최근 한 컴퓨터 게임 애호가들 사이에서 국가 기밀이 나타나 퍼지기 시작했다. 최초 유포자는 주방위군 소속 군인이었다. 자신의 지위를 활용해 아무도 모르는 이야기를 캐내 자랑스레 떠벌리고 다닌 것이었다. 이런 내부자가 국방부에만 있었을까?

[보안뉴스 문정후 기자] 미국의 주방위군 소속 군인 한 명이 미국이라는 국가의 가장 중요하고 민감한 기밀을 아무렇지 않게 누설한 이후, 보안 전문가들은 내부자 위협으로부터 기밀이나 지적재산을 보호할 수 있는 가장 좋은 방법이 무엇인지 고민하기 시작했다. 21세 주방위군 근무자였던 잭 테세이라(Jack Teixeira)가 게임 채널을 통해 공개한 기밀은 현재까지 수만 명이 열람한 것으로 알려져 있다.


이런 일이 기업에서 일어나면 어떻게 될까? 어떤 기밀이 어떤 방식으로 누구에게 유출되었는지에 따라 다르지만 매우 좋지 않은 일이 일어나는 게 보통이다. 물론 국가 기밀이 새나간 것과 회사의 지적재산이 빠져나간 것에 대한 언론과 대중들의 반응은 다르겠지만, ‘권한을 가진 내부자가 일을 저지른, 막기 힘든 사건’이라는 점에서는 비슷하다. 이런 내부자 위협은 보안의 오랜 숙제다.

제로트러스트와 행동 분석
보안 업체 옴디아(Omdia)의 수석 콘텐츠 국장인 맥신 홀트(Maxine Holt)는 “내부 위협으로부터 데이터와 네트워크를 방어한다고 했을 때 첫 손에 떠오르는 방법은 제로트러스트와 행동 분석”이라고 말한다. “제로트러스트를 도입하면 아무리 내부 자료에 대한 권한을 가진 내부자라고 하더라도 쉽사리 악성 행위를 실시할 수 없게 됩니다. 행동 분석 기술과 조합이 되면 방어력은 더더욱 상승합니다.”

계속해서 홀트는 “지적재산을 철저히 보호하려면 제로트러스트가 필수”임을 강조한다. “지적재산은 핵심 중 핵심을 차지하는 정보입니다. 원래부터 내부자들조차 쉽게 접근할 수 없는 게 맞습니다. 그러므로 이런 정보를 둘러싼 제로트러스트 원리는 사무실에서 내근을 하든 재택 근무를 통해 외근을 하든, 지위 고하를 막론하고 언제 어디에서나 적용되어야 하는 기본 개념이라고 할 수 있습니다. 너무나 중요한 정보에 접근하려는 바로 그 때, 인증을 신청하는 사람이 정말 그 사람이 맞는지 확인하는 건 반드시 있어야 하는 절차입니다.”

마이크로소프트의 전 CIO인 짐 듀보아(Jim DuBois) 역시 제로트러스트를 강조한다. “제로트러스트라는 개념 자체가 내부 위협이라는 것에 대응하기 위해 만들어진 개념입니다. ‘내부에 있는 사람이라고 해서 무조건적으로 신뢰하기 힘들다’는 것이 제로트러스트의 골자이니까요. 이것을 조금 더 확장하면 ‘이전에 인증을 받은 사람이라고 해서 이번에도 무조건 인증되는 건 있을 수 없는 일’이라고 볼 수 있습니다.”

듀보아는 이 제로트러스트라는 게 네트워크 인증에만 도입되는 개념이 아니라고 설명을 이어간다. “각종 인증 문제에 있어서도 제로트러스트가 도입되어야 하는 건 맞습니다. 하지만 기업들은 이것보다 한 발 더 나아가야 합니다. ‘우리 직원은 언제고 회사에 해코지를 할 수 있다’는 걸 염두에 두어야 합니다. 당장은 악의가 없을 수 있습니다. 하지만 언제 어떤 사람이 접근해 대가를 주면서 나쁜 일을 사주할 지 모릅니다. 그런 사례가 너무나 많은 게 현실이기도 합니다.”

홀트는 지난 한 해 침해 사고를 경험한 바 있다고 한 기업이 91%인 것으로 조사됐다고 말하며 “그 중 약 40%는 내부자와 관련이 있었다”고 강조한다. “물론 직원이 마음 먹고 내부에서부터 회사를 공격한 사례는 그 중에서도 일부에 불과합니다. 보통은 자기가 다니고 있는 회사를 직접 공격할 만한 사람은 그리 많지 않죠. 하지만 침해 사고의 절반 가까이가 내부에서부터 시작되었다는 사실 자체에는 변함이 없습니다. 내부 단속이 보안의 중요한 부분을 차지하고 있다는 뜻이죠.”

평판 vs. 책임
미국 국방부의 주요 문건이 유출된 사건 때문에 미국 정부의 보안 능력 자체에 대한 신뢰도는 크게 하락했다. 전쟁과 관련된 주요한 정보들이 섞여 있었기 때문에 누군가는 목숨을 위협받고, 심지어 잃을 지도 모르는 상황이다. 그런 일이 정말로 벌어진다면 그 신뢰도는 더욱 크게 떨어질 것이 분명하다. 이런 일이 기업에서 발생했어도 비슷한 현상이 비슷한 순서로 나타난다. 요즘 ‘보안 사고’는 곧 기업 평판 훼손으로 이어진다.

무슨 뜻인가. 보안 사고에 대해 공개한다는 것이 기업으로서는 상당히 어려운 일일 수밖에 없다는 것이다. 정보를 낱낱이 공개해 지역 사회 전체에 공격이 퍼지는 것을 사전에 막는다는 것은 매우 숭고한 일이지만, 그 과정에서 날아가는 평판을 생각하지 않을 수 없다. ‘저 회사는 보안 사고를 당했지만, 그걸 다 알려서 공격이 퍼지지 않게 했어’라고 하며 박수치는 소비자는 극소수이고, ‘사고를 당했을 정도면 얼마나 허술한거야’라고 손가락질 하고 돌아서는 소비자는 대다수다. 그래서 수많은 기업들이 침해 사고를 되도록 숨기려 한다.

이번 달 초 보안 업체 비트디펜더(Bitdefender)가 발표한 보고서에 의하면 “기업 내 사이버 보안 담당자의 40% 이상이 ‘보안 사고를 비밀로 하라’는 지시를 회사 경영진으로부터 받은 바 있다”고 한다. 홀트와 듀보아 모두 “매우 암울한 지표이지만 새삼스러울 것이 없다”고 말한다. “보안 사고로 잃는 것보다, 고객들의 신뢰 하락으로 잃는 게 더 많다는 게 경영진들의 일관된 생각입니다. 정보를 공유해 뭔가를 얻어가기는커녕 잃기에 바쁜데 누가 정보를 공유하겠습니까.” 듀보아의 말이다.

그래서 홀트는 사고 보고와 공유를 규정으로 정해 강제시켜야 한다고 주장한다. “하지만 규정으로 강제한다고 다 해결되는 건 아닙니다. 보안 사고를 공유하려다 보면 개인정보나 민감 정보를 불가피하게 어디론가 전송해야 할 수도 있습니다. 이 때문에 규정과 법이 충돌하게 되고, 그 자리에서는 정보 공유가 제한되는 쪽으로 결론이 날 가능성이 높습니다. 사고 사실을 알리기 싫은 기업은 어떻게 해서든 이렇게 ‘공유를 하지 않아도 되는 방향’을 모색하고 꼼수를 부릴 겁니다.”

홀트는 “익명 보고 시스템이 있다면 보안 사고를 쉬쉬하려는 기업을 조금 변화시킬 수 있을 지도 모른다”는 의견이다. “정보를 공유하지 않으면 어마어마한 벌금을 내야하는데, 익명으로 공유할 수 있어서 평판 훼손에 대한 위험이 적어진다면 기업들이 어떻게 할까요? 다들 기꺼이 정보를 공유한다고 할 겁니다.”

글 : 셰인 스나이더(Shane Snider), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>