Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
IT 관리 / 보안

“당황하지 않도록” 내부자 위험 관리 정책의 중요성

Christopher Burgess | CSO 2022.01.19
규모에 상관없이 모든 기업은 내부자 위협을 해결하기 위한 내부자 위험 관리 정책을 갖춰야 한다. 부주의로 기업을 위험에 빠뜨리는 인적 요인은 언제나 존재하기 때문이다. 그러나 기업이 대비해야 할 인적 요인의 또 다른 측면은 비밀유지의무를 저버리고 데이터 처리 프로세스를 무시해 민감한 데이터를 탈취할 의향을 지니고 있는 악의적인 개인이다.
 
ⓒ Getty Images Bank

최근 발생한 3가지 사건을 통해 내부자 위험 관리 정책을 사전에 마련해야 하는 이유를 살펴보자. 


내부자 위험 관리 계획으로 피해를 예방한 유비쿼티

2021년 12월 유비쿼티(Ubiquiti)의 직원 니콜라스 샤프는 사내 기밀 정보를 탈취해 해커로 가장한 뒤 회사로부터 200만 달러(약 24억 원)를 갈취하려고 시도했다. 유비워티는 데이터 유출을 막지는 못했지만, 직원의 이상 행동을 발견한 즉시 위험 완화 계획을 실행했고, 내부자 공격 정황을 발견해 FBI에 수사를 의뢰했다. 


부적절한 다운로드를 빠르게 감지한 코드42

코드42(Code42)의 포트폴리오 정책 및 제품 마케팅 담당 부사장 마크 보이타시악에 따르면, 내부자 위험 관리 정책에서 핵심적인 요소는 ‘투명성(transparency)’, ‘교육(training)’, ‘기술(technology)’이라는 3가지 ‘T’를 아우른다. 보이타시악은 2021년 12월 시큐리티인포와치닷컴(Securityinfowatch.com)의 기고문 ‘당신의 직원과 데이터가 도망치고 있다’에서 “직원에게 기업 데이터에 대한 소유권 정책을 교육하고, 소유권 관리 측면에서 기대치를 설정하고, 의심스러운 상황에서 따를 수 있는 지침을 개발해야 한다”라고 말했다. 

이런 조언은 보이타시악의 개인적인 경험에 따른 조언이었다. 보이타시악은 코드42에서 최근 발생한 내부자 공격은 언급하며, 내부자 위험 관리 정책이 중요한 역할을 했다고 설명했다. 코드42는 퇴사할 직원이 생기면 SOP(standard operating procedure)에 따라 해당 직원의 최근 90일간 활동을 재검토한다. 한 직원의 활동을 검토하는 도중에, 해당 직원이 외부 기기에 중요한 내부 고객 목록을 다운로드했다는 것을 발견했다. 

보이타시악은 내부자 위험 관리 정책에 따라 인사팀과 법무팀, 인포섹팀, 사업부로 위험 완화팀을 꾸렸고, 각 팀에 역할을 부여했다. 코드42는 해당 직원의 행동이 악의적인 의도에서 비롯된 것이 아니라는 가정하에 조사를 시작했고, 직원이 고객 목록을 입사할 업체에 가져가려는 의도였다는 것을 알게 됐다. 

해당 직원은 위험 완화팀이 도난당한 데이터를 복구할 수 있도록 자신의 기기를 제공했다. 사건이 마무리된 후에 코드42의 CEO는 해당 직원이 입사할 예정이던 업체의 CEO에게 직접 어떤 일이 발생했는지, 코드42에서 어떻게 처리했는지를 공유했다. 


위협 모니터링으로 데이터 도난을 확인한 화이자

화이자는 2021년 10월 직원용 기기의 업로드 활동을 모니터링하는 기술을 구현해 내부자 위협 모니터링 역량을 강화했다. 당시 화이자는 한 직원이 업무용 노트북에서 온라인 구글 드라이브로 1만 2,000개 이상의 파일을 전송한 것을 발견했다. 

화이자 위험 완화팀은 1만 2,000개 이상의 파일이 다운로드된 것을 확인한 직후 모든 업무용 노트북에서 직원의 이메일과 파일 액세스 및 인터넷 활동 기록을 검토했다. 검토 결과 해당 직원이 항체 연구개발기업 젠코(Xencor)와 면접을 봤고, 입사 제의까지 받은 것을 확인했다. 

이런 정보를 토대로 인사팀과 보안팀, IT팀은 2차례에 걸쳐 해당 직원과 면담을 했는데, 직원은 “구글 드라이브 계정에 로그인하고 그곳에 저장된 모든 파일을 삭제했다”라고 설명했다. 이후 직원은 사이버 포렌직을 위해 개인 노트북을 화이자에 제공했다. 

직원의 개인 노트북을 조사한 결과, 직원이 제출한 노트북은 1만 2,000개의 문서를 다운로드한 노트북이 아니며, 코로나19에 대한 연구 결과를 비롯한 화이자의 데이터가 통제 밖에 있다는 사실을 알게 됐다. 화이자는 데이터를 절도 당한 것을 인정했다. 인터뷰 당시 해당 직원이 내부 문서가 안전하다고 생각하도록 속였다는 것을 인정했다. 화이자는 해당 직원 및 외부인이 여전히 화이자의 정보를 보유하고 있다고 보고 있다. 


내부자 위험 관리 정책의 중요성

내부자 위험 관리 정책을 마련하면 내부자 위협 사건이 발생할 때마다 낭비하는 시간을 줄일 수 있다. 또한 동료가 데이터를 잘못 처리했다는 것을 발견했을 때, 행동 절차를 따르는 것은 감정을 배제하는 데도 도움이 된다. 

위험 완화팀의 형태는 기업마다 다를 수 있지만, 일반적으로 법률/보안/IT/사업부로 구성한다. 위험 완화팀을 구성할 때 필요한 팀을 파악하는 것은 물론 중요하지만, 사건을 실제로 처리할 때 각 팀에 정의한 역할과 기대치를 조정하는 것도 중요하다. 

editor@itworld.co.kr
 Tags 내부자공격 내부자위험관리 내부자위협 화이자

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.