보안

내부 직원의 정보 유출, 왜 막을 수 없나?

Taylor Armerding | CSO 2013.06.21

클라우드 패시지(Cloud Passage) CEO 칼슨 스위트는 "내부자 정보유출은 빈도를 떠나서 훨씬 파장이 크다"고 지적했다.

"내부자의 정보유출은 빈도수는 낮을지 모르나 그 여파는 심대하며 외부자 정보유출에 비해 장기적인 여파가 나타날 수도 있다. 특정 직원에게 권한을 집중적으로 부여하는 것은 그래서 단시간내에 참혹한 결과를 불러 일으킬 수도 있다"고 설명했다.

하지만 전문가들은 내부자의 정보유출이나 공격을 완전히 예방하는 것은 불가능하다고 말하고 있다.

보안 전문가이자 BT 보안기술담당자인 브루스 슈나이어는 "완벽한 것이란 세상에 없다. 왜냐하면 나쁜 일이 하나 발생했다고 해서 그것이 상황 자체가 잘못된 길로 빠져버렸다는 뜻은 아니기 때문"이라고 주장했다.

슈나이어는 정부로부터 비취인가를 취득했던 스노우덴과 같은 사람들이 세상에는 매우 많다고 강조했다.

실제로 데일리비스트지(The Daily Beast)의 로라 콜라루소는 기사에서 행정부와 의회에 회람된 한 보고서에서 2012년 10월을 기준으로 정부로부터 비취인가를 취득한 사람이 140만 명에 달한다며 이 가운데 48만 명이 정부와 계약을 맺고 일하는 직원임이 확인됐다.

슈나이어는 "비취인가를 받은 사람들이 이렇게 많다니 놀라운 일이다. 비취인가가 없었다면 적어도 한 달에 한번씩은 기밀이 유출됐을 것이다. 사실 대부분의 사람들은 비밀을 지키려 성실히 노력한다"고 말했다.

그럼에도 여전히 기술적인 노력을 통해 내부자의 정보유출을 줄여나갈 수 있다. 보안전문가인 맥그로우, 스위트, 슈나이어는 모든 조직에서 정보관리에 구획을 설정해 모든 직원들이 모든 정보에 접근할 수 없도록 정보관리체제를 정비해야 한다고 주장했다.

슈나이어는 "모든 직원에게 모든 사무실의 열쇠를 주어서는 안된다. 직원들에게 신뢰를 주는 부분에서도 분별이 필요하다"고 의견을 피력했다.

"은행 정문(방화벽)으로 들어와 모든 현찰, 문서 등이 은행 가운데 쌓여있는 상황을 가정해 보라. 기업자산은 서로 떨어져 존재해야 하며 이는 마치 은행 창구직원 뒤에 관리직원과 금고가 있는 것과 마찬가지"라고 스위트는 주장했다.

스위트는 "회계에는 복식부기라는 것이 있다. 차변과 대변을 별도의 장부에 관리하며 양자간의 균형을 맞춰야 한다. 은행에서는 모든 사람들에게 전권이 위임되지 않는다. 따라서 피해가 발생할 경우 영향을 최소화 할 수 있다"고 덧붙였다.

맥그로우는 사이버 인프라 구축의 중요성에 대해 강조해 왔으며 보안시스템 구축이 조직 내에서 '악의를 가진 직원이 문제를 발생 시켰을 때' 어떠한 위험상황이 발생할 지를 전제로 이뤄져야 한다고 말했다.

스위트는 "클라우드와 가상화 기술, 그 중에서도 역동적 자동화 통제 시스템이 내부 자원들에 대한 구획을 성공적으로 나눌 수 있다. 기업과 기관에서는 이러한 기술을 도입해야 한다. 그래야만 심지어 내부 직원에 의해 문제상황이 발생했을 때 이를 인식할 수 있다"고 전했다.

스노우덴 사건은 우리에게 다시금 철저한 개인 신원조회와 프로파일링 기법을 통해 정보보안이 지켜질 수 있다는 것을 확인시켜준다. 맥그로우는 개발자와 아키텍트들에 대한 보안강화는 정보보안에 도움이 되며 그 이유로 최악의 내부 직원은 자신이 원하는 대로 시스템을 만들어 낼 수 있는 능력을 가진 불법적 의도를 가진 개발자라는 점을 지적했다.

기술적인 부분과 훈련을 통해서도 악의는 없으나 피싱과 같은 기법에 걸려드는 직원들로부터 조직의 보안을 지켜낼 수 있다.

"브라우저와 메일 계정의 가상화를 통해 잘못된 링크를 클릭했을 때 그것이 합법적이지 않은 내용임을 알 수 있다. 하지만 그럼에도 시간이 지나면 피싱의 피해자가 될 것이라는 점도 잊지 말아야 한다"고 맥그로우는 밝혔다.

스위트는 믿을만한 외부회사에 의뢰하여 기업에서 자사에 대한 피싱공격이 이뤄져야 한다고 말했다. 그렇게 되면 해당 기업의 직원들의 보안의식이 상당히 높아진다는 게 그의 주장이다.

슈나이더는 OTP와 같은 보안기법이 직원들의 취약한 부분을 보완해 줄 것이라고도 말전다.

하지만 무작정 쉬운 것은 없다.

"모든 보안기법에는 단점이 있다. 모든 문제를 완벽하게 해결할 수는 없다. 언제나 예외는 있다"고 슈나이더는 덧붙였다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.