국제적 규모의 첨단 제조사 한 곳에서는 최근 여러 영업직원이 갑작스럽게 퇴사했다. 이 제조사는 퇴사 직원들이 기업의 판매 데이터 등을 신규 취직한 곳으로 유출시켰다는 정황을 포착했다. 다시 일어나서는 안 될 상황이었다.
이 기업은 이런 사태를 사전에 차단할 필요성을 절감했다. 그래서 클라우드 기반 CRM 시스템에서 작업하는 모든 영업직원들의 행동 패턴을 파악한 후 데이터를 가지고 이직한 것으로 추정되는 퇴사직원들의 행동 패턴과 비교해 보았다. 보안 분석가들의 도움 아래 그들은 놀라운 상관관계를 발견할 수 있었다.
간단히 설명하면 이렇다. 일반적으로 재정 분기의 9주차와 12주차 사이에 비정상적인 시스템 활동을 보인 판매 직원들이 13주차 말에 퇴사했다. 대부분의 경우에 자신의 판매 할당량을 채우지 못할 것임을 알고 있었기 때문이었다. 현재 해당 제조사와 협력하고 있는 클라우드 보안 자동화 기업 팔레라(Palerra)의 로힛 굽타의 분석이다.
그에 따르면 ▲(잠재)고객 정보 대량 누출, ▲일반적으로 방문하지 않는 시스템 위치에의 진입, ▲객체 정보 변경, ▲항목 삭제, ▲토요일 오후에 집 또는 사무실에서 상기 행동 시도 등이 특히 관련성 높은 행동이었다.
그는 이런 조기의 경고 조짐을 통해 대용량 다운로드를 차단하거나 계정을 수 시간 동안 차단하는 등의 관리 조치를 취할 수 있게 됐다고 전했다.
굽타에 따르면 오늘날 클라우드 보안 자동화 툴 덕분에 이런 경고 조짐을 더욱 쉽게 찾아낼 수 있다. 그는 “예측 분석이 중요하며 단순한 예방 또는 감지가 아니라 앞서 나가는 것이다”라고 말했다.
팔레라가 제공하는 클라우드 보안 자동화 툴로는 LORIC이 있다. 이는 보안 구성 관리, 위협 감지, 자동화된 사건 대응 외에 클라우드를 위한 예측 분석 기능을 지원하며, 실시간성을 갖췄다.
경기가 호전되는 구직자들이 더 많은 기회를 얻게 되고 이직률도 높아지게 되었다. 2015년 5월 미 노동통계국(US Bureau of Labor Statistics)은 470만 건의 종업원 퇴사 중 270만 건이 종업원에 의한 자진 퇴사였다고 보고했다.
문제는 직원들은 세일즈포스 등의 CRM 시스템의 클라우드, 마이크로소프트 오피스 365 등의 협업 툴, 박스(Box)와 드롭스(Dropbox) 등의 스토리지 사이트에 저장되어 있는 소중한 기업 데이터를 갖고 떠나고 있다는 점이다.
클라우드 보안 자동화 기업 하이트러스트(HyTrust)의 사장 에릭 추는 “데이터에 접근하고 다운로드하며 전송하기가 너무 쉬워졌다. 기업이 그런 일이 일어나는지조차 모르고 있다”라고 진단했다. 그는 이어 모든 데이터를 추적하거나 보호하기가 어렵다고 덧붙였다.
실제로 2013년 퇴사한 전체 종업원의 절반이 기업 데이터를 갖고 떠났으며 40%는 새로운 직장에서 그 데이터를 이용할 계획이었던 것으로 시만텍과 포네몬의 연구 결과 나타났다.
지난 1월에는 모건 스탠리(Morgan Stanley)가 재무 고문 중 한 명을 약 35만 명의 고객 계정 데이터를 훔친 혐의로 고발한 후 해고하는 사건도 있었다.
그러나 현재 예측 기능을 제공하는 클라우드 보안 자동화 벤더는 소수에 불과하다. 또 이들이 제공하는 예측 분석 기능 또한 아직은 초기 단계에 머무르고 있는 실정이다.
ESG(Enterprise Strategy Group)의 수석 분석가 존 올트식은 “잠재력은 있지만 실질적인 적용은 여전히 미숙하다. 알고 있는 공격을 찾기 위해 무언인가를 조정할 수는 있지만 모르고 있는 것에 맞추어 조정하는 것은 쉽지 않다. 저장소의 접근 패턴, 다운로드 한 사람의 수, 문서의 로컬 상태 저장 여부 등을 확인할 수 있지만 항상 창의적인 우회기법이 있게 마련이다. 정말로 작정하고 정교한 적은 감시하고 있지 않은 부분을 빠르게 찾아낼 것이다. 그것이 문제다”라고 말했다.
그는 이를테면 데이터 유출자들이 정기적으로 데이터를 저장소로 옮기면서 “서서히” 진행할 것이라고 덧붙였다.
하지만 보안 자동화 벤더들은 자사의 플랫폼에 예측 분석 기능을 지속적으로 고도화하고 있다. 지난 7월 스플렁크(Splunk)는 보안 기업 카스피다를 인수하여 기계 학습 기반의 사용자 행동 분석을 추가하고 분석 지원 SIEM을 확장하여 더욱 발전된 내부자 위협 감지 기능을 확보하려는 시도였다.
그렇다면 퇴사 직원으로 데이터를 보호해야 하는 기업들은 어떤 선택지를 가지고 있을까? 전문가들에 따르면 전문 솔루션이나 서비스를 구매하는 방법과 함께 몇몇 방안이 있다.
인적 자원 활용
IT 보안 관리자들은 인사부와 소통함으로써 직원의 퇴사로 이어질 수 있는 상황 또는 기타 인사 문제에 관해 파악할 필요가 있다.
보안 및 위험 전문가들을 위한 포레스터 리서치(Forrester Research)의 부사장 겸 수석 분석가 안드라스 시저는 “HR 데이터 소스 등 기업 환경 내에서 제공되는 모든 데이터를 파악해야 한다. 직원의 퇴사일이 결정되어 있거나 다른 이유로 인해 해고되는 경우 그 사람의 시스템 활동에 더욱 주의해야 한다”라고 말했다.
외부 저장소 감시
많은 기업들이 승인되지 않은 내부 시스템 사용을 자동으로 차단하거나 사용자가 데이터를 다운로드 하지 못하도록 하고 있기는 하다. 그러나 직접적인 제어를 벗어난 클라우드 스토리지에 대한 대비가 있을까?
시저는 “드롭박스, 박스, 세일즈포스 등에 대해서는 클라우드 서비스 API와 연계되어 있는 클라우드록(CloudLock), 베터클라우드(BetterCloud) 등의 솔루션을 이용할 수 있다. 이러한 솔루션으로 평상시의 300배에 달하는 데이터 다운로드 량을 감지한다면 경보를 보낼 수 있을 것이다”라고 말했다.
암호화
추는 암호화를 권고했다. “[민감한] 데이터를 암호화하여 유출되었을 때 사용할 수 없도록 한다. 내부의 제어, 모니터링, 데이터 보안으로 문제를 방지할 수 있다”라고 말했다.
자동화 솔루션 활용
굽타는 적절한 모니터링과 관리를 실시해야 한다고 말했다. 그는 “여러 클라우드 서비스를 모니터링할 필요고 있으며 이 때문에 클라우드 보안 자동화가 필요한 것이다. 자동화된 방식으로 항상 동작하는 모니터링 프레임워크가 있다면 기업은 든든한 지원군을 보유하게 되는 셈이다”라고 말했다.
dl-ciokorea@foundryco.com
