성벽 안으로 아무리 들어오라고 외쳐도 소용이 없다. 이미 원격 근무가 활성화 된 상태이니, 그 답답한 공간 안으로 굳이 들어갈 이유가 없다. 그렇기에 안에서 바깥 영역까지 보호하기 위해 CISO들은 발을 동동 구를 수밖에 없게 됐다.

[보안뉴스 문정후 기자] 어쩌면 당신의 상사는 ‘워라밸’의 가치를 충분히 존중하는 사람일 지도 모른다. 하지만 사이버 범죄자들은 절대로 그렇지 않다. 이들은 당신이 쉬고 있을 때든 업무에 쫓기고 있을 때든 가리지 않고 공격을 시도한다. 친구나 부모, 형제, 가까운 지인들을 사칭해 당신에게 접근해 딱 한 번만 속기를 희망한다. 하지만 최종 목표는 당신이 아니라 당신이 다니고 있는 회사다. CISO들은 조직 내 임직원들이 이런 식의 공격에 항상 시달리고 있다는 걸 인지하고 보호 계획을 세워야 한다.


혹시 직원 한 명을 통해 기업 전체 네트워크로 진입하려는 공격자들의 시도가 허상이나 먼 나라의 이야기로 생각한다면, 글쎄올시다. 세계에서 손꼽히는 IT 기술력을 가졌다 하는 기업들이 최근 연달아 소셜 엔지니어링 공격에 당하고 있다. 2023년 한 해 동안 이런 기업들은 더더욱 늘어날 것이다. 당분간 소셜 엔지니어링 기법은 사이버 공격자들이 가장 즐겨 사용하는 최초 침투 기법으로 남아 있을 전망이기 때문이다. 전망을 이리도 확신에 차서 이야기 하는 건 두 가지 이유 때문이다.

1) 소셜 엔지니어링 공격은 비용이 저렴하다.
2) 공격 성공률이 높은 편이다.

싸고 효과가 좋은 방법인데, 공격자들이 마다할 이유가 없다. 원래 회사의 직원들을 속이려 들 때 가장 많이 악용된 건 이메일이었다. 하지만 이메일 보안 기능이 강력해짐에 따라 공격자들은 다른 경로를 모색하기 시작했고, 그러면서 임직원 개개인이 사적으로 유지하고 있는 통신 채널들을 건드리게 되었다. 문자 메시지나 소셜미디어, 링크드인 프로파일 등이 바로 그것이다.

이런 사적인 통신 채널의 공통점은 무엇일까? 기업 네트워크 바깥 영역에 위치하고 있다는 것이다. 그러니 기업이 마음대로 드나들 수도 없는 곳이다. 조금이라도 잘못 움직였다간 사생활 침해로 신고 당할 테니까 말이다. 직원들이 사이버 공격에 당하지 않도록 보호하면서도, 프라이버시까지 존중해 주어야 한다는 뜻이다. 이 밸런스 잡기는 ‘워라밸’보다 훨씬 어렵다. 그래도 기억해야 할 것이 두 가지 있는데, 이는 다음과 같다.

1) 보안과 관련된 실수나 잘못에 대하여 질책하지 않아야 한다. 또한, 이미 벌어진 사건이나 행한 실수에 대해 기업에 보고할 때 벌칙 걱정을 하지 않도록 해야 한다. 보안 사고는 언젠가 반드시 일어나게 되어 있다. 그 어떤 조직도 100% 안전할 수는 없다. 그러니 차라리 사고를 친 사람이 자진 납세라도 빨리 하도록 권장하는 게 현실적이다. 그러려면 보안과 관련된 실수나 오류를 저질렀을 때 책임을 물게 하는 것이 아니라 다 같이 문제 해결에 나서는 조직 문화가 있어야 한다. 그래야 외부에 있는 임직원들이 망설이지 않고 불상사를 알릴 수 있게 된다.

2) 개개인이 기본적인 정보보호 습관을 가지고 있어야 하고, 이를 조직 차원에서 향상시켜 주어야 한다. 이 때 가장 간단하고 따라해 봄직한 절차들을 알려주는 게 중요하다. 과정이 너무 어렵고 추상적이면 생겼던 의욕도 도망간다. 외부 임직원들이 기업 데이터를 가져가야 할 때, 해당 데이터를 CISO가 미리 검사하고 배포하거나, 반대로 외부에서 데이터를 보낼 때도 CISO가 미리 확인하는 식으로 사이버 자산을 중간에서 관리한다면 개개인에 대한 의존도가 낮아질 수 있다.

프라이버시, 어떻게 존중해줄 수 있을까?
보안에 있어서 가장 중요한 요소 중 하나는 신뢰다. 이게 없으면 보안은 보안이 아니라 선을 넘는 참견, 더 나아가 심각한 사생활 침해 요인이 된다. 즉 보안은커녕 위협 요소가 된다는 것이다. 직원의 계정과 장비를 보호한다고 했을 때 어느 정도 선에서는 그들의 보안 능력을 신뢰해줄 필요가 있다. 또한 직원들도 여기에 신뢰로 응해야 한다. 기업이 넘어오지 못하는 영역 내에서 갑자기 허술한 태도를 유지하면 해커들에게는 초대장을 날리는 것이나 다름이 없다.

기업이 직원의 신뢰를 얻으려면 늘 안정적으로 예측 가능한 범위 내에 있고, 투명성을 유지해야 한다. 직원은 9시부터 근무 시간이 시작된다는 것을 굳게 믿고 있는데 갑자기 예고도 없이 10시로 바뀌고 또 다음 날은 8시가 된다면 신뢰에 금이 간다. 근무 시작 시간이 들쭉날쭉한 이유에 대해서 일언반구도 없으면(즉 투명하지 않으면) 금은 더 깊고 분명해진다. 이런 부분이 잘 지켜지는 기업이라면 직원들이 좀 더 기업을 믿게 되고, 그럼으로써 개인 영역을 보호하려는 기업의 움직임을 쉽게 받아들일 수 있게 된다.

그런 의미에서 보안 프로세스 역시 투명하고 논리적으로 마련되어야 한다. 상황에 따라 혹은 사람에 따라 보안 규정이 달라진다면, 그 누구도 개인 장비나 소셜미디어 계정의 보호를 회사에 의뢰할 수 없게 된다. 내게 적용될 보안 기준이 어느 정도 예상 범위 내에 있어야 심적 거부감이 덜하게 된다. 보안 프로세스가 투명하고 잘 정립되어 있으면 사건 발생 시 신고도 빨라진다. 누구에게 말해야 하는지가 명확하기 때문에 시간 낭비가 없어진다. 그만큼 보안 팀이 대처할 시간이 많이 주어진다는 소리다.

공격자들은 앞으로도 계속해서 소셜 엔지니어링 기술을 가다듬고 나타날 것이다. 그리고 성공할 때까지 반복할 것이다. 직원 중 한 명은 분명히 당한다. 기업들은 그런 직원 한 명에게 일어난 불상사가 회사에 심각한 문제를 가져다줄 수 있음을 인지하고 방어 계획을 세워야 한다. 책임자를 물색해서 퇴사시킬 테니 알아서들 잘 막으라고 해 봐야 아무런 소용이 없다. 결국 아쉬운 건 회사다. 회사 바깥에 있는 이들을 보호하기 위해 좀 더 많은 것을 고려해야 한다.

글 : 조시 야보르(Josh Yavor), CISO, Tessian
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>