기고 | 가장 큰 보안 위협은 내부에 있다?

이미지 출처 : Thinkstock

최근 ‘유명세’를 탄 애슐리 매디슨(Ashley Madison)은 고객들의 ‘불륜’을 조장하며 꽤 성공적으로 운영됐던 웹사이트다. 이런 까닭에 이 사이트에서 내부의 위협으로 역대 가장 시끄러운 보안 사고 가운데 하나가 발생한 것을 두고 ‘정의가 실현’됐다면서 반길 사람도 있을 것이다.

최근 IT 보안 분석가인 존 맥아피는 애슐리 매디슨의 사고는 내부에서 비롯됐다고 결론 내렸다. 그는 “애슐리 매디슨은 해킹당하지 않았다. 모회사인 애비드 라이프 미디어(Avid Life Media) 소속 직원이 데이터를 훔친 것이 사고의 원인이었다”고 설명했다.

이 주장이 사실이라면, 애슐리 매디슨의 보안 침해 사고는 외부가 아닌 내부 위협에서 비롯된 사고다. 그런데 이는 크게 놀랄 일은 아니다. 올해 발표된 여러 IT보안 조사 보고서에 따르면, 내부에서 발생한 데이터 도난과 기업 보안 침해 사고 위협이 커지고 있는 추세다.

내부 위협이 금전적으로 더 큰 피해, 방어가 더 어려운 위협을 초래하는 경우도 있다. 비유하면, 외부의 도둑이나 강도는 피해자의 집으로 침입해 들어가야 한다. 그러나 그 집에 살고 있는 누군가 물건을 훔치려 한다면 그럴 필요가 없다. 정문 열쇠와 보석함 위치를 알고 있기 때문이다.

물론 내부 위협과 외부 위협에 동일하게 적용되곤 하는 동기 하나가 있다. 데이터를 ‘영리 추구’ 수단으로 삼는 것이다. 외부 위협의 경우, 해커들은 일반적으로 암시장에 내다 팔 수 있는 데이터를 훔치려 시도한다. 내부 위협의 경우, 과거 재직했던 또는 현재 재직 중인 직원이 경쟁사가 원할 전략 정보나 자신이 개발한 뭔가를 ‘현금화’하려 시도한다.

지난 1월 보스턴의 한 소송 사건을 예로 들 수 있다. 이는 프록터 앤 갬블 컴퍼니(Proctor & Gamble Company)는 질레트 컴퍼니(Gillette Company)에 근무했었던 직원 4명이, 비밀 정보와 영업 기밀을 경쟁 업체에 누출시켰다는 이유로 소송을 제기했던 사건이다.

7월에는 메리트 헬스 노스웨스트 미시시피(Merit Health Northwest Mississippi) 직원 한 명이 2년 동안 허가 없이 환자 정보를 빼돌렸다는 혐의로 고소를 당했다. 이 직원은 신원 도용 목적에서 환자의 이름, 주소, 생년월일, 사회보장(Social Security) 번호, 의료 보험 정보, 의료 기록 등을 훔친 것으로 알려지고 있다.

데이터 침해 사고를 조사하는 NCI(National Cybersecurity Institute)의 COO 제인 르클레어는 불만을 가진 직원이 초래할 위협에 대비하는 것이 가장 어렵다고 지적했다. NCI가 외부 데이터 침해 사고에 많은 시간을 투자한다고 생각할지 모르겠다. 그러나 NCI는 내부 위협을 가장 크게 걱정하고 있다.

르클레어는 “현재 내부 위협에 초점을 맞추지 않는 기업들이 많다. 그래서 이와 관련해 해야 할 일이 많다. 미국인들은 신뢰를 중요하게 생각한다. 이런 까닭에 중소 기업을 중심으로 직원을 잠재적인 위협 요소로 취급하기가 아주 어렵다”고 설명했다.

물론 대다수는 위협 요소가 아니다. 그러나 위협 요소가 충분하기 때문에, 기업은 내부와 외부 모두를 경계해야 한다.

르클레어는 “내부 위협에는 과거 회사에 근무했던 사람들도 포함된다. 이 점을 감안하면, 위협이 생각보다 크다는 사실을 알 수 있다”고 지적했다. 그녀는 “화가 나는 일이 있어서, 또는 해고를 당해서 회사를 그만 둔 사람들이 있다. 이들을 빨리 ‘정리’해야 한다. ‘복수’를 하고 싶어할 수 있기 때문이다”고 말했다.

아직 재직 중이지만 ‘마음이 떠난’ 직원들도 있을 수 있다.

르클레어는 “제대로 대우를 받지 못하고 있다고 생각하는 직원들이 있다. 기타 여러 가지 이유로 불만을 갖고 있을 수도 있다. 회사가 열심히 일한 자신을 제대로 대우하지 않고, 보상하지 않는다고 생각하는 직원들이다. 이는 아주 자주 고려해야 할 또 다른 수준의 불만들이다. 개인적으로 내부 위협의 더 큰 원인 중 하나라고 생각한다”고 말했다.

또 가장 위험한 위협 중 하나로 입증된 새로운 형태의 내부 위협이 있다. 정치적인 동기가 있는 위협이다.

과거 CISO로 일한 경력을 갖고 있는 IT 정보 보안 컨설턴트 캔디 알렉산더는 “나는 항상 사람의 시각(관점)을 관찰한다. IT나 보안 담당자는 사회의 최신 뉴스와 트렌드에 관심을 기울여야 한다. ‘IT세계’에도 그러한 것들이 반영되기 때문이다. 현대 사회와 문화에는 많은 것들에 반대가 많다. 이런 것들이 사건사고로 발전한다”고 말했다.

상이한 ‘도덕적 잣대’
‘사회 의식’이 애슐리 매디슨 사고의 동기일까? 아직 단정지어 말하기는 이르다. 그러나 일부 IT 보안 전문가들은 CIO닷컴과의 인터뷰에서 가능성이 있다고 말했다.

지난 7월 애슐리 매디슨 사고가 알려진 이후, 많은 IT 보안 전문가와 포렌직 전문가들이 수 많은 가입자와 방문자의 이메일 주소를 공개시킨 공격의 근원을 놓고 토론을 시작했다. 그리고 많은 사람들이 그 즉시 내부 위협을 지목했다. 애슐리 매디슨의 기술을 아주 자세히 알고 있음이 드러났기 때문이다.

맥아피는 “해커는 타인의 데이터에 불법으로 접근하기 위해 최첨단 사이버 도구와 소셜 엔지니어링을 이용한다. 그러나 애슐리 매디슨 사고의 주범은 이미 ‘열쇠’를 갖고 있는 사람이다. 내부 소행이라는 의미다”고 강조했다.

맥아피는 해커가 공개했던 정보 일부가 증거라고 주장했다.

• 애슐리 매디슨 사무실 배치도.
• 모든 부서의 최신 조직도.
• 스톡옵션 계약서(서명 포함).
• 회사 소유 서버 현황과 IP 주소(전세계적으로 수백 개).
• 애슐리 매디슨을 위해 개발된 프로그램의 원본 소스 코드.

이는 기업 시스템에 완벽하게 접근할 수 있는 권한을 가졌음을 보여준다.

실수(사고)로 인한 유출
저명한 IT 보안 전문가들 중 상당수는 내부 데이터 위협에서 가장 큰 원인은 실수로 인한 유출이라고 지적한다. 직원들이 실수로 취약한 상황을 초래하거나, 데이터에 접근할 수 있도록 만들어버리는 것이다. 여기에 해당되는 보안 위협 사고가 많다.

프린서펄 파이낸셜 그룹(Principal Financial Group)의 CISO 맥 앤더슨은 “어느 회사에서나 이런 상황이 발생할 수 있다. 사고나 실수가 흔하기 때문이다. 개인적으로 ‘고의적인 유출’보다는 ‘실수로 인한 유출’이 더 많다고 판단한다”고 말했다.

앤더슨은 “인식이 부족한 것이 원인이다. 노트북 컴퓨터 분실, 잘못된 이메일 발송, 종이 보고서 전달 등을 예로 들 수 있다. 상대적으로 작은 사고들이다. 그러나 다양한 최신 장치에 데이터가 저장돼 있다는 점을 유념해야 한다. 즉 아이폰과 태블릿이 해킹 당하는 상황이 추가됐다. 이는 금전적 손실, 고객 유출, 기업 평판 저하 등을 초래할 수 있는 위험이다”고 강조했다.

앤더슨은 조직이 하는 일과 수집하는 데이터 종류에 따라 내부 위협이 크게 달라진다고 덧붙였다.

앤더슨은 “조직에 따라 많은 상황이 펼쳐진다. 금전적 이득을 과소평가 할 수 없다. 회사 데이터와 지적재산으로 이익을 챙기려는 내부인이 있을 것이다. 내부인이 접근 권한을 타인에게 넘길 수도 있다”고 말했다.

이어서 그는 “세 번째로, 자신이 재직하는 동안 한 일은 자신의 소유라고 생각하는 직원들이 많다. 이와 관련해 자주 문제가 발생하는 것이 소스 코드이다. 프로그래머들이 소스 코드를 자신의 것으로 생각하기 때문이다. 이들이 계약직 직원일 수도 있다. 이들은 여러 회사에서 코드를 다시 이용한다. 이러다 보니, 코드를 자신의 소유로 생각하기도 한다”고 지적했다.

그러나 앤더슨 역시 불만을 가진 직원이 가장 큰 위협 요소라는 점에 동의했다.

그는 “계획된 피해의 파장이 크다. 장시간 알아채지 못한 상태에서 악화될 가능성이 크기 때문이다”고 말했다.

‘데이터 도둑’ 포착
그렇다면 ‘데이터 도둑’이 될 소지가 있는 사람을 포착하는 방법은 뭘까?

메사추세츠에 있는 웰슬리 칼리지(Wellesley College)의 CIO 가네산 라비 라비샨커는 행동 관찰이 출발점이라고 강조했다.

라빈샨커는 “우리는 통상적인 베스트 프랙티스를 충실하게 지킨다. 대다수는 연례 감사에 의지한다. 우리는 베스트 프랙티스에 해당하는 통제책을 만들고, 이를 최대한 적용한다. 또 비즈니스 부서와 협력해 통제책과 보고서를 개발한다. 각 사용자, 각 사용자가 접근할 수 있는 데이터를 지정한 종합적인 보고서이다. 역할이 바뀌기 때문에 매번 조정이 된다. 우리는 가능한 접근권한을 제한한다”고 설명했다.

기술은 해결책의 일부에 불과하다. 라비샨커는 사용자의 행동(행위) 변화를 감시하는 것도 중요하다고 강조했다.

르클레어도 여기에 동의하면서 “직원들의 행동 변화를 제대로 조사하는 것이 중요하다. 예를 들어, 업무 성과가 떨어질 수 있다. 데이터 때문에 업무 성과가 높아질 가능성도 있다. 또는 다른 직원들을 대하는 태도와 행동도 대상이다”고 말했다.

마지막으로 기업들이 초점을 맞춰야 하는 최고의 보안 대책은 ‘직원 처우’다.

앤더슨은 “일하기 좋은 최고의 직장’ 리스트가 있는 이유가 있다. 자신과 자신의 업무를 인정받고 있다고 생각하는 ‘몰입한’ 직원들이 업무와 관련해 범죄를 자행할 가능성은 아주 낮다”고 말했다.

*David Weldon는 자유기고가다. dl-ciokorea@foundryco.com