이기혁 중앙대학교 융합보안학과 교수
첫째로 외부 해킹이다. 외부 해킹은 시도 건수가 많지만, 기업들이 보안 기술과 보안 장비에 많은 투자를 하고 설치, 운용하여 과거처럼 쉽게 해킹되지 않는다.
둘째는 직원이다. 직원은 다시 현직 직원과 퇴직 직원으로 구분한다. 통상적으로 현직의 내부 직원들은 보안 사고를 일으킬 가능성이 적다. 다만, 한 번 일으키면 기업은 막대한 피해를 보게 된다. 때문에 보안 변화관리 프로그램을 통한 보안 인식 제고 교육이 필수적이다.
셋째는 협력사 직원에 의한 보안사고이다. 최근 기업들은 정 직원과 협력사 근무체계 형태로 이루어져, 협력사 직원들의 보안 사고는 늘어나는 추세이다. 이는 협력사 직원들이 내부 정직원에 비해서 일은 많이 하지만, 차별적인 급여 등 내부 정 직원과의 불평등에서 보안사고가 이루어진다.
넷째는 위 세 영역의 보안사고 원인자들이 공조에 의해서 일으키는 보안사고이다.
위와 같이 보안사고 4대 원인자를 알아보았는데 그중에서 보안책임자가 보안 사고를 줄일 수 있는 내부 위협에 관하여 살펴보기로 한다.
기업이나 기관의 내부 위협은, 현재, 조직에 있어서 간과할 수 없는 위협이다. COVID-19 시대를 거치면서, 원격 근무의 증가나 하이브리드 형태의 일하는 방법의 보급에 따라서 보안책임자는 구성원들이 내부 통제 시스템이 작동된다는 것을 구성원들에게 가시화하고 있다는 것을 알려줌에 따라서 내부 위협을 억제할 필요가 있다.
기본적으로 내부 직원은 신뢰받고 있기 때문에, 기밀 데이터나 주요 시스템에 액세스하는 것이 가능하지만, 그곳에 ‘Zero Trust’의 보안 접근을 작동함으로써, ICT 시스템이나 네트워크 디자인에 의해서 액세스를 제한하여, 정보 누설의 리스크를 줄이는 것이 가능하다.
기업의 비즈니스에 커다란 손해를 주지 않도록 하기 위해서는 평소에 내부 위협의 리스크를 가시화하여 관리하고, 악의적인 내부 직원을 발견하여 그 행위를 억지하는 조직 횡단적인 6가지의 접근방식을 아래와 같이 제언한다.
첫째는 사람이 막을 수 없는 것은 보안 기술과 시스템을 우선 적용한다. 사용자 및 개체 행동 분석(UEBA)이나 데이터 손실 방지(DLP) 등의 많은 IT 보안 솔루션이 존재한다. 그러나 내부 위협을 찾아내기 위해서는 내부 위협의 탐지에 초점을 맞추어서 접근을 취하는 것이 중요하다. 의심스러운 사용자의 행동을 검출하는 솔루션이나 사용자의 데이터와의 주고받음을 감시하여 위험한 행동을 검출하는 솔루션 등을 선적용해야 한다.
둘째는 내부 위협 관리의 기능을 외부 공격과 차별화해서 별도 분리한다. 내부 위협은 외부 위협과 구별하여 취급할 필요가 있다. 내부 위협을 단순한 보안프로그램으로 취급하면 실패하는 일이 많으며, 외부 위협을 취급하는 보안솔루션과는 차별화된 다른 내부 위협 관리팀을 구축하면 좋을 것이다.
셋째는 내부조직을 상호 소통이 잘되는 협의 가능한 조직으로 편성한다. 내부 위협을 대처하는 효율적인 방안은 사람 관리인 것을 모두 알 것이다. 따라서 CSO만이 아니라 여러 분야에 걸쳐서 즉, 인사, 법무, 보안, 내부감사, 리스크 관리, 컴플라이언스 부분 등의 종합적인 협의체로 편성하고 정기적으로 운영하는 게 보다 효율적이다.
넷째는 일관된 내부 위협 관리 프로세스를 구축하고 운영한다. 내부 위협을 관리하는 데에는 일관된 정책이 필요하며, 그 정책의 구축보다 더 중요한 것은 해당 프로세스가 잘 운용되어야 한다. 가능한 한 기존의 정책과 프로세스를 활용하여 기술을 사용하여 정책을 철저하게 운영한다.
다섯째는 직원들을 자발적인 보안 감시자로 육성되어야 한다. 직원들은 악의적인 내부 관계자를 저지하기 위한 최대의 보안감시자가 될 수 있다. 그러기 위해서는 보안 문화를 구축하는 것으로 직원을 보안 강화 프로그램의 지지자로 바꾸는 것이 가능하다.
이를 위해서는 내부 위협의 영향에 대해서 직원들에게 훈련을 실시하여 내부 위협 관리프로그램에 대해서도 숨기는 것이 아니라, 솔직하게 전하는 것이 필요하다. 내부 직원의 의심스러운 행동을 익명으로 전하는 것이 가능한 통로를 확립하는 것에 의해 직원이 보안 프로세스의 일부로써 능동 감시자 기능은 매우 중요하다.
마지막으로 보안 거버넌스(GRC)가 잘 준거하고 있는지를 확인해야 한다. 기업이나 기관에서 보안사고가 나면 상호 연쇄 파장 효과가 있어 기업뿐 아니라 국가에도 영향을 미친다. 이에 따라 보안 법률과 내부 규정을 잘 준거할 수 있도록 하여 내부 위협 관리 구축의 열쇠가 될 수 있다.
아울러, 내부 위협 관리 프로그램을 구축하는 것은 99.9%의 선량한 직원을 지키기 위해 필요하다. 0.01%의 내부 위협에 실시간 억지를 행하여, 조직과 그곳에서 일하는 직원을 지키는 것이 요구되고 있는 것이며, 최소한 CSO는 위 6가지를 지켜서 기업과 기관의 내부의 핵심기술 유출 방지에 만전을 기해야 한다.
※ 이 글은 국가정보원 산업기밀보호센터 및 (사)한국산업보안연구학회 공동기획 기고문입니다.