Home > 전체기사
[현충일-1] 외부의 위협을 막아선 날, 내부자 위협을 생각하다
  |  입력 : 2019-06-06 08:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
감정적으로 허술하거나 빈틈이 생기는 부분을 미리 파악해 방지해야
보안 교육을 진행하면서 조직원들의 감정 상태도 파악하는 게 중요


[보안뉴스 문가용 기자] 내부자로부터 오는 위협은 오래된 문제지만, 아직까지도 마땅한 해결책이 없다. 여기서 말하는 내부자 위협이란 부주의하거나 보안에 대한 개념이 없어 피싱 메일에 속수무책으로 당하거나 클라우드 데이터베이스를 인터넷에 활짝 열어두는 것부터, 회사에 피해를 끼칠 목적으로 영업비밀을 훔치는 것까지를 포함한다.

[이미지 = iclickart]


언뜻 보면 내부자 위협에 포함되는 행위들이 다양해 보이지만, 사실 ‘인간의 감정’이 엮여있다는 점에서 공통점을 찾을 수 있다. 하지만 현대의 위협 탐지 도구들은 이런 ‘감정의 요소’들을 전혀 고려하지 않는다. 그래서 일부 전문가들은 조직과 조직원 사이의 강력한 유대관계를 형성하는 것이 내부자 위협을 막는 방법이라고 주장하기 시작했다.

마이크로소프트의 수석 보안 고문인 시안 존(Sian John)은 “내부자 위협을 탐지한다며, 아직도 외적으로 나타나는 특징들만을 찾으려 하고 있다”고 현상을 짚어다. “내부자의 실수나 공격을 탐지하기 위해서는, 내부자 위협 전용 툴이 필요합니다. 외부 공격을 막기 위한 툴로 내부자 위협까지 막으려고 해서는 안 됩니다. 둘은 전혀 다른 성격의 공격입니다.”

인간으로부터 오는 위험을 완화한다는 건, 관계성에 기반을 둔 행위를 필요로 한다. 그러므로 조직들은 ‘공격’이라는 개념에서 탈피하고, 조직원들 입장에서의 감정과 기분에 좀 더 주의를 기울여야 한다는 게 존의 입장이다. “스피어피싱이 단순해 보이지만 왜 방어가 까다로울까요? 감정적인 요소들이 섞여있기 때문입니다. 피해자들의 실수를 유발할 만한 감정의 지점이 공격을 당하는 겁니다.”

좋은 예가 회사의 CEO로 보이는 인물에게서 이메일을 받은 인사부나 재정부 직원이다. 이런 종류의 이메일은 회사의 최고 책임자에 대한 직원들의 태생적인 두려움을 찌르고 들어온다. 그러니 CEO처럼 보이는 데만 성공하면 ‘어디어디로 돈을 보내라’는 식의 이상한 지시도 따르게 된다. 냉정함을 잃는 순간 실수가 발생하는 법이다.

휴면 팩터 시큐리티(Human Factor Security)의 제니 래드클리프(Jenny Radcliffe)는 “누구나 ‘감정의 버튼’을 하나씩 가지고 있습니다. 그곳을 누르면 감정적으로 무너지게 되는 것이죠. 발끈하거나 낙담하거나 하는 식으로 말이죠.” 그러면서 래드클리프는 “내부자 위협을 막는다는 건 바로 이런 ‘감정의 버튼’을 보호하는 것”이라고 강조한다. “직원들을 대상으로 보안 교육을 할 때 이런 지점을 파악하고 보호 조치를 취해야 합니다.”

래드클리프는 “감정적 요소들을 하나하나 짚어가다보면 실제로 회사에 악의적인 마음을 품고 데이터를 훔치거나 DB를 삭제하는 등의 행위를 막을 가능성도 높아진다”고 설명한다. “실수가 아닌, 고의로 벌어진 내부자 위협 사건들은 탐지보다 방지가 훨씬 중요합니다. 이런 위협 요소들을 미리 파악할 수 있어야 합니다.”

존은 “결국 내부자 위협 문제는 다시 처음으로 돌아가 ‘내부자 위협이란 무엇인가’를 정의하는 것부터 시작해야 한다”고 말한다. “사이버 위협을 다루는 현대의 툴들은 대부분 조직 외부의 악성 행위자들을 대상으로 한 것입니다. 즉 정찰과 침투가 선행되어야 하는 사람들이죠. 내부자는 다릅니다. 이미 정찰과 침투를 다 이룬 사람들이에요. 어디에 뭐가 저장되어 있는지 정확히 알고 있다는 것입니다. 그러니 외부자 위협과는 별개로 취급해야 합니다.”

래드클리프는 “내부자 위협을 탐지하려면 조직 내에서 일어나는 정상적인 행위들부터 점검하는 게 중요하다”고 강조한다. “즉 직원들이 어떤 공간에서, 어떤 방법으로, 어떤 데이터나 시스템을 활용해, 어떤 시간대에 일을 하는지 알아야 한다는 겁니다. 그래야 그 범주에서 벗어나는 비정상적인 행위를 파악할 수 있습니다.”

하지만 “어떤 행위”가 중요한 게 아니라 “왜 그런 행위를 하는가”가 내부자 위협을 다룰 때는 더 중요하다고 래드클리프는 재차 설명한다. “내부자 위협이 발생하는 건, 일이 너무 과중하게 몰려서 마음에 여유가 없을 때, 회사에 대한 불만이 쌓였을 때, 외부적인 사건 때문에 심적으로 부담감이 심할 때 등 ‘감정적 요인’ 때문입니다. 이 ‘왜’를 놓치지 않는 게 핵심입니다.”

래드클리프는 “그래서 내부자 위협은 많은 조직들에게 축복”이라고 말한다. “내부자를 막으려고 진정으로 노력하다보면, 조직을 좀 더 훤하게 알게 되거든요. 내부자 위협을 어떻게 다루느냐에 따라 보다 결속력 강한 조직이 될 수 있고, 정 반대의 결과가 나올 수도 있습니다. 그러니 단순한 문제가 될 수가 없습니다.”

3줄 요약
1. 내부자 위협과 외부자 위협의 가장 큰 차이는 ‘정찰과 침투’라는 전제 조건.
2. 내부자 위협을 탐지 및 방지하려면 ‘what’보다 ‘why’에 초점을 맞춰야 함.
3. 누구나 가지고 있는 ‘감정의 버튼’을 보호하는 게 핵심.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)