Home > 전체기사
[RSAC 2020] 미국 국무부가 밝히는 내부자 위협 관리 비법
  |  입력 : 2020-02-27 18:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
관리자의 책임이 가장 막대해...평소 실수나 극단적 결정 나올 수 있는 상황 제거해야
개인의 일탈이나 실수라고 치부하기만 하면 해결되지 않아...조직 차원에서 방법 찾아야


[보안뉴스 문가용 기자] 누구나 악성 내부자가 될 수 있다. 실수든 일부러 그러든 조직의 입장에서는 악성 요소가 될 수 있다는 것이다. 미국 국무부의 정책 고문관인 그렉 콜린스(Greg Collins)는 현재 샌프란시스코에서 열리고 있는 보안 전시회인 RSAC에 나와 “국무부에서는 국무부 네트워크에 어떤 형태로든 접근할 수 있는 모든 사람을 ‘내부자’라고 정의하며, 이들로부터 나오는 잠재적 피해 행위 모두를 ‘내부자 위협’이라고 부른다”고 발표했다.

[이미지 = 보안뉴스]


“단순히 기술 문제도 아니고, 단순히 보안 문제만도 아닙니다. 게다가 개인의 일탈로만 치부할 수도 없는 문제입니다.” 국무부의 내부자 위협 프로그램 책임자인 재키 아틸즈(Jackie Atiles)의 말이다. “내부자 위협 사건들을 조사해보면, 어느 정도 ‘전조’가 있음을 알 수 있습니다. 이를 미래 공격 발생 가능성에 대입시키는 게 가능합니다.”

콜린스는 “전조들은 직원의 생애주기 전반에 걸쳐 충분히 드러난다”고 강조한다. 콜린스와 아틸즈는 RSAC 강연에서 가상의 내부자 위협 시나리오를 설정하고 자신들의 강연을 이어갔다. “직원이 민감한 내부 데이터가 포함된 이메일을 회사 밖 누군가에게로 보내는 일이 종종 벌어지죠. 실수로 하는 사람도 있고, 악의적으로 하는 사람도 있습니다. 이건 예측도 불가능하고, 따라서 효과적 방어 전략이라는 게 딱히 존재하지도 않습니다. 이런 사례를 예로 들어봅시다.”

콜린스와 아틸즈는 “제일 먼저 사고를 친 개인의 이름을 최대한 감추는 것부터 시작해야 한다”고 말한다. “일단 당사자에게 악의가 있었는지 없었는지 파악이 되지 않은 상태에서는 괜한 오해가 없도록 이름을 가리는 게 급선무입니다. 안 그러면 불필요한 피해가 그 사람에게 갈 수 있습니다. 그런 다음 사건을 재현하거나 추적해가면서 정확히 어디서부터 일이 잘못되기 시작한 것인지 파악해야 합니다.”

그러나 사건의 근본을 파헤친다고 최초 고용 시점으로까지 갈 필요는 없다. “먼저는 현재 갖춰진 보안 장치들에서부터 조사를 시작하세요. IT는 정보가 밖으로 나가는 것에 있어서 가장 마지막에 위치한 방어선입니다. 이 마지막 방어선을 넘어가는 ‘전송’ 버튼을 누르기 전에, 분명히 사람들이 취하는 행동 혹은 취해야 하는 행동이라는 게 있습니다. 그 행동과 관련된 키워드를 찾으세요. 경쟁사 이름이라든가, ‘첨부파일’, ‘비밀’과 같은 것들이죠. 거기서부터 ‘첨부된 파일에는 어떤 내용이 있었나?’, ‘당사자가 이런 내용의 업무를 자주 수행하는가?’, ‘비밀이라는 말이 자주 사용되는 상황인가?’ 등을 조사해야 합니다.”

그러면서 사건과는 조금 다른, 어떻게 보면 외부 요소라 할 수 있는 것들도 조사해야 한다. “사건을 저지른(아직 고의인지 실수인지는 모르는 시점이다) 당사자가 어떤 고민을 하고 있었으며, 어떤 스트레스를 받는 상황에 몰렸는지 확인하고, 그에 대한 지원을 받고 있었는지 여부를 알아내야 합니다. 스트레스가 심각한 상황에서 사람은 평소 하지 않던 실수를 저지를 확률이 높습니다. 시야가 좁아지면서 벌어지는 일이죠. 사실 이는 회사가 평소에도 내부자 위협 사고 방지를 위해 해야 하는 일이기도 합니다.”

“관리자들은 괜히 ‘관리자’인 게 아닙니다. 직원들을 관리해야죠. 관리라는 게 ‘일을 시킨다’는 뜻만은 아닙니다. 늘 직원들의 상태를 주시하고, 실수나 돌발 행동의 가능성을 최대한 낮춰야 합니다. 하나 주의해야 할 건, 내향적인 성격을 가진 사람과 모든 것을 감추려는 사람을 구분할 수 있어야 한다는 겁니다. 하루 종일 자기가 하는 일을 감추려 드는 사람은 내향적인 게 아니라 수상한 겁니다.”

그러면서 아틸즈는 “조용한 성격이든 사교성이 높은 성격이든, 누구나 소속감을 느끼고 싶어 한다”고 힌트를 준다. “관리자의 가장 큰 역할은 그 소속감을 충족시켜주는 것입니다. 모두가 ‘난 이 조직에 속한 사람’이라는 느낌을 가지고 있어야 해요. 소속감이 강한 사람이 내부자 위협으로 변하는 사례는 그리 많지 않습니다. 이게 내부자 위협을 없애는 핵심 가치라고 생각합니다.” 그러면서 아틸즈는 “소속감 강화를 위해서 할 수 있는 일에 정답은 없지만, 나가서 술먹고 단합대회 하는 것만으로는 얻어질 수 없는 것”이라고 덧붙이기도 했다.

콜린스는 “직원에 대한 검사와 훈련만 제대로 해도 사건을 높은 확률로 예방할 수 있다”고 말한다. “보안 인식 제고, 데이터 처리, 다양성 존중, 양성평등, 능력 계발 등 교육의 주제는 무궁무진합니다. 그것이 무엇이 됐든, 훈련을 통해 점점 더 나은 사람이 되는 것만으로도 위협은 유의미하게 줄어듭니다. 그러니 회사에서 주기적으로 교육에 투자해 인원들의 역량 강화를 꾀해야 합니다. 자기가 이 조직에 있음으로써 더 가치 있는 사람이 된다고 느끼면, 그것이 소속감으로 이어질 수도 있습니다.”

아틸즈는 “여기까지 조사를 진행했는데도 이상한 점이나 사건의 계기가 나오지 않았다면 고용 단계에까지 거슬러 올라가야 한다”고 말한다. “이력서를 받고 면담을 하는 과정에서 조직들은 예비 합격자에 대한 조사를 보다 꼼꼼하게 진행해야 합니다. 합격 통지를 보내기 전에 사고를 칠 만한 사람이 아니라는 걸 충분히 확인해야 한다는 겁니다. 누군지도 모르는 사람과 일하면서 사고가 안 나기를 바란다는 건, 조직에 대하여 무책임한 것입니다.”

물론 이것이 불법적인 뒷조사가 되면 안 된다. 법과 규정이 정한 테두리 안에서, 될 수 있으면 외부 고문 등을 통해 ‘이 정도 수준이면 괜찮다’는 답을 듣고 조사를 진행하는 게 안전하다. “나라와 지역마다 조금씩 다르긴 하지만 범죄 기록, 재정 관련 서류, 배경 확인, 해외 여행 이력 등을 열람하면 그 사람에 대한 윤곽이 잡힙니다.”

아틸즈는 “대부분의 내부자 위협 사건의 조사 과정은, 평소 예방 차원에서 할 수 있는 일들을 많이 포함하고 있다”고 말한다. “내부자 위협을 막을 수 있는 핵심 인원은 개개인이 아니라 관리자들이라고 생각합니다. 사람이 어떤 상황에서 극단적인 결정을 하는지, 아니면 어이없는 실수를 하는지, 평소부터 이해하고 있는 게 중요합니다.”

3줄 요약
1. 미국 국무부, “누구나 내부자 위협으로 변할 수 있다.”
2. 기술적으로 막으려면 한계가 뚜렷. 인간적 요소들도 같이 고려해야 함.
3. 내부자 위협을 방어하는 데 있어서 가장 중요한 역할을 하는 건 ‘관리자’들.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)