에드워드 스노든 사태는 내부자 위협이 그 어느 때보다 위험한 존재가 되었음을 모두에게 알리는 역할을 했다. 이제는 단 한 명의 한 마디 발언이 기업 전체를 무너뜨릴 수도 있는 시대다.
어떤 기업에서도 일어날 수 있는 이와 같은 사고를 막기 위해선 기술적 조치뿐 아니라 비정상적인 행동 신호를 감지하는 역할을 수행하는, 인적 대응 프로그램 역시 반드시 요구된다.
그렇다면, 조직 내 불신 문화를 쌓지 않으면서도 악의를 지닌 내부자를 전략적으로 파악해낼 방법을 어떻게 공유할 수 있을까?
과거 필자가 NSA에 몸 담았을 때, 동료 한 명이 두 건의 문서를 가지고 온 적이 있다. 모두 유사한 직원 유형을 묘사하는 내용을 담고 있었다. 그 특성이란 다음과 같다:
1) 동료들의 작업에 관심이 많다
2) 추가적 업무를 자발적으로 맡는다
3) 늦게까지 업무를 처리하는 날이 많다
4) 휴가를 가지 않는다
첫 번째 문서는 인사 부서에서 발간한 ‘승진 전략서’였고, 다른 하나는 보안 사업부가 발간한 ‘스파이 의심 직원 감지법’이었다.
결론적으로 NSA는 스노든의 유형을 분류하는데 실패했다. 그의 이전 직장인 CIA의 경우 그를 스파이 의심자로 정확히 분류해낸 것과는 비교되는 결과다. 스노든은 그 어느 곳보다 보안이 중요하게 여겨지는 정보 기관에서조차 악의를 지닌 내부자를 포착하는 활동은 명확한 기준 없이 이뤄지고 있음을 여실히 보여줬다.
그렇다면 NSA와 같은 정보 기관도 아닌 기업에서는 어떻게 위협 인물을 (마녀 사냥의 위험 없이) 감지해낼 수 있을까?
시간 여유는 없는 상황이다. 악의적 내부자는, 모든 유형의 기업에게 피해를 입히고 있다. 모든 직급의 인물을 통해 일어날 수 있는 문제다.
일부 매우 영리한 악의적 내부자들은 자신의 행동을 거의 완벽히 감춰버리기도 하지만, 대부분의 악의적 내부자들은, 그 어떠한 징후와 흔적을 남긴다. 그리고 이러한 징후와 흔적을 가장 잘 탐지할 수 있는 것은, 적절한 감지 프로그램을 익힌 동료 직원들이다.
의심과 인식 사이의 균형을 맞추는 것은 쉽지 않은 일임에 분명하다. 그러나, 이는 기업의 질서 유지를 위해 반드시 필요한 과정임을 기억해야 한다. 감지 프로그램을 효율적으로 운영하기 위한 방법으로 전문가들은 일반적으로 다음의 3가지 사항을 조언한다:
1) 정확한 문제 이해, 2) 취해야 할 대응 방법에 대한 이해, 3) 적절한 대응을 위한 동기 부여.
일반적으로 문제를 정확히 이해한다면, 그것 자체가 대응에 대한 동기가 될 수 있다. 그러나 프로그램이 충분한 효율성을 확보하기 위해서는 이 두 과정 모두를 보다 세밀하게 다룰 필요가 있다. 실재하는 문제에 대해 충분히 인식하지만, 자신이 나서 그것을 해결하고자 하는 의지는 없는 직원도 있을 수 있기 때문이다.
다행스러운 점이라 할 수 있는 사실은 근래 곳곳에서 내부자 위협 관련 사고가 많이 발생했고, 이 사고들이 교훈이 될 수 있다는 것이다. 스노든, 브래들리 매닝(Bradley Manning) 등 최근 이목을 끈 사례들은 단 ‘한 명’의 악의적 내부자가 얼마나 큰 타격을 줄 수 있는지를 여실히 보여줬다.
이들의 사례를 교훈 삼아 자신의 기업, 자신의 산업에 적합한 적절한 대응 체계를 구축할 필요가 있다. 일부 기업들은 자신들에게서 발생한 사고를 공론화하길 원치 않는 모습을 보여주기도 한다. 그러나 이들의 사례 역시 익명으로 회자되기는 마찬가지다.
최근의 크고 작은(때론 익명의) 내부자 위협 사고들이 전하는 메시지는 분명하다. 악의적 내부자는 현대 비즈니스의 심각한 위협이다. 발생하는 이상 신호를 무시하지 말고, 적절한 대비 전략을 세워 위험을 예방해야 한다.
사고 사례들이 전하는 교훈은 “어떤 이상을 발견한다면, 그에 관한 어떤 이야기를 공유하라”라는 명제로 정리할 수도 있을 것이다. 내부자 위협 감지 프로그램의 핵심은 규정이나 정책 위반 사례를 정확히 포착해내는 것이다. 내부자 위협 사고를 막을 수 있는 것은 사람, 바로 자신들임을 직원들에게 분명히 인식 시키는 것 역시 중요한 과정이다.
하지만 기업이 직원들의 상호 고발의 장이 되어서는 안될 것이다. 직원들에게 보고해야 할 규정 및 절차 위반 사례를 구체적으로 제시해 이런 문제를 예방하도록 하라. 구체적인 사례로는 동료의 책상을 뒤지는 직원, 동료에게 패스워드를 물어보는 직원, 자신의 업무와 관련 없는 영역을 서성이는 직원, 다른 이의 컴퓨터 계정에 접근을 시도하는 직원 등을 생각해볼 수 있다. 재무 분야에서의 위반 사례 역시 주의를 기울여야 할 부분이다.
직원들이 느낀 불편한 감정을 자유롭게 이야기할 수 있도록 하는 것 역시 프로그램의 효과 향상에 도움을 준다. 많은 경우에 있어 이런 모호하지만, 분명 어딘가 불편한 ‘느낌’은 악의적 내부자를 감지하는 좋은 신호가 되곤 한다.
이러한 사례 가운데 하나로, 모 기업에서는 한 직원이 근무 시간에 중국어로 통화를 하곤 했다. 하지만 이 기업은 중국과 어떤 업무 관계도 맺고 있지 않았다. 이를 수상히 여긴 직원 한 명이 사실을 보고했고, FBI가 참여한 조사 결과 그 동료가 중국 정보 당국에 기밀을 누설해 왔음을 확인할 수 있었다.
누구나 종종 의도치 않게 규정과 절차를 위반할 수 있고, 그 정도가 심각할 경우 예민한 동료에 의해 발견될 수 있다. 그렇다고 문제를 일으킨 당사자가 무조건 ‘위협적인 내부자’로 비판 받아선 안될 것이다. 이 모든 과정의 핵심은 직원들에게 불이익을 주는 것이 아닌, ‘사고’를 막는데 있음을 기억하자. 이 명제는 다양한 측면에서 중요성을 지닌다.
개별 직원들이 취해야 할 행동은, 그저 의문 가는 문제를 자신의 상사나 HR 부서, 보안 팀 등에 보고하는 것이다. 그리고 기업은 보고를 전한 직원의 익명을 보장해주는 확실한 구조를 마련해야 한다. 동료 직원을 보고하는 것은 종종 관련자들 간의 관계 등에 부정적인 영향을 미칠 수 있기 때문이다.
익명성은 때론 범죄 증거 수집에 어려움을 줄 수도 있지만, 그럼에도 원칙의 파기는 있어선 안 된다. 내부자 위협 감지 프로그램의 목표는 사고를 사전에 감지해 손실을 막는 것임을 다시 한 번 상기하자.
다행스럽게도 오늘날엔 많은 기업들이 사고 보고 시스템을 개발해 운영하고 있다. 아직 이를 시행치 않고 있는 기업들은, 법률, HR 부서 간 협력을 통해 지금이라도 프로그램을 개발해보자.
참고로 다른 직원의 각종 위반 사항에 대해 조직에 알리는 것에 직원들이 거부감을 가지지 않도록 하기 위해서는, (적어도 배포될 자료를 승인하는데 있어서라도) 인적 자원 부서와 법률 부서의 참여가 필수적으로 요구된다. 이 두 부서는 프로그램의 다른 측면들에 있어서도 가장 효과적인 방향성을 제시해주는 역할을 할 수 있다.
스노든 사태는 내부에 제2의 스노든이 존재할 수 있음을 기업들에게 인지시키고, 그에 대응키 위한 기술적 통제 구조를 확립하게 하는 계기가 됐다. 하지만 여기에서 한 걸음 더 나아가야 할 필요가 있다. 직원들 스스로 동료 중에 스노든이 존재할 수 있음을 분명히 인지하고, 거기에 선행적으로 대응토록 하는, 비-기술적 보안에도 주의를 기울여야 한다.
이 과정의 핵심은 이상 행동을 감지하는 것이다. 스노든의 동료들은 기술 사각지대에서 그의 이상 행동을 포착해 그에 적합한 행동을 취할 수 있었다. 기술적 통제망은 그 통제망을 이해하는 이에겐 별다른 효과를 발휘하지 못한다. 하지만 사람은 다르다. 인간의 유연함과 직감은 그 어떤 기술 도구보다 신속하게, 그리고 효율적으로 내부의 위협을 감지해낼 수 있다.
내부자 위협은 분명 다루기 민감한 주제지만, 동시에 더 이상 외면할 수 없는 중요한 논의 주제이기도 하다. 그것을 외면했을 때 발생할 수 있는 타격을 역사는 이미 보여줬다. dl-ciokorea@foundryco.com
