세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
벌써 몇 년째...보이지 않는 위협, 은둔의 IT
  |  입력 : 2018-08-09 10:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
생산성 높이기 위한 직원들의 불안전한 노력, 은둔의 IT
정책 결정하고, 회사 내 전파하고, 필요한 툴 미리미리 구비해야


[보안뉴스 문가용 기자] FBI에서 12년을 근무한 필자는 그 어떤 상황이 닥쳐와도 놀라지 않을 수 있었다. 누군가의 은밀한 정찰이든 대규모 사이버 공격이든, 톰 클랜시 스타일의 제로데이 공격이든 말이다. 현장에서 수도 없이 봐왔던 것들이다. 그러나 이런 재앙과 같은 상황을 불러일으키는 건, 내 경험상 가장 작고 사소한 것들이었다. 누군가의 작은 실수나 부주의가 더 무섭다.

[이미지 = iclickart]


FBI에 있을 때의 이야기다. 한 번은 아주 유명한 회사에서 벌어진 데이터 유출사고를 수사하고 있었다. 인터넷의 리포지토리에 누군가 민감한 사생활 정보를 대량으로 올려놓은 사건이었다. 정부가 지원하는 사이버전 부대가 이 사건의 뒤에 있는 것일까? 대단히 실력이 좋은 핵티비스트? 아니면 단순 브루트포스 공격의 성과였을까?

어마어마한 시나리오가 머릿속에 그려졌지만, 그 어떤 것도 아니었다. 그 회사에서 근무하던 한 직원이 무료 클라우드 스토리지 계정을 만들어 그 정보들을 업로드시킨 것이었다. 그리고 이를 발견한 도둑들이 이 정보를 가져다가 온라인에 공개한 것이었다. 해당 직원이 60초만 들여서 클라우드 계정의 비밀번호만 살짝 어렵게 바꿨어도 이 회사가 수백만 달러를 소송과 배상으로 소모하는 일은 없었을 것이다. 결국 대부분 기업들이 가진 ‘리스크’를 분류하면 다음 세 가지로 요약된다.

누가 : 조직에 소속된 구성원이면 누구라도 정보를 모을 수 있다. 인터넷에 연결되어 있고, 신용카드만 있으면 누구라도 뚝딱 클라우드 계정을 만들어 아무 데이터나 올릴 수 있는 게 지금 기업이 가지고 있는 환경이다. 회사 컴퓨터에 앉아 이런 일을 해도 아무도 모르고, 따라서 막을 수도 없다. 물론 직원들이 이렇게 하는 이유는 대부분 일처리를 빨리 하기 위해서이지만, 일부는 악의적인 목적을 가지고 있기도 하다.

무엇을 : 직원들은 사실상 거의 모든 정보에 손을 댈 수 있다. 고객의 정보나 회사의 지적재산 등 굉장히 가치가 높은 정보들을 아무렇게나 열람하는 게 가능하다. 그렇기에 누구나 업무를 수행하면서 별 생각 없이 이러한 정보에 접근하고 사용한다.

어디서 : 데이터란 관리자 및 경영진의 눈에 보이지도, 닿지도 않는다. 게다가 새롭게 시작된 GDPR의 시대에서는, 회사가 통제하는 시스템들 바깥에 있는 데이터의 확보는 훨씬 더 어려운 일이 되었다. 심지어 개인 계정에 저장된 데이터는 계정 소유주가 회사를 떠날 때도 같이 떠난다. 그런데 소유주가 개인 계정에 100개의 고객 정보를 보관하고 있었다면 어떻게 할 것인가?

또한 직원의 80%가 회사의 허가가 나지 않은 서비스를 사용하고 있다는 것도 잊지 말아야 한다. 심지어 회사도 이 사실을 오랜 시간 알고 있었다. 그런데도 이 문제를 해결하지 못하고 있다. 가트너에 의하면 2020년까지 익스플로잇 된 취약점의 99%가 보안과 IT 전문가들이 최소 1년은 알고 지냈던 것들일 것이라고 예측하고 있다. 알아도 못 막는 현상이 계속될 거라는 뜻이다.

회사 내 구성원 중 누군가가 보안 팀이나 IT 기술 팀이 모르거나 허용하지 않은 플랫폼이나 서비스를 사용한다고 한다고 했을 때, 해당 서비스나 플랫폼 혹은 그 현상을 은둔의 IT라고 부른다. 이 은둔의 IT 덕분에 해커들은 보다 쉽게 조직의 네트워크에 침투할 수 있고, 보다 편하게 기업의 데이터를 훔쳐낼 수 있게 된다.

보통, 자기의 일을 잘 하고 싶은 직원들의 목표는 생산성을 높이는 것이다. 이를 이루기 위해 이들은 온갖 수단을 동원한다. 그러다가 클라우드 기반의 파일 저장소를 하나 알게 된다. 서베이를 할 수 있는 소프트웨어를 발견하고, 산업 내 유명 인사들과 연락을 주고 받을 메시지 앱을 설치한다. 1분이라도 아끼기 위해서다.

그렇지만 이 과정에서 네트워크 구멍이 생긴다. 이 구멍을 통해 엄청난 돈이 빠져나가기도 하고, 가격을 매길 수 없는 고객의 신뢰가 새기도 한다. 포네몬의 2017년 연구 보고서에 의하면 데이터 유출 사고로 인한 비용은 평균 362만 달러라고 한다. 생산성 높여봐야 말짱 도루묵인 것이다.

또 다른 실제 사례다. 한 대규모 회사의 네트워크에 누군가 침투했다. 네트워크 엔지니어들은 무료로 배포되는 채팅 툴을 사용해 서로 소통해가며 네트워크에 대한 통제권을 다시 찾아오려고 노력하고 있었다. 물론 이 채팅은 비밀리에 진행되는 것이었고, 따라서 이 채팅 툴 역시 아무에게도 공개되지 않았다. 사실 네트워크 엔지니어들은 이 툴을 수개월 동안 사용해오고 있었다. 그렇기에 공격자를 추적하면서 자연스럽게 이 채팅 툴을 주력으로 사용하기 시작한 것이다. 자, 이 사건은 어떻게 진행됐을까?

엔지니어들은 이 채팅 툴을 들여오면서 어떠한 보안 검사도 하지 않았다. 설치 과정도 보안과 거리가 멀었다. 공격자들이 이걸 알아냈다. 그리고 엔지니어의 채팅 방에 합류했고, 이들의 대화를 엿보며 모든 움직임을 미리 알아냈다. 한참 후에 채팅 방 인원들이 한 사람 한 사람 자신의 정체를 밝히면서 예상치 못한 손님이 있었다는 걸 알게 됐다. 방은 깨졌고, 통신 툴도 바뀌었다.

엔지니어들은 왜 그런 툴을 썼을까? 당연히 일을 더 잘 하기 위해서다. 소통을 편하게 함으로써 일의 능률을 올리고자 애썼을 뿐이다. 하지만 그 좋은 의도가, 좋지 않은 툴의 선택으로 더 나쁜 결과만 낳았다. 회사는 더 많은 돈과 시간을 들여서야 공격을 막고 시스템을 복구시킬 수 있었던 것이다.

은둔의 IT, 어떻게 없애나
그렇다면 이 무시무시한 위협을 어떤 식으로 해결해야 할까? 크게는 다음 네 가지 방법이 있다.

1) 정책과 소통 : 먼저 회사는, 회사가 승인하지 않은 서비스나 소프트웨어를 사용하는 문제에 대해 확실한 정책을 정하고, 이를 명확하게 모든 구성원에게 알려야 한다. 특히 회사의 데이터와 연관된 행위에서 승인나지 않은 도구를 사용했을 때 어떤 규칙이 적용되는지를 알려야 한다. 승인이 난 소프트웨어를 사용해서도 생산성을 높일 수 있도록 훈련시키는 것도 잊지 않는 게 중요하다.

2) 새로운 직원 관리 : 새로 합류한 직원들은 얼른 회사에 도움을 주고 싶어 한다. 그런데 이 과정에서 전부터 사용하던, 익숙한 툴을 사용하는 경우가 많다. 회사로서는 이런 현상을 막아야 한다. 입사 시 정책 교육을 하는 것은 물론, 새로 들어온 사람이 조급함을 느끼지 않도록 분위기도 조성하는 게 중요하다.

3) 방치해서는 안 된다 : 직원들이 사용할 수 있는 툴들을 회사가 정해주는 만큼, 직원들의 새로운 필요에 대해서도 귀를 기울여야 한다. 사실 직원들 입장에서 오죽 답답하면 승인되지 않은 툴을 가져다 쓰겠나를 이해해야 한다는 것이다. 직원들이 사용하기에 좋은 툴들을 미리 조사해서 도입하는 노력도 필요하다.

4) 경찰이 되지 말라 : 은둔의 IT를 적발해내는 것도 중요하지만, 그렇다고 회사가 경찰관들로 득실거리는 곳이 되어서는 안 된다. 생산성과 보안의 균형은 지속적인 대화로서 유지해야 한다. 무조건 안 된다는 보안은 이미 구시대의 유물이다.

3줄 요약
1. 직원들이 회사 몰래 사용하는 각종 소프트웨어와 서비스 = 은둔의 IT.
2. 은둔의 IT 많을수록 네트워크에 구멍이 많다는 소리.
3. 관련된 정책을 정하고, 직원이 필요한 도구 미리 회사가 갖추면 충분히 막을 수 있음.


글 : 아담 마르(Adam Marre), Qualtrics

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술