Home > 전체기사

보안 윽박지르기와 책임자 색출, 보안 향상에 도움 안 된다

  |  입력 : 2021-05-28 16:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 사고로 이어지는 실수는 ‘나쁜 것’으로만 취급되고 있다. 그러다 보니 사람들을 위축시키고 보안에 대한 거부감이 커져가고 있다. 보안에 대한 전체적인 ‘톤’ 조절이 필요하다. 사고 책임자를 찾아내는 대신 보안 영웅을 키우는 방향은 어떨까.

[보안뉴스 문가용 기자] 신뢰할 수 있는 네트워크에서 데이터가 갑자기 어디론가 사라졌거나 엉뚱하게 이동했을 때, 보통은 ‘수상하다’거나 ‘악의적인 뭔가가 있다’고 생각되기 마련이다. 실제 이런 식으로 사라진 데이터에 대한 소식은 우리가 신문에서 늘 접하기도 한다. 그래서 데이터가 새나갔다는 게 알려지면 우린 자동으로 ‘나쁜 놈’을 찾게 된다. 그런데 현실 세계에서 발생하는 데이터 유출 사고에서 대부분은 ‘나쁜 놈’이 존재하지 않는다. ‘실수한 사람’은 있어도 말이다.

[이미지 = utoimage]


대부분의 임직원들은 회사나 조직에 해코지를 하려는 의도를 갖고 있지 않다. 전부가 애사심이 넘치는 건 아니겠지만, 악의를 갖는 건 또 다른 문제다. 보통은 불만을 다른 방식으로 풀지 회사 데이터를 일부러 빼돌리는 식으로 앙갚음하지 않는다는 것이다. 2020년 발생한 모든 데이터 유출 사고의 17%는 순수한 실수로 인해 발생한 것으로 밝혀졌다. 신입 직원이 의욕에 넘쳐서 집에 가서 임무를 완수하려고 아이클라우드에 회사 정보를 올린 것이 발단이 되었다든가, 코로나 때문에 집에서 일하던 동료들끼리 협업을 시도했다든지 하던 것이었다.

내부 임직원이 언제고 우리 지적재산이나 개인정보를 빼돌릴지도 모른다고 의심의 눈을 켜고 보안 업무를 담당하는 건 ‘보안에 대한 스트레스’를 가중시키는 원인이 된다. 게다가 악의가 아니라 실수로 인한 정보 유출 사고를 막을 수도 없다. 좀 더 나은 접근법이 필요하다. 그들의 열심을 꺾지 않고, 보안 스트레스를 가중시키지 않을 수 있을 만한 방법 말이다.

보안에 대한 긍정적인 느낌을 주는 문화는, 직원의 입사 첫 날부터 시작되어야 한다. 보안 정책과 규칙에 대해 설명을 할 때 ‘규정 위반’을 위주로 얘기하는 게 아니라 ‘조직 보호’ 차원에서 협조를 해야 한다는 방향성으로 하는 것이 좋다.

보안 담당자들이 사내 경찰이 아니라, 직원 한 사람 한 사람을 보호해 주는 존재가 되어야 하고, 이를 누구나에게 인지시키는 것도 중요하다. 그래서 보안 담당자들과 직원들이 서로 협조하는 관계를 만들어 줘야 한다. 일반 직원이라면 보안을 잘 모를 테고, 따라서 전문가의 도움이 필요할 것이니, 이 협조 관계라는 건 추상적인 것이 아니라 실질적이 되어야 한다. 어떤 질문을 누구에게 할 수 있는지 알려주고, 또 보안 담당자들은 그런 질문들에 답해줄 수 있어야 한다는 것이다.

뿐만 아니라 주기적이면서도 효과적인 사이버 보안 훈련을 조직 차원에서 제공하는 것도 필수적이다. 한 사람 한 사람이 보안 구멍이 되지 않게 하기 위해 한다는 식의 뉘앙스는 안 된다. 임직원 모두가 보안 전문가 및 보안 영웅이 될 수 있다고 톤을 조정하자. 미세한 차이지만 효과가 분명 다르다는 걸 알 수 있을 것이다. 데이터 탈취나 사건사고만을 다루지 말고 열심히 임무를 수행하다가 저질러지는 흔한 실수들을 알려주면서 ‘업무 능력 강화’ 차원의 교육을 하고 있다는 식으로 접근하는 것도 나쁘지 않다.

기업 내 문화가 투명하게 유지되는 것 역시 보안에 큰 도움을 준다. 게다가 장기적으로 긍정적인 효과를 발휘하기도 한다. 필자의 회사인 코드42의 경우 사내 파일을 어디론가 옮기거나 공유해야 할 때 - 그것이 사업적 이유이든 개인적 이유이든 - 먼저 관계자들에게 알릴 것을 권장하고, 비교적 잘 지켜지고 있다. 한 퇴사자는 회사 저장소에 저장해 둔 여러 개인 파일이나 사진들을 퇴사 시 가져갈 때도 보안 담당자들에게 알렸다. 그러니 서로 나중에 가서도 찜찜할 일이 전혀 없었다. 알리는 자도 책임을 다했고, 사소해 보이는 문제에 응해 주는 보안 담당자도 제 역할을 했다.

물론 교육과 투명성 추구가 모든 데이터 침해 사고를 예방해 주는 건 아니다. 누군가는 여전히 실수를 저질러 중요한 데이터가 밖으로 유출되는 일이 일어날 것이다. 그런 일이 일어날 때, 위에서 말한 것처럼 보안에 대한 개념을 달리 심어왔던 조직이라면 ‘혹시 악의가 있었던 건 아닐까?’라고 의심부터 하는 것도 부적절하다. ‘무슨 일을 어떻게 처리하려다가 이렇게 되었을까?’가 먼저 궁금해지고, 업무 프로세스 차원에서 이를 보완할 수 있는 방법을 공동으로(조직과 실수 당사자가 함께) 모색해 가야 한다. 너무 늦게까지 일을 시키는 건 아닌지, 너무 업무가 한 사람에게 집중되어 있는 건 아니었는지, 프로세스가 지나치게 기술적으로 난이도가 높았는지 등을 그 실수를 통해 검토해야 한다는 것이다. 조직이 이런 태도를 보이면, 보안에 대한 진심을 직원들이 알아준다.

보안 사고는 누구나에게 엄청난 골칫거리다. 밝고 희망차게만 처리할 수 없는 게 현실인 것도 분명하다. 그러나 보안 사고는 누군가의 일방적인 책임으로 발생하는 것도 아니고, 그렇게 후속 처리를 하는 게 효과적이지도 않다. ‘이런 사고를 치면, 네가 책임 독박을 쓰게 된다!’는 윽박지르기는 충분히 해 왔고, 그 반작용도 충분히 경험해 왔다. 이제 조금 접근법을 바꿔야 할 때다.

글 : 크리사 프리먼(Chrysa Freeman), Code42
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)