2014
9월

사이버 보안, 내부로부터의 위험
세이디 크리스 (Sadie Creese),데이비드 M. 업턴 (David M. Upton)

ILLUSTRATION: DALE EDWIN MURRAY

 

사이버 보안, 내부로부터의 위험

 

사이버 보안의 최대 위협은 내부 직원 또는 공급업체일 수도 있다.

 

2013년 미국의 대형 유통업체 타깃(Target)에 가해진 사이버 공격은 이미 잘 알려져 있는 사건이다. 범인들은 이 공격으로 약 4000만 명의 지불 카드 번호와 약 7000만 명의 고객 개인 정보를 훔쳤다. 이 일로 회사의 명성에는 금이 가고 수익은 곤두박질쳤으며, 최고경영자(CEO)와 최고정보책임자(CIO)가 옷을 벗었다.

 

그런데 잘 알려지지 않은 중요한 사실이 있다. 범인은 외부인들이었지만 타깃의 냉장설비 공급업체 직원의 내부자 권한을 이용해 회사 시스템에 침입했다는 점이다.

 

타깃이 겪은 불행은 날이 갈수록 확산되고 있는 현상을 보여주는 최근 사례에 불과하다. 지적 재산을 노리며 확산되는 중국발 해킹, 스턱스넷(Stuxnet) 바이러스[1], 동유럽 범죄조직의 해킹 등 외부에서 비롯되는 사이버 보안 공격이 많은 주목을 받고 있다. 하지만 연관 기업이나 내부 직원이 연루된 공격은 더욱 치명적인 위협 요소다. 내부자는 시스템에 더욱 쉽게 접근할 수 있고 목표를 실행할 기회도 더 많기 때문에 외부 해커보다 훨씬 심각한 피해를 초래할 수 있다. 영업 중단, 지적재산의 손실, 평판 훼손, 투자자와 고객의 신뢰 하락, 언론 등 제3자로 민감한 정보가 유출되는 것 등이 이런 피해 영역에 포함된다. 미국에서는 해마다 최소 8000만 건의 내부자 공격이 발생하는 것으로 추정된다. 보고되지 않은 다수의 사례들까지 고려하면 실제 숫자는 이보다 훨씬 높을 수 있다. 현재 이러한 내부자 공격으로 인한 손실은 매년 수백억 달러 규모에 이른다.

 

많은 조직들은 아직 내부자가 연루된 공격을 탐지하거나 방지할 만한 안전장치를 충분히 갖추지 못했다고 시인한다. 아직도 위협의 심각성을 받아들이지 못하고 있기 때문이다.

 

 

Idea in Brief

위협 요인

내부자(직원, 공급업체, 또는 회사의 컴퓨터 시스템에 합법적으로 연결되는 다른 회사들)가 개입된 사이버 공격은 치명적이며 계속 늘어나는 추세다. 이는 전체 사이버 공격의 20% 이상을 차지한다. 널리 사용되는 기존의 안전장치는 이를 막는 데 효과가 없다.

 

핵심 사안

내부자 공격에 대한 취약성을 줄이려면 기업들은 품질과 안전처럼 사이버 보안도 업무의 우선순위로 만들어야 한다. 즉 모든 직원이 보안도 업무의 일부라고 생각하게 하라.

 

해결책

의심스러운 활동이 감지되면 신고할 수 있도록 직원들을 엄격하게 모니터링하고 그들에게 어떤 위협들이 가해질 수 있는지 알려줘야 한다. 공급업체와 총판들에게 위험을 최소화하도록 요구하고 정기적으로 감사를 실시해야 한다. 리더들은 회사의 주요 자산을 보호하기 위해 IT부서와 긴밀하게 협력해야 한다.

 

 

 

[1]발전소, 공항, 철도 등 기간시설을 파괴할 목적으로 제작된 컴퓨터 바이러스 - 역주

 

우리는 지난 2년간 국제 연구 프로젝트를 수행해왔다. 조직들이 내부자에서 비롯되는 위협을 발견하고 제거하는 능력을 크게 향상시키는 게 이 프로젝트의 목적이었다. 영국의 MI5 보안국(SS) 산하 국가기반시설보호센터(CPNI•Center for the Protection of National Infrastructure)의 후원을 받은 우리 팀은 옥스퍼드대, 레스터대, 카디프대의 컴퓨터 보안 전문가, 기업지배구조를 연구하는 경영대학원 교수, 경영학 교수, 정보시각화 전문가, 심리학자, 범죄학자 등 16명으로 구성됐다.

 

이처럼 다양한 학문 분야에 걸친 접근 방식을 통해 우리는 종래의 관점과 방식에 문제를 제기하는 결과물들을 얻었다. (‘효과가 없는 일반적인 방식들참조.) 현재 많은 기업들은 직원들이 회사 컴퓨터로 페이스북, 데이팅 사이트, 정치 사이트 등 업무와 직접적 관련이 없는 웹사이트에 접속하지 못하도록 막으려 한다. 하지만 우리는 기업이 직원들에게 인터넷을 마음껏 돌아다닐 자유를 부여하되, 쉽게 구입할 수 있는 보안 소프트웨어로 그들의 활동을 모니터링해야 한다고 생각한다. 이렇게 하면 직원들의 행동과 성격에 대한 중요한 정보를 획득하고 위험을 미리 탐지하는 데 활용할 수 있다. 이 글에서는 내부자 공격 가능성을 최소화하는 효과적 방법에 대해 우리의 연구 결과들을 공유하고자 한다.

 

“대비가 부실한 회사 시스템에 침투하는 최상의 방법은 회사 로고가 찍힌 감염된 USB들을 주차장 주변에 뿌리는 것입니다.”

 

 

효과가 없는 일반적인 보안 방식들

일반적인 사이버 보안 안전장치들은 외부자 공격에 비해 내부자 공격에 훨씬 취약하다.

 

접근 통제

개인적인 일에 회사 장비를 사용하지 못하게 하는 규칙으로는 사람들이 회사 자산을 훔치는 행위를 막지 못한다.

 

취약성 관리

보안 패치와 바이러스 검색 프로그램으로는 악의를 지닌 내부 직원이나 내부자 권한을 훔쳐 사용하는 제3자가 시스템에 접근하는 것을 막거나 탐지하지 못한다.

 

강력한 경계 보호(boundary protection)

주요 자산을 철통 같은 영역 안에 둔다고 해도 그 시스템 접근 권한을 가진 사람들의 탈취를 막지는 못한다.

 

패스워드 정책

복잡한 패스워드를 쓰거나 패스워드를 자주 바꾸도록 의무화하면 직원들이 포스트잇에 써서 붙여두는 경우가 많다. 건물 안에 들어올 수 있는 사람이라면 쉽게 떼어갈 수 있다.

 

인식 향상 프로그램

매년 직원들에게 회사의 IT 보안 방침을 읽어보라고 요구하는 것만으로는 사이버 보안에 대한 인식이 획기적으로 향상되지 않는다. 잘못된 행동을 하는 것을 막지도 못한다.

 

 

 

잘 인식되지 않는 위험성

내부자 위협은 승인받지 않은 악의적 목적을 달성하기 위해 한 조직의 사이버 자산에 합법적으로 접근할 수 있는 권한을 악용하거나, 자신도 모르게 시스템에 취약점을 만들어내는 사람들로부터 생겨난다. 이들은 내부 직원(청소부에서 최고위급 임원까지), 계약업체, 혹은 데이터와 컴퓨팅 서비스를 제공하는 제3자 공급업체일 수도 있다. 미국 국가안보국(NSA)에서 민감한 정보를 훔친 사건으로 유명한 에드워드 스노든(Edward Snowden) NSA의 계약업체 직원이었다. 이런 합법적 접근 권한을 사용하면 통상적인 경계 기반 보안 솔루션(perimeter-based security solution), 즉 이미 시스템 내부에서 활동하는 사용자나 프로그램보다 전산망 접근 시점에 초점을 두고 통제하는 솔루션에 탐지되지 않은 채 컴퓨터 시스템과 데이터를 훔치거나 파괴하거나 오류를 일으킬 수 있다.

 

컴퓨터 보안업체 보메트릭(Vormetric)에 따르면 대형 또는 중형 조직에서 일하는 관리자 가운데 54%는 현재 내부 공격자를 탐지하고 예방하는 일이 2011년보다 더 어려워졌다고 말한다. 더욱이 이런 내부자 공격은 숫자상으로나, 보고되는 사이버 공격 중 차지하는 비율로나 계속 증가하고 있다. KPMG가 수행한 연구를 보면 이 비율은 2007 4%에서 2010 20%로 치솟았다. 우리 연구에서도 이 비율이 꾸준히 증가해왔다는 게 나타난다. 게다가 외부로부터의 공격에도 내부자의 의식적, 무의식적 도움이 개입될 수 있다. 타깃에서 터진 사고는 정확히 그런 사례에 해당한다.

 

위협 증가의 원인

급변하는 IT 환경에서는 이처럼 사이버 보안 위협이 증대되는 현상을 설명해주는 수많은 요인들이 있다. 이런 요인들이 특별히 놀랍지는 않다. 그리고 바로 이 점이 중요하다. 조직을 내부자 공격에 취약하도록 만드는 요인들은 일상적이면서도 어디에나 존재하기 때문이다.

 

IT 규모와 복잡성의 급격한 증가.누가 당신 회사의 클라우드 기반 서비스를 관리하는지, 이들 서버를 누구와 공유하는지, 이 서버가 얼마나 안전한지 알고 있는가? 당신 회사에 콜센터, 물류, 청소, 인사(HR), 고객관계관리(CRM) 등 아웃소싱을 제공하는 사람들은 얼마나 신뢰할 만한가? 2005년 씨티은행 계좌를 가진 4명의 뉴욕 시민이 인도 푸네에 위치한 콜센터 직원들에게 약 35만 달러를 사취당했다. 범인은 씨티은행이 업무를 위탁한 IT서비스 업체의 직원들로, 범행 전에 고객들의 개인 정보와 개인 식별번호(PIN), 계좌번호를 수집해 확보했다.

 

현재 파렴치한 중재인들이 대량의 민감한 정보를 판매하는 사이버 범죄의 온상인다크 웹(Dark Web)’이 넘쳐나고 있다. 이런 은밀한 사이트에서는 고객의 패스워드와 신용카드 정보에서부터 지적재산에 이르기까지 모든 것이 거래된다. 내부자들은 종종 그 정보의 실질적 가치보다 훨씬 적은 대가를 받고 회사 자산에 대한 접근 권한을 제공하며, 이를 통해 이른바서비스로서의 사이버 범죄(cybercrime-as-a-service)’[2] 산업에 기여한다.

 

개인용 기기들을 업무에 이용하는 직원들.대개는 본의가 아니긴 하지만, 내부자들이 전자 기기로 업무를 함으로써 회사를 위협에 노출시키는 경우가 많아지고 있다. 우리 연구 팀은 이런 기기들이 폭발적으로 증가함으로써 생기는 위험에 기업 보안 담당자들이 제대로 대처하지 못한다는 사실을 발견했다. 알카텔-루슨트의 최근 보고서에 따르면 전 세계에 걸쳐 약 1160만 대의 모바일 기기가 언제라도 감염의 희생양이 되고 있는 것으로 나타났고, 2013년에는 모바일 멀웨어(malware)[3] 에 감염된 경우가 20%나 늘어났다.

 

[2]도둑질한 고객 데이터를 범죄 행위에 곧바로 활용할 수 있도록 완제품 형태로 만들어 판매하거나 서비스하는 것을 뜻함 - 편집자 주

[3]컴퓨터 사용자 몰래 시스템에 침투하거나 피해를 입히기 위해 설계된 악성 소프트웨어 - 역주

 

이는 스마트폰과 태블릿만의 문제는 아니다. 보안 위험의 숙주가 되는 기기로는 플래시 드라이브나 전화기 메모리 카드처럼 단순한 장치들도 있다. “대비가 부실한 회사 시스템에 침투하는 최상의 방법은 회사 로고가 찍힌 감염된 USB들을 주차장 주변에 뿌리는 것입니다.” 우리 팀 일원이자 옥스퍼드대 사이버 보안센터 부소장인 마이클 골드스미스(Michael Goldsmith) 2012년 네덜란드 화학업체 DSM에 가해진 공격을 언급하며 말했다. “그 중 하나 정도는 써보는 직원이 반드시 있게 마련이죠.”

 

널리 보도된 바에 따르면 2013년 러시아 상트페테르부르크 G20 정상회담에 참석한 각국 대표들은 USB 저장장치와 휴대전화 충전기를 제공받았는데, 이들의 정보를 훔쳐낼 목적으로 고안된 멀웨어가 담겨 있었다고 한다. 2008~2010년 이란의 우라늄 정제시설을 마비시킨 스턱스넷 컴퓨터 웜(computer worm)[4] USB 플래시 드라이브를 통해 인터넷에 연결돼 있지 않은 시스템 속으로 침투하는 데 성공했다고 한다.

 

실상은 우리 모두가 공격에 노출돼 있는 것이다.

 

소셜미디어의 폭발적 증가.소셜미디어로 인해 모든 종류의 정보들이 회사에서 유출돼 전 세계로 퍼져나갈 수 있게 됐다. 회사가 이를 알아채지 못하는 경우도 많다. 기업 자산에 접근하기 위해 내부자를 설득하고 이들을 활용할 수 있는 기회를 제공하기도 한다. 이른바로맨스 사기(romance scam)’는 매우 효과적인 수단으로 드러났는데, 이는 노련한 사기꾼이 데이팅 사이트에서 구혼자인 척하며 직원을 꼬드기거나 속여 민감한 정보를 공유하도록 만드는 방법이다. 또 소셜네트워크에서 얻은 정보로 직원들을 압박하는 전략도 있다. 이때 사이버 공갈범은 민감한 정보를 넘기지 않으면 피해자의 사무실 PC에 있는 컴퓨터 파일을 삭제하거나 포르노 사진을 올리겠다고 협박하기도 한다.

 

 

무지한 관리자들

우리는 80명의 고위 관리자들에게 내부자로 인한 사이버 보안 위협에 대해 어떻게 인식하는지 묻고, 실제 사건에 관해 심층 사례 연구를 진행했다.

 

다음은 우리가 발견한 사실들을 요약한 것이다.

 

•지구촌의 모든 나라에 걸쳐 대부분의 산업(은행과 에너지 기업은 제외)에 종사하는 관리자들은 대체로 내부자 위협에 대해 모르고 있다.

 

•이들은 보안을 다른 누군가의 일, 보통 IT부서의 일로 보는 경향이 있다.

 

•과격한 웹사이트를 방문하거나 하루 중 이상한 시간에 업무를 시작하는 등 직원의 특이한 행동을 관찰해 공격의 사전 징후를 파악하는 일이 중요하다는 점을 인식하는 관리자들은 거의 없다.

 

•내외부 보안 전문가들 중 약 3분의 2는 내부자 위협 문제를 등한시할 때 발생하는 위험에 대해 이사회를 납득시키기 어렵다고 생각한다.

 

•어떤 정보 자산이 가장 중요한지, 어느 수준의 위험까지 허용 가능한지, 공격을 막기 위해 얼마를 투자해야 하는지 등에 대한 지침을 받는 IT 담당자는 드물다.

 

 

 

내부자들은 대체 왜 그런 일을 저지를까

정부와 민간 차원에서 진행해온 수많은 사례 연구를 통해, 내부자들이 의식적으로 사이버 공격에 참여하는 데는 다양한 동기가 있다는 사실이 밝혀졌다. 금전적 이득, 보복, 인정받고 싶은 욕구, 권력욕, 공갈에 대한 대응, 조직 내 누군가를 위한 충성, 정치적 신념 등이 그러한 동기들이다.

 

우리는 연구 과정에서 하나의 사례를 접했다. 2014년 퇴짜를 맞은 구혼자가 작지만 성장일로를 걷는 가상교육 기업을 공격한 사건이었다. 이 일이 발생하기 전에 이 회사 관리자 한 명은 상관에게 시스템 담당자에 대해 불평을 늘어놓았다. 문제의 인물은 직장에서 이 관리자에게 꽃을 보내기도 하고, 시도 때도 없이 부적절한 문자메시지를 발송했으며, 차를 몰고 자주 그의 집 앞을 서성거렸다. 냉정하게 거절을 당하자 이 시스템 관리 담당자는 회사의 교육 비디오 데이터베이스에 오류를 일으켰고, 백업 시스템에도 접근할 수 없도록 만들었다. 회사는 그를 해고했지만, 그는 회사가 자신의 범죄를 입증할 증거가 없다는 사실을 알고 있었다. 그리고 이를 악용해 회사 보안에 결함이 있다는 사실을 공개하겠다고 협박하면서 입막음 대가로 수천 유로를 요구했다. 회사의 보안 결함이 알려지면 곧 있을 기업공개(IPO)에도 피해가 갈 수 있었다. 대부분의 내부자 범죄가 그렇듯, 값비싼 대가를 치른 이 사건 역시 보도되지 않은 채 묻혀버렸다.

 

내부자가 조직범죄 및 각종 행동주의자 단체와 공모하는 일이 갈수록 흔해지고 있다. 현재 많은 국가들은 이런 유형의 공격에서 자국을 보호하기 위해 컴퓨터긴급대응팀(CERT•computer emergency readiness team)을 운영하고 있다. 카네기멜론대의 CERT 내부자위협센터(Insider Threat Center) 2012년 보고서집중 조명: 악의적인 내부자와 조직범죄 활동(Spotlight On: Malicious Insiders and Organized Crime Activity)’을 위해 분석한 150개 사례 가운데 16%가 조직범죄와 연루된 것으로 나타났다.

 

이 중 하나의 사례는 2012년 러시아 범죄조직이 사우스캐롤라이나 국세청에서 380만 개의 암호화되지 않은 은행 계좌의 세부 정보와 약 400만 건의 납세신고서를 훔친 사건이었다. 과학수사 결과 이 공격은 어떤 직원이 e메일에 첨부된 인터넷 링크를 누르면서 시작됐고, 이를 통해 범죄조직은 그 직원의 내부자 권한과 함께 사우스캐롤라이나 주정부의 데이터 서버 접근 권한도 훔쳐낼 수 있었다는 사실이 밝혀졌다.

 

레스터대의 심리학자이자 우리 팀의 일원인 모니카 위티(Monica Whitty) 등 많은 연구자들에 따르면, 사이버 공격에 기꺼이 협조하거나 참여하는 내부자들은 이른바어둠의 3요소중 하나 이상의 증상을 겪는다고 한다. 목적을 이루기 위해서는 수단과 방법을 가리지 않는 마키아벨리즘, 자기 자신에게 강한 애착을 보이는 나르시시즘, 그리고 반사회적 인격장애(psychopathy)[5]가 바로 그 3요소이다. 국가기반시설보호센터가 2013년 발표한 연구 결과는 이런 견해를 뒷받침한다. 이 연구에서는 내부 공격자들의 성격이 대개 미성숙, 낮은 자존감, 비도덕성 또는 윤리의식 결핍, 천박성, 공상에 빠지는 경향, 동요와 충동, 성실성 부족, 교활함, 불안정과 같은 특성들 중 일련의 조합을 바탕으로 형성된다는 사실이 밝혀졌다.

 

[4]컴퓨터 악성 프로그램의 일종으로, 네트워크를 통해 자신을 복제하고 전파할 수 있음 - 역주

[5]비정상적인 성격으로 말미암아 건전한 사회 적응에 곤란을 일으키는 성격 특성 - 역주

 

UBS의 자산관리 시스템 관리자였던 로저 듀로니오(Roger Duronio) 2006년 악의적인논리폭탄(logic bomb)’[6]을 사용해 회사 컴퓨터 네트워크에 피해를 입힌 혐의로 유죄를 선고받았다. 그는 앞에서 언급한 성격 특성을 다수 보유한 인물로, 늘 자신의 일자리를 잃을까 두려워했는데 기대했던 5만 달러의 보너스 가운데 32000 달러만 받자 크게 화가 났다. 이 때문에 그는 회사의 주식을 공매(空賣)해버리고 논리폭탄을 터뜨렸다. 이로 인해 미국 내 UBS 사무소에 있는 무려 2000개 서버의 가동이 중지됐고, 일부는 몇 주 동안이나 거래 업무에 사용되지 못했다. 이 사건으로 회사는 310만 달러에 달하는 직접비 손실을 입었으며 수면 위로 드러나지 않은 부수적 손실만 해도 추가로 수백만 달러에 이르렀다. 듀로니오는 이 범죄로 97개월의 징역형을 선고받았다.

 

어떻게 문제를 해결할 것인가

내부자로부터 비롯되는 사이버 보안 위협을 관리하는 일은 품질과 안전을 관리하는 일과 유사하다. 이전에는 하나의 전문 부서가 특정 분야에 대한 책임을 전적으로 맡았다. 그러나 기술 환경이 매우 복잡한 데다 끊임없이 변화하고 있기 때문에 조직들은 더 이상 모든 위험을 예측할 수 없게 됐다. 따라서 크든 작든 모든 기업의 리더들은 전 직원이 사이버 보안에 참여하도록 유도해야 한다. 이런 배경에서 기업들이 즉각적으로 취해야 할 다섯 가지 조치를 소개한다.

 

강력한 내부자 방침을 도입하라. 이런 방침은 내부자들이 부주의나 태만 또는 실수로 위험을 불러오는 일을 막기 위해 무엇을 해야 하고 무엇을 하지 말아야 하는지 명시해야 한다. 또한 보안 담당자와 기술 전문가들뿐만 아니라 어느 누구라도 쉽게 이해하고 접근하며 준수할 수 있도록 간결해야 한다. 또 이와 관련된 규정들은 고위 관리직을 포함해 조직의 모든 직급 사람들에게 적용돼야만 한다. 일리노이 주가 제공하는 양식이 하나의 모델이 될 수 있다. 다음 링크를 참조하기 바란다. www.illinois.gov/ready/SiteCollectionDocuments/Cyber_SOSSamplePolicy.pdf

 

직원들에게는 이런 내부자 방침을 준수할 수 있도록 돕는 수단을 제공해야 한다. 가령 누군가 민감한 자료들을 담은 시스템에 로그인하려고 할 때 스크린에 경고 메시지가 나타나도록 시스템을 구성하는 방법을 들 수 있다. 이때 시스템은 해당 인물이 접속 허가를 받았는지 질문을 던지며, 허가받지 않은 사람들은 따로 기록하고 추적할 수 있다.

 

방침을 위반하면 그에 따른 처벌을 가해야 한다. 고객의 개인 정보를 판매하거나 회사 시스템에 의도적으로 멀웨어를 심는 등의 심각한 범죄를 저지른 직원은 마땅히 해고하고 고발해야 한다. 처음 경미한 위반을 한 경우, 가령 믿을 만한 동료가 회사 시스템에 접근하도록 패스워드를 공유하는 등의 경우에는 그 직원에게 경고를 주되 기록으로 남겨둘 수 있겠다.

 

또 일상 업무를 안전하게 수행하는 방법에 대해서도 직원들에게 알려줘야 한다. 설명회나 직장 내 포스터 등 내부 커뮤니케이션 캠페인을 통해 정기적으로 회사 방침을 홍보해야 한다. 방침을 위반했을 때 어떻게 사이버 공격이 가능해지는지, 보다 안전한 방식으로 이를 어떻게 방지할 수 있었는지 보여주는 비디오를 상영하는 기업들도 있다.

 

경각심을 높여라. 잠재적 위협 요소들을 투명하게 공개하라. 사람들이 그런 요소들을 미리 탐지해 자신을 공격에 이용하려고 시도하는 이들을 경계할 수 있도록 말이다. 또 특정 부서의 직원들이 어떤 종류의 공격에 직면할지 알 수 있도록 교육 자료에 변화를 줘라. 피싱(phishing)은 접근 권한을 획득하는 매우 흔한 수단이다. 즉 허위 e메일로 직원을 속여 개인의 신상 명세나 접속 코드를 공유하게 하거나, 첨부된 링크를 눌러 멀웨어를 내려받도록 만드는 방법이다. (대부분의 사람들은 e메일의보낸 사람주소가 위조하기 쉽다는 사실을 모른다.) 외부 보안 서비스를 활용하거나 회사 자체 인력을 통하면 이런 공격에 대한 직원의 취약성을 테스트해볼 수도 있다.

 

그렇다 하더라도 작정하고 공격을 시도하는 외부자로부터 내부 인력을 방어하기는 쉽지 않을 수 있다. 2013 4월 프랑스의 어느 다국적 기업이 영악한 공격의 희생양이 됐다. 부사장의 비서가 클라우드 기반의 파일 공유 서비스로 청구서 파일을 첨부한 e메일을 받으면서 일이 시작됐다. 비서는 처음부터 파일을 열 만큼 눈치가 없지는 않았지만, 몇 분 뒤 누군가 전화를 걸어 자신이 또 다른 부사장이라고 말하면서 청구서를 내려받아 처리하라고 지시했다. 비서는 이 지시에 따랐다. 청구서 파일에는 우크라이나 범죄기업이 비서의 PC를 제어하고 키보드 입력 내용을 기록하며 회사의 지적 재산을 훔칠 목적으로 심어놓은, 원격 접속이 가능한 트로이 목마[7]가 담겨 있었다.

 

특이하거나 금지된 기술(예컨대 네트워크로 데이터와 소프트웨어에 접근하는 사무실에서 휴대용 하드 드라이브를 발견한 경우)이나 행동(허가받지 않은 직원이나 공급업체 직원이 기밀 데이터 파일을 요구하는 경우)은 신고하도록 직원들에게 권장하라. 사람들이 공항 출국 라운지에서 주인 없는 수하물을 신고하듯이 말이다.

 

[6]특정한 조건에 맞을 때에만 시스템을 파괴하거나 컴퓨터를 통제하기 시작하는 악성 프로그램 - 역주

[7]컴퓨터 사용자의 정보를 빼가는 악성 프로그램. 대개 겉으로 보기에는 해롭지 않지만 프로그램을 실행시키면 안에 들어 있는 악성 코드가 작용하는 방식이며, 주로 e메일이나 인터넷상에서 내려받은 소프트웨어에서 발견된다 - 편집자 주

 

직원을 채용할 때 잠재적 위협을 잘 살펴라.예비 채용자의 정직성을 평가할 수 있도록 심사 과정과 면접 기법을 만들고 사용하는 일이 어느 때보다 중요하다. 범죄 이력 확인, 이력서상의 허위 내용 점검, 채용 후보자의 윤리 기준을 직접 살필 수 있는 면접 질문 등을 예로 들 수 있다. 우리 팀은 현재 회사가 고용할 장래의 직원들이 국가기반시설보호센터에서 나열한 위험한 성격 특성들을 지녔는지 고용주들이 판단할 수 있도록 도와주는 검사 방법을 개발 중이다. 또 면접 과정이 진행되는 동안 사이버 안전에 대한 후보자의 경각심을 평가해야 한다. 후보자는 내부자 위협이 무엇인지 알고 있는가? 그는 언제 팀원들과 패스워드를 공유할까? 어떤 상황에서 팀원들이 자신의 컴퓨터를 사용하도록 허용할 것인가? 후보자가 다른 면에서 모두 훌륭하다면 채용을 그대로 진행해도 되겠지만, 조직의 방침과 안전 방식에 대해 즉시 교육을 받도록 조치해야 한다. 만약 극도로 민감한 환경에서 근무하는 일자리라면 그 후보자를 정말로 채용해도 될지 매우 주의 깊게 따져봐야 한다.

 

엄격한 하도급 프로세스를 갖춰라.타깃의 규정 위반 사례에서 알 수 있듯, 협력업체나 총판이 회사를 위험에 빠뜨리지 않도록 조처해야 한다. 예컨대 외부의 IT 공급업체 직원이 회사 시스템에 침입 가능한 뒷문을 만들어낼 가능성을 최소화하는 식으로 말이다. 만일 보안에 실패하거나 규칙 위반이 발생했을 때 당신 회사에 비해 공급업체에 닥칠 위험이 훨씬 적다면, 그 업체는 당신이 요구하는 통제 정책을 채택하지 않을 가능성이 높다. 자사와 동일한 수준의 위험 선호도(risk appetite)[8]와 문화를 지닌 협력사와 공급업체를 찾아라. 그러면 사이버 보안에 대해 일반적인 접근 방식을 취하기가 훨씬 쉬워질 것이다.

 

계약 체결에 앞선 논의 과정에서 예비 협력업체들에게 내부자와 관련된 위험을 어떻게 관리하는지 물어보라. 계약을 맺은 뒤에는 그들이 말한 방식대로 관리되고 있는지 확인하기 위해 정기적으로 감사를 실시하라. 향후 감사를 진행할 것이라는 점을 분명히 알리고, 감사 작업에는 어떤 항목들이 포함될지 명기하라. 회사는 내부에서 실행하는 것과 동일한 수준의 통제 방식을 자사와 거래하는 협력업체들에게 요구할 수도 있다. 직원의 범죄 기록 조회, 채용 후보자 이력의 사실 여부 확인, 허가받지 않은 활동을 위해 회사 데이터와 애플리케이션에 접근하는 일을 모니터링하는 것, 침입자가 민감한 물리적 구역에 들어갈 수 없도록 막는 일 등이다.

 

직원들을 모니터링하라.회사는 법이 허용하는 한도에서 직원의 사이버 활동을 관찰할 수 있으며, 실제로 관찰할 것이라는 점을 분명히 알려라. 전문가들에게만 사이버 보안을 모두 맡겨서는 안 된다. 회사 시스템에 무엇이 들어오고 나가는지에 대한 일상적인 보안 의식을 당신 스스로 높여야 한다. 이는 보안 팀이나 서비스 공급업체에 정기적인 위험 평가서를 작성하도록 요구해야 한다는 뜻이다. 위험 평가서에는 위협의 원천, 공격에 취약한 직원 및 네트워크, 그리고 위험이 현실로 나타났을 때 어떤 결과가 일어날지 등이 명시돼야 한다. 아울러 경보에 대한 반응 시간 같은 위험 완화(risk-mitigation) 행위들도 평가 대상이 돼야 한다.

 

라우터나 방화벽 시스템은 외부 접속을 모니터링하는 기능을 하는 경우가 많다. 그 기능이 제대로 작동하는지 반드시 확인해야 한다. 만약 외부로 나가는 트래픽을 모니터링하는 장비가 없다면 이를 구입하기 바란다. 또 불시 점검을 하거나, 심지어 건물을 오가는 사람들에게 공항에서 이뤄지는 방식의 상설 검색(GE나 위프로(Wipro)는 인도 방갈로르에서 이런 방식을 사용한다)을 해서라도 다른 유출 수단들(USB 플래시 드라이브, 휴대용 저장 장치, 출력물 등)을 기록하고 모니터링해야 한다.

 

효과적으로 모니터링을 하려면 모든 직원이 가진 권한을 부지런히 관리해야만 한다. 여기에는 최고 수준의 회사 시스템 접근 권한을 가진 사람들도 포함되는데, 바로 이들이 내부자 공격을 주도하는 경우도 꽤 많다. 가장 높은 권한을 가진 사용자 목록을 정기적으로 정리하고, 이 사람들이 신뢰할 만한지 확인하기 위해 계속 지켜보라. 이미 일어난 사건들을 찾아내고 예방 가능한 사건들을 예측할 수 있는 내부자 위협 탐지 시스템을 갖춰라. 빅데이터 분석은 여러 단서들을 연결시켜 위험의 징후를 파악하는 데 도움을 줄 수 있다.

 

멀웨어 탐지 소프트웨어도 유용하다. 특히 외부자와 내부자가 공모할 때는 네트워크에 멀웨어를 심는 일이 초기의 핵심적인 단계다. 일단 멀웨어를 발견하면 그것이 내부자 공격의 일부일 수 있다는 점을 고려하라. 그리고 발견된 멀웨어가 어떤 식으로 사용되는지 분석하면 공격자의 신원이나 보다 포괄적인 의도가 무엇인지 단서를 얻을 수 있다.

 

이 정도 수준의 모니터링을 하려면 직원들의 업무량이 늘어날 것이다. 하지만 회사의 회복력이 향상되고 회사를 위협하는 위험이 줄어듦으로써 결국에는 많은 이득을 얻을 수 있을 것이다.

 

 

당신이 할 수 있는 일은?

비기술(nontech) 분야 리더들이 IT부서에 요구해야 하는 가장 중요한 활동들은 다음과 같다.

 

• 인터넷이나 휴대용 장치를 통해 회사 네트워크를 빠져나가는 모든 트래픽을 모니터링하고, 특이하거나 방침을 위반하는 사항이 발견되면 즉각 보고할 것

 

• 사이버 보안 전략과 방침을 뒷받침하는 최신 모범 사례를 적용할 것

 

• 강력한 네트워크 방어 절차나 규약을 사업부 운영의 우선순위에 두고 시행할 것

 

• 직원들이 민감한 컴퓨터 시스템에 필요 이상으로 접근하지 못하도록 사용자 계정을 활발히 업데이트할 것

 

• 위협에 대해 자주 평가하고 회사 경영진에 보고할 것

 

 

 

내부자들이 가하는 사이버 위협을 해소하는 데 가장 효과적인 전략은 유용한 방어 기술을 사용하고, 그 기술의 취약성을 지속적으로 개선하며, 궁극적으로는 모든 내부자들이 회사의 안전을 유지하는 방향으로 행동하도록 만드는 데 초점을 맞추는 것이다. 사람들은 어떤 행위들이 허용되는지, 또는 허용되지 않는지 알아야 한다. 이들에게 조직을 지키는 일이 곧 자신의 일자리를 지키는 일이라는 사실을 일깨워라.

 

[8]위험에 대한 인식과 대비 수준 - 역주

 

 

“더그, 자네가 떠나니 유감이군. 자네처럼 유능한 직원의 자리를 외주업체로 채워야 한다니.”

 

데이비드 M. 업턴, 세이디 크리스 (David M. Upton, Sadie Creese)

데이비드 M. 업턴(David M. Upton)은 옥스퍼드대 사이드경영대학원(Saïd Business School)에서 운영관리 분야의 아메리칸 스탠더드(American Standard Companies) 교수로 재직 중이다.

 

세이디 크리스(Sadie Creese)는 옥스퍼드대 사이버 보안 분야의 교수이며, 같은 대학 글로벌 사이버 보안역량센터(Global Cyber Security Capacity Centre) 소장이다. 업턴과 크리스는 기업 내부자 위협 탐지(Corporate Insider Threat Detection) 연구 프로그램을 이끄는 주요 연구자다.

  • 아티클 다운로드
    (PDF)
    5,000원

    담기바로구매

  • 2014 9월호(품절)
    17,000원
    15,300원

    구매하기

  • 디지털서비스
    1년 150,000원

    디지털서비스란

    신청하기

전략 다른 아티클

무료 열람 가능 아티클 수 0/1 회원가입 | 서비스상품안내