예로 설명해 달라고 요청했다. IT 종사자들은 여기에 적극적으로 대답했다. 이번에는 정보보안 종사자들이 ‘서버’와 기업을 보호하기 위해 극복해야만 했던 ‘안전하지 못한’ 직원들의 유형을 알아봤다. 보안 담당자라면 여기서 소개한 유형에 공감할 것이다. 이 글을 읽는 독자 여러분은 이런 유형에 해당되지 않기를 기대한다.
무조건 클릭하고 보는 사람
팝업 창이 해가 되지 않는다고 생각하는 사람들이 있다. 스크리블르스닷컴(Scribblrs.com)을 창업한 에릭 브랜트너는 “예를 들어, ‘뉴스 사이트’는 매력적이지만 짜증 나는 팝업이 뜬다. 그리고 일부는 이 팝업을 거리낌 없이 클릭해, 컴퓨터가 스파이웨어에 감염되는 사고를 초래한다. 이메일도 마찬가지다”고 말했다.
화이트햇 시큐리티(WhiteHat Security) 산하 위협 연구소(Threat Research Center)의 라이언 오리어리 부사장은 “대부분 사람들이 ‘피싱’이 무엇인지 안다. 그러나 재미있는 고양이 동영상 링크, 구글 비밀번호가 유출됐다는 가짜 위협에 넘어가는 사람들이 있다”고 밝혔다. 링크를 클릭해 피해자가 되고, 악성코드가 설치되면 전체 회사 네트워크가 침해를 당한다.
어설픈 기술 전문가
기술을 잘 안다고 자부하는 직원들이 안전하지 못한 행동을 할 때가 많다. 스크리블르스닷컴의 브랜트너에 따르면, 업무용 컴퓨터에서 불법 스트리밍 사이트를 이용할 수 있을 만큼 기술을 잘 아는 사람들이 있지만, 이들은 이 사이트가 ‘바이러스’나 다름없다는 사실을 간과한다.
PC 핏스톱(PC Pitstop)의 도디 글렌 사이버보안 부사장은 “토렌트 소프트웨어, 키젠, 크랙 등 불법 도구를 사용할 줄 아는 사람들이 문제가 되는 경우가 있다. 이런 소프트웨어와 도구에는 악성코드투성이기 때문이다. 기술을 좀 아는 직원들은 VNC 같은 원격 관리 도구를 설치, 집에서 회사 컴퓨터에 접근할 수 있다. 그러나 제대로 보안을 적용하지 않는다. 고의는 없지만, 실수로 기업 네트워크에 ‘구멍’을 내는 유형이다”고 말했다.
‘편집증 환자’
레질런트 네트워크 시스템(Resilient Network Systems)의 CEO 에단 에이어에 따르면, 보안이 중요하다는 것을 알고 있지만, IT가 이를 제대로 적용했다고 믿지 않는 유형이 있다. 이는 앞에서와 유사한 유형이다. 에이어는 “보안 부서가 요구한 새 소프트웨어를 바로 업데이트하거나, PC를 패칭하지 않는다. 대신 정말 좋은 업데이트와 패칭인지 2주 정도 조사한다. 그런데 그동안 감염이 되고 만다”고 설명했다.
—————————————————————
보안의식 인기기사
->2012 CSO 현황 설문조사 ‘성숙해가는 보안 의식’
-> 기고 | 직원 대상 보안 의식 교육이 필요 없는 이유
->글로벌 칼럼 | 저렴하고도 가장 큰 효과를 내는 보안 조치, 보안 의식
-> 효과적인 보안 교육을 위한 10계명
-> “규제만 잘 지킨다고 보안 문제가 해결되는 것은 아니다”••• 조사 결과
—————————————————————
취약한 비밀번호를 좋아하는 임원들
사실 많은 사람들이 취약한 비밀번호를 좋아한다. 그러나 임원들의 경우, 비밀번호를 바꾸라는 요구를 무시하는 경향이 있어 더 큰 문제가 된다. 지역 유틸리티(전기, 가스, 또는 수도) 회사에서 일하다 은퇴한 네트워크 엔지니어인 낸시 핸드는 “최소 8자리의 비밀번호를 이용하고, 90일마다 이를 변경하며, 반복 사용한 비밀번호를 수용하지 않는 정책을 수립해 적용했는데, VP 한 명이 이를 좋아하지 않았다. 그는 몇 년 동안 모든 시스템과 프로그램에 이용했던 동일한 비밀번호를 계속 이용하기 원했다. 게다가 이름의 첫 글자인 d를 비밀번호로 이용하고 있었다”고 말했다.
프리엠프트(Preempt)의 공동 창업자 겸 CEO인 아지트 산체티는 “사이버 보안 문화를 배양하기 위해서는 C레벨 경영진이 솔선수범해, 올바르게 보안을 실천해야 한다. 튼튼한 비밀번호를 이용하는 것을 예로 들 수 있다”고 말했다.
로그오프 하지 않는 사람들
루크 시큐리티(Rook Security)에서 전략을 담당하는 마이크 패터슨 부사장은 “잠시라도 사무실을 비울 때 컴퓨터를 잠가야 하는데, 그러지 않는 사람들”이라고 설명했다. 물론 포스트잇에 비밀번호를 적어 붙여 놓는 사람들보다는 낫다. 그렇지만 해당 사무실에 출입한 다른 사람이 이를 악용할 위험이 있다. 잠깐만 컴퓨터를 사용하지 않아도 자동으로 잠기도록 설정하는 것이 해결책이 될 수 있다.
누군가 사무실로 들어와 타이핑하는 위험만 있는 게 아니다. 핸드는 “단 한 번도 로그아웃하지 않은 직원이 있었다. 로그아웃하지 않은 시간이 하루인지, 잠깐 복도에 나가 있는 동안인지 알 수 없었다. 문제는 업데이트를 적용하기 위해 재부팅 할 수 없었다는 것이다”고 말했다.
아무 생각 없이 도와주는 사람들
벡트라 네트웍스(Vectra Networks)의 CSO인 건터 올만은 짐을 든 다른 직원들이 신분증을 스캔하지 않고 통과할 수 있도록 보안 출입문을 열어주는 사람들이 문제라고 지적했다. 보안 출입문이 있는 건물이나 데이터센터를 가장 쉽게 들어갈 방법은 양손에 짐을 잔뜩 들고, 인가된 사람이 문을 열어주기 기다리는 것이다.
이는 물리적 출입문에만 적용되는 이야기가 아니다. 핸드는 “부하 직원이 특정 프로그램에 접근할 수 있도록 권한을 요청하는 대신, 자신의 ID와 비밀번호를 사용하도록 허락한 매니저가 있었다. 이 부하 직원이 웹에서 부적절한 사이트에 방문하는 바람에 악성코드 감염 사고가 발생했었다. 이후 다른 사람들도 매니저의 접근 권한을 이용한 것을 알고 난 이후에야 감염 사실을 파악해 책임을 물었다”고 설명했다.
신중을 요구하는 데이터를 이메일로 발송하는 사람들
아이피스위치(Ipswitch)의 IT 담당 시니어 디렉터인 에릭 턴퀴스트는 가장 두려운 유형으로 ‘이메일이 안전하지 않고, 감사 기능이 미흡하다는 사실을 모르는 사람들’을 꼽았다. 그는 “회사에서 한 설문 조사 결과에 따르면, 신중을 요구하는 파일을 이메일로 발송하는 직원들이 84%에 달했다. 이런 사람들은 데이터 침해 사고로 이어질 확률이 높은 아주 큰 보안 ‘허점’을 노출한다”고 지적했다.
인증을 과신하는 사람들
비밀번호와 인증(인가)은 유용하다. 그러나 인증 이후에 논리적인 사고를 중단하는 사람들이 있어 문제가 된다. 씬에어(ThinAir)의 CEO 토니 가우다는 “사용자는 인증(인가)을 받아야 특정 업무를 처리할 수 있다. 그리고 인증을 받은 사람은 워크플로우에서 잘못된 일을 하지 않는다고 생각한다. 보안 팀이 이런 식으로 생각하면, 다양한 권한을 가진 직원들의 행동을 간과하는 문제가 발생한다. 그리고 이것이 아주 큰 결과를 초래할 수 있다. NSA의 계약 직원이었던 해롤드 마틴은 20년 넘게 50테라바이트에 달하는 정부 데이터를 훔쳤다. 이는 인증 기술을 과신했을 때 발생할 수 있는 문제다”고 말했다.
포스트잇 메모를 좋아하는 사람들
아주 흔한 유형이다. 포스트잇에 비밀번호를 적어, 남들도 볼 수 있는 장소에 두는 사람들을 의미한다. 일부는 부주의해서 이런 행동을 한다. 그러나 비즈니스 압박과 프로세스가 이런 결과를 초래하는 경우도 있다. 올만은 “관리자 권한이 있는 계정을 몇 개 가지고 있는 팀 리더가 팀의 책상이 모여 있는 장소의 기둥에 비밀번호를 적은 메모를 붙여 놓았다. 리더가 바쁠 때 팀원들이 그녀를 대신해 거래를 기록 또는 정리하는 방법을 통해 능률적으로 월 실적 목표를 달성하기 위한 목적에서였다”고 설명했다.
SNS에 너무 자세하게 자신의 정보를 드러내는 사람들
마이크로 포커스(Micro Focus)의 솔루션 전략 담당 매니저인 르네 브래드쇼는 소셜 미디어를 경계하고 있다. 그는 “페이스북 친구들과 최근 출장 내용을 자세히 이야기하거나, 친구에게 인스턴트 메신저를 통해 로그인 크리덴셜을 주는 바람에 해커들이 개인 신원, 위치, 로그인 등 정보를 추적할 수 있게 될 수도 있다. 이는 좋지 않다”고 강조했다.
여기에 그치지 않는다. 또 다른 문제도 있다. 알로트 커뮤니케이션(Allot Communications)의 AVP인 야니브 술크스는 “뉴스나 업데이트 목적에서 소셜 미디어를 이용하다, 믿을 수 있는 친구나 동료가 아닌 다른 사람과 악성코드에 감염되었을 수 있는 파일이나 문서 사진을 공유하거나 클릭할 수 있다”고 지적했다.
USB 신봉자
믿기 어려울지 모르겠다. 그러나 웜뱃 시큐리티(Wombat Security)의 마케팅 부사장인 에이미 베이커는 이상하거나 라벨이 없는 USB 드라이브를 컴퓨터에 연결하는 직원들을 경계해야 한다고 밝혔다. 그녀는 “라벨이 없는 USB는 적절히 다루지 않을 경우 조직에 큰 위협을 초래할 수 있다. USB의 출처나 소유자를 모를 경우, 또는 내용을 모를 경우, 이를 컴퓨터에 연결해서는 안 된다. IT에 확인하고, 팀이나 부서에 이상한, 또는 라벨이 없는 USB를 알고 있는지 물어야 한다”고 말했다.
열정이 지나친 영업 담당자
필자의 고정관념일지 모르겠지만, 영업 담당자는 일반적으로 기술에 정통하지 못하다. 또 인센티브를 받는 직종이기 때문에 많은 문제가 초래될 수 있다. 키 인포메이션 시스템(Key Information Systems)의 CIO인 스콧 영스는 “영업 담당자는 항상 새로운 잠재 고객과 새로운 기회를 추구한다. 또 새로운 계약을 체결할 가능성이 조금만 있어도 ‘클릭’한다. 공격자들도 이를 잘 알고 있으며, 영업 담당자의 의욕을 악용하려 한다. 기술에 정통하지 못하면 공격자들의 행동을 이해하지 못한다. 이런 이유로 쉽게 표적이 된다”고 설명했다.
BYOD를 악용하는 사람들
기업은 BYOD를 수용해야 한다. 그러나 직원도 IT 보안을 준수하고, 회사 데이터가 든 기기를 보안 처리해야 한다는 데에 동의해야 한다. 아루바(Aruba)의 보안 및 소프트웨어 솔루션 담당 디렉터인 트렌트 피에로는 “자녀, 배우자 등과 기기를 함께 사용하는 BYOD 사용자, 이런 기기로 게임 앱, 또는 더 나쁜 앱을 다운로드 받는 사람들을 주의해야 한다”고 말했다.
안전하지 못한 아웃소싱 업체
마지막으로 최근 기업, 기관들은 현지의, 또는 멀리 떨어진 장소의 계약업체와 아웃소싱 계약을 체결하는 사례가 많다. 세클로어(Seclore)의 CEO 비샬 굽타는 “쌍방 모두에 도움이 되는 협력이 필요하다. 그러나 이 과정에 고객 데이터나 지적재산이 기업 방화벽 밖, 기업 데이터 보안 및 거버넌스 시스템 밖으로 나가는 경우가 많다. 이렇게 공유되는 요주의 파일들은 실수로(노트북을 분실하거나, 파일을 잘못 발송하는 등), 또는 의도적으로 위험에 노출되어 악용될 소지가 있다. 자체 조사 결과에 따르면, 써드파티 벤더가 요주의 데이터를 훔친 것으로 의심한다고 대답한 직원 비율이 25%에 달했다. 가장 신뢰하는 파트너가 가장 큰 피해를 줄 수도 있다”고 말했다. dl-ciokorea@foundryco.com
