24x7 경계 없는 내부자 위협과 변화하는 환경에서의 위험 관리하기

새롭게 등장한 '경계 없는(perimeter-less)' 내부자 위험을 관리하려면 새로운 보안 방식이 필요하다. 즉, 장치나 네트워크를 논리적으로 보호해 데이터를 안전하게 지키고 사람들을 감시, 감사, 관리하는 일 뿐만 아니라, 내부자들이 하는 데이터와의 상호작용과 정보 개체 자체로 우선 순위를 옮겨야 하는 것이다.
 

실제 기업 환경에서 내부자 위험을 관리하는 것은 그 자체로도 어렵다. 그런데 원격 직장과 ‘경계 없는’ 직장으로 환경이 변화하면서 본래의 어려움이 악화된다. 내부자 위험 관리 프로그램의 4대 목적은 인식(Awareness), 이해(Understanding), 가시성(Visibility), 보호(Protection)이다. 경계 없는 직장에서는 전통적인 위험 관리 방식을 조정하고 맞춰나갈 필요가 있다.

인식이란 의미의 변화 

인식이란 내부자 인원을 명확히 파악하고 자산을 적절히 보호하기 위한 자원을 내부자들에게 제공하는 것을 의미한다. 또한, 투명성과 책임의 문화를 형성하고 일탈 행위의 파악과 완화를 촉진하는 작업 흐름을 개발하는 것이다.

전통적인 직장에서 ‘훈련(training)’의 초점은 사무실 환경에서 최선의 작업 방법과 동료들의 일탈 행동을 알아채는 방법, 일반적인 이메일 공격으로부터 보호하는 방법에 맞춰져 있다. 프린터에 서류를 방치하지 않기, 화면 잠그기, 안전한 구역 사수하기 등 직장 내 행동 수칙과 관리자를 대상으로 한 정보 보고 방법이 강조된다. ‘내부자 인원(Insider populations)’이란 기업 사무실에 ‘물리적’으로 접근할 수 있는 사람들로 정의되며, ‘작업 흐름(workflows)’은 직장 내 일탈 행위 파악에 초점이 맞춰져 있다.

이와는 반대로, 경계 없는 직장에서는 ‘훈련’의 초점이 원격 직장과 이로 인한 독특한 환경에 맞춰져야 한다. 여기서 강조해야 할 것은 기업 정보 접근과 관련된 적절한 행동 수칙(가짜 핫스팟, 스푸핑(spoofing), 공공 장소에서 어깨 너머 서핑 등을 주의)은 물론 사무실 외부에서의 적절한 정보처리(출력, 보관, 전송)이다. 파일 공유 사이트와 USB 사용, 이메일 보안 및 장치 관리(개인 및 기업)는 이 환경에서 특히 중요하다. 

보고 작업 흐름 역시 조정이 필요하며 더 많은 핫라인을 활용해 수상한 행동을 보안 팀에 보고해야 한다. 여기서 ‘내부자 인원’은 가상적인 접근의 관점에서 이해되어야 한다. 왜냐하면 실제 기업 시설에 들어올 일이 없는 직원이 많기 때문이다. 마지막으로, ‘작업 흐름’은 직장 외부에서 일탈 행동을 파악할 방법과 수단을 포함시켜야 한다.

이해의 확대 

이해란 회사에게 중요한 것에 집중하는 것이다. 이를 위해, 중요 자산을 파악, 정의하고, 그러한 자산을 세분화하고 미치는 영향을 기준으로 우선순위를 설정하며, 자산 작업 흐름의 지식을 촉진하는 공정과 절차를 개발하고, 이 지식을 위험 관리 프레임워크에 포함시켜야 한다. 

전통적인 직장에서는 ‘자산 보유자(asset holder)’인 기업(즉, 기업 장치, 네트워크, 실제 장소 등)에 초점이 맞춰진다. 작업 흐름의 지도가 작성된다면 사무실 간 협업에 맞춰 작성된다. 따라서, 위험은 전통적인 기업 환경의 테두리 내에서 이해된다. 중요 자산이 파악된 후에는 해당 자산에 누가 접근할 수 있으며 해당 자산은 어떻게 처리, 저장되고 이동되는지 이해해야 한다. 전통적인 직장에서 이런 작업은 상상한 것보다 훨씬 광범위하게 중요 자원에 접근하기 때문에 놀랄만한 연습인 경우가 많다.

이와는 반대로, 경계 없는 직장에서는 내부자가 ‘자산 보유자’인 경우가 많으며 중요 자산이 개인장치, USB, 파일 공유 사이트, 가정 사무실에 분산 저장되는 것이 더욱 확연하다. 원격으로 근무하는 직원들은 자산을 다루고 저장하는 방법이 매우 다양하다. 이제 위험 모델에는 기업 환경 외부에서 작업이 진행됨에 따른 위협과 취약성이 포함되어야 한다.

따라서, 가능한 ‘자산 보유자’의 범위는 넓어져서 사무실에서 이용 가능한 모든 것, 즉, 개인 컴퓨터, 태블릿, 전화기, 착탈식 매체 등을 포괄한다. IoT 장치의 사용이 계속 늘어나면서 이 과정은 더욱 복잡해진다. 게다가, 이동되는 중요 데이터를 감안하면, 원격 근로자는 조직 데이터 전송에 대체 수단 및 장치를 사용할 가능성이 훨씬 높다. 따라서, 사무실 간 작업 흐름은 전통적인 기업 환경 외부의 위협과 취약성을 파악하기 위한 기본적인 부분으로 기록해둬야 한다.

가시성 확보를 위한 도구 필요 

가시성이란 기업 자산(네트워크 및 오프 네트워크)을 위협하는 것으로 보이는 내부자 행동을 감시하는 것이다. 확인된 자산과의 내부자 상호작용을 감시하고, 자산 접근 및 이동 내역을 기록하고, 행동 및 상호 작용과 기록들을 분석해 위험을 파악하는 작업이다.

전통적인 직장에서는 가시성의 범위가 기업 소유의 장치와 네트워크, 그리고 기업 시설에서의 행동으로 한정된다. 이와는 반대로, 경계 없는 직장은 개인 장치, 그리고 기업 시설 외부에서의 행동(오픈소스 데이터 소스)에 대한 가시성도 포함시켜야 하며 기업 네트워크 외부로 데이터 자산이 이동, 전송, 저장되는 방식을 이해해야 한다.

직원들의 데이터 저장, 전송 및 작업 방식에 대한 가시성을 확보하려면, 조직들은 기업 네트워크 및 도메인 외부로 데이터와 자산이 흘러가는 것을 추적할 작업 흐름 및 관리 통제가 필요하다. 이러한 정책과 절차들을 통해, 전체적인 감시가 가능한 표준 절차가 의무화된 특정 장치나 전사적 이동성 관리 도구만 사용하도록 원격 직원들에게 제한을 가할 수 있다. 이러한 도구들을 활용하는 조직은 보안, 신원, 애플리케이션 및 컨텐츠 관리가 가능한 관리 프레임워크로 모바일 장치들을 모두 통합할 수 있다.

직원 행동에 대한 가시성을 확보하려면, 직원 경고 신호를 조기에 파악할 수 있는 대체 수단이 필요하다. 이를 통해 조직은 적정 수준의 개입과 도움, 지원 및 훈육으로 대응할 수 있다. 오픈소스 데이터는 개인들의 행동 스트레스 요인 및 행동에 대한 통찰력을 제공할 수 있으며 직원이 조직에 미칠 수 있는 잠재적인 위협을 고용주가 지속적으로 점검하는 데 도움을 줄 수 있다. 

오픈소스 데이터를 계속해서 평가하다 보면, 고객 현장이나 집에서 근무하는 직원들, 즉, 행동의 변화가 상대적으로 동료와 관리자에게 덜 눈에 띄는 직원들을 평가하는 데 도움이 된다. 이런 데이터를 적절히 사용하면, 기술적인 감시로는 관찰할 수 없는 행동을 알아볼 수 있으며, 가능한 위험을 조기에 경고하는 데에도 도움이 된다.

오픈소스 정보에는 금융정보(파산, 신용보고서, 유치권 등)가 포함된다. 이런 정보를 통해 이유가 불분명한 부와 재정적 어려움을 짐작할 수 있다. 사법 정보(체포, 기소, 보호 명령 등)를 통해서는 예측 불능, 변덕, 준법 능력 부재 등을 짐작할 수 있다. SNS 게시물에는 고용주, 동료, 공인, 가족, 옛 애인 등에 대해 비정상적으로 부정적인, 심지어는 폭력적인 정서가 반영되기도 한다.

보호, 디지털 자산 자체에 초점 

디지털 자산과 실제 자산(정보와 직원 포함)에 모두 보안 통제 장치를 적용해야 한다. 그래야만 자산의 접근, 사용, 전송, 보관, 위치 장소에 관계 없이 자산을 안전하게 보호할 수 있다.

전통적인 직장에서는 초점이 장치와 인간 종단점에 맞춰져 있다. 통제 장치는 사건 발생 시 (사후에) 알려주도록 설계되어 있으며 기업 경계(네트워크 및 실제 경계)에 한정되어 있다. 이와는 반대로, 경계 없는 직장에서는 데이터가 새로운 엔드포인트다. 새로운 경계인 디지털 자산 자체에 초점을 맞춰야 한다. 통제 장치는 접근을 (사전에) 관리하고 개체 수준의 엔드투엔드 암호화를 작동시킬 수 있도록 설계되어야 한다.

경계 없는 직장은 엔드포인트 방식과 전통적인 인증 방식을 넘어서는 데이터 중심의 지속적인 암호화가 필요하다. 경계 없는 직장에서 내부자 위험을 제대로 관리하려면, 보안 팀은 보다 세분화되고 지속적이며 동적인 방식으로 데이터에 집중하는 추가 보안 계층으로 보호 방식을 강화해야 한다. 소스 애플리케이션과 형식 또는 장치 OS와 관계 없이 어떤 디지털 자산도 암호화할 수 있어야 한다는 의미다. 새롭게 등장한 경계 없는 직장이 갖춰야 할 3가지 기본 ‘보호’ 요건은 다음과 같다.

- 지속성(Persistent): 암호화는 지속적으로 시행돼야 한다. 민감한 파일을 이메일로 전송하거나, 플래시 드라이브에 저장하거나, 클라우드 기반 애플리케이션에 보관하거나, 다른 장소로 이동시킬 경우, 보안 정책은 유효한 상태로 유지되어 데이터를 보호해야 한다.

- 하향식(Top-down) 정책 시행: 관리자들은 하향식으로 정책을 시행해야 한다. 즉, 전사적 정책을 기업 전반에 걸쳐 일관적이고 응집력 있게 특정 디지털 자산과 장치, 사용자 수준까지 적용할 수 있어야 한다.

- 데이터 분리 효율성을 극대화: 기업들은 가능한 한 최소 수준에서 보호와 통찰력을 제공할 수 있는 방식으로 암호화를 적용함으로써 최적의 보안과 데이터 관리 통제 준수 및 생산성을 확보해야 한다.

새롭게 등장한 경계 없는 직장은 새로운 내부 위험 관리 패러다임을 요구한다. 위험 인식, 이해, 가시성, 데이터 중심의 지속적인 자산 보호를 위한 모델을 조정하고 재정의함으로써 조직들은 전통적인 기업 환경의 안팎에서 내부자 위험을 자신 있게 관리하기 위한 프로그램을 효과적으로 개발할 수 있다. editor@itworld.co.kr