무형 자산인 정보기술에 대한 가치가 높아지면서 이를 타깃으로 하는 보안위협이 급속도로 증가하는 추세이다. 최근 불거진 글로벌 경제 위기는 사이버 범죄자나 테러 집단 등 전문가를 고용하는 첩보활동과 인수합병 및 내부자 매수를 통한 정보 탈취의 불법 활동을 가속화시키고 있다. 이러한 때 내부자에 의한 보안사고를 막기 위해서는 그 동안 실시해왔던 보안 정책을 업그레이드할 필요가 있다.

우리 개인정보는 이미 중국시장에서 거래된 지 오래고, IT 강국의 첨단기술은 유출되어 경쟁국가와의 기술 격차가 좁혀지고 있다. 금전 획득이든 혹은 기밀 탈취가 목적이든, 정보유출은 이제 어느 한 조직만이 아닌 국가의 전 산업분야로 확산되고 있으며, 경제를 위협할 정도의 규모로까지 확대하고 있다.

앞으로도 개인정보 유출, 산업기밀 및 국가기밀의 유출, 해킹과 바이러스로 인한 피해는 더욱 심화될 것이 분명하다. 때문에 기업이 보유하고 있는 정보자산을 안전하게 지키기 위한 노력이 절실해지고 있다.

국가정보원 산업기밀보호센터에서 조사한 바에 따르면 2003년부터 지난해까지 적발한 산업기술 유출 건수는 총 166건이며, 피해액은 253조를 웃도는 수치이다. 보안사고에 대한 신고접수를 꺼려한다는 것을 감안해볼 때, 그 피해는 더욱 클 것으로 보인다.

기업이나 기관들은 해킹이나 바이러스와 같은 외부 침입에 대한 대응책 마련에는 공을 들이는 반면, 전·현직 직원이나 협력업체, 출입자에 대한 관리에는 소홀한 편이다. 대다수 조직들은 내부의 위협요소, 즉 내부자가 가지고 있는 보안의 위험성에 대해서는 간과하는 경향이 있다. 정보유출 사고의 70% 이상이 내부자에 의해서 발생된다는 보고에 비추어 봤을 때 이상한 현상이 아닐 수 없다.

내부자는 조직 네트워크의 취약점과 구축된 보안 인프라에 대해 잘 알고 있는 사람들이다. 정보에 대한 접근과 저장장치 사용이 자유로운 내부자를 활용한 정보 획득 시도는 더욱 증가하고 있는데, 이는 해킹보다 정보를 얻어내기 더 쉬운 방법이다.

IT 보안과 물리적 보안은 별개?

많은 조직이 해킹을 막기 위해 마련한 방화벽, IPS 및 VPN 등은 외부 침입을 막는 데는 효과적일 수 있다. 그러나 내부자의 소행을 완벽하게 탐지하거나 방지할 수 없다는 한계를 지니고 있다. 조직이 갖추어야 할 기본적인 보안대책으로 언급되는 전담 조직 구성, 시스템 구축, 체계 확립 또한 외부 위협에 대한 대응에 중점을 두고 있다.

한편, 시설 및 출입보안 등 내부자를 위한 물리적 보안대책은 원래 안전관리가 목적인 경우가 대부분이었다. 최근에 와서는 시설보호의 의미에서 더욱 확장하여 무형자산 보호 쪽으로 무게 중심이 이동하고 있다. 그러나 물리적 보안은 사이버 상에서 일어나는 각종 행위에 대한 모니터링이 불가능하다는 약점이 있다.

각종 보안 위협들은 지속적으로 증가할 것이 분명하고, 더욱 다양하고 지능적으로 발전할 것이다. 최근 발생하는 정보 및 기밀유출 사건들을 들여다보게 되면, 정보가 새어나가는 것을 방지하게 위해 열심히 노력했을지라도 어느 한쪽만 구축해서 운영했을 때엔 틀림없이 구멍이 생긴다는 것을 알 수 있다. 때문에 이에 대한 효과적인 대응방법과 정보유출에 대한 근본적인 차단방법이 필요하다.

‘물리적’ 보안과 ‘IT’보안은 그 동안 별개로 다루어져 왔다. 또한, 조직 내에서도 이 두 분야의 조직은 이원적으로 운영되어 왔으며 상호간 협력이 어려운 상황이었다. 그렇다면 서로의 단점을 보완하면서 장점을 배가시키는 융·복합 보안관제 기술이라면 어떨까?

1+1은 2이상의 시너지 효과가 있어야 한다

A와 B를 마구잡이로 합친다고 해서 시너지 효과(Synergy Effect)가 발생하지는 않으며, ‘1＋1’이 2 이상의 효과가 나야 할 것이다.

지금까지 따로따로 운영해왔던 IT 보안 영역과 물리적 보안 영역의 성공적인 융·복합 기술이 가능하다면 내부자에 의한 정보유출의 근본적 차단과 사고발생에 대한 경로 추적이 가능해질 수 있다.

조직의 정보 자산에 대한 라이프사이클 전 과정을 통합해서 관리하는 융·복합 보안관제 기술은 이제 정보유출 방지에 있어 새로운 대안이 되고 있다. 기술이 발달할수록 조직이 보유하고 있는 자산의 범위가 눈에 보이는 유형 자산을 비롯하여 무형적인 정보까지 확대되고 있기 때문이다.

융·복합 보안관제는 내부정보 유출감시 시스템과 각종 영상보안장비의 연동뿐 아니라, 입출입자의 정보를 분석하여 온·오프라인의 정보유출 시도를 원천적으로 차단하도록 지원하는 시스템이다.

또한, 사용자 기반의 프로파일링 분석을 통해 위험인물에 의한 사이버 범죄가 일어나기 전에 대응하여 손실을 최소화할 수 있는 방안을 제시한다. 사람에 대한 관리가 이루어지는 것이다. 혹시라도 내부자를 통해 기밀이 유출될 경우, 경로 추적을 시행하여 법적인 근거자료를 마련할 수도 있다.

내부 위협에 대한 이상 징후를 탐지하기 위해서는 출입통제에 대한 정보와 보안장비의 이벤트 및 인사정보간의 상관분석이 필요한데, 지금까지의 IT 보안 분야에서 진화를 거듭해 온 상호연관성 분석기술을 통해 이를 해결할 수 있을 것으로 생각된다.

또한, 융·복합 보안은 그 동안 이원적으로 운영됨으로써 협력이 불가능했던 물리적 보안 부서와 IT 보안 부서를 효율적으로 통합시키는 계기가 될 것으로 보인다. 부서의 통합을 통해 사고가 발생했을 경우에도 정보수집, 상황파악, 의사결정, 대응수행 과정에의 혼선을 대폭 줄이고, 위기에 대한 신속한 대응이 가능해질 것이다.

융·복합 보안기술에 대한 연구는 이미 개념적으로 많은 논의들이 이뤄져 왔으나, 실질적으로는 이제 막 시작됐다고 해도 과언이 아니다. 국내외 많은 기업들이 관심을 기울이고 있으며, 다양한 시도를 위해 준비 중에 있다.

앞으로 물리적 보안과 IT 보안의 융·복합을 통해 진정한 시너지 효과를 내기 위해서는 많은 연구개발이 진행되어야 할 것으로 본다.

사람이 ‘기본’

100% 완벽한 보안방안을 마련하는 것은 불가능하며, 투자에 대한 ROI 계산도 힘들다. 게다가 보안에 대한 강도를 높일수록 사용자가 느끼는 불편은 점점 커져간다. 그러나 한번의 보안사고로도 조직은 생과 사의 갈림길에 서게 될 수 있다. 때문에 조직구성원의 인식제고가 가장 기본이라고 할 수 있다.

아무리 제도나 시스템이 갖춰져 있다고 해도 마음만 먹으면 얼마든지 정보를 가져갈 수 있기 때문이다. 임직원 각자가 필요성과 중요성을 인식하고 자발적으로 참여할 수 있도록 상시적인 보안교육이 이뤄져야 하며, 더불어 신규채용이나 퇴직자 관리 등 중요한 인적보안 요소 관리에도 소홀해서는 안 될 것이다.

한편, 이러한 통제를 실시하기에 앞서 연구개발자를 포함한 모든 직원의 성과에 대한 적정한 보상체계를 마련한다면 우리경제를 위협하는 정보유출을 예방하여 보안에 있어 경쟁력을 갖출 수 있으리라 본다.

보안전담 부서나 개인의 노력만으로는 결코 보안수준을 높일 수 없다. CEO부터 시작하여 전 직원에 이르기까지 보안 실행의 주체인 기업 구성원 전부가 참여해야 한다. 특히, 최고경영자의 강한 의지가 조직의 보안 확립에 강력한 지원군이 될 것이다.

조직의 특성과 외부 환경에 걸맞은 보안정책을 수립하고, 융·복합 보안기술 등의 시스템 도입, 인적 요소에 대한 효율적인 관리를 실시한다면 내부정보 유출을 근본적으로 방지하고, 보안업무에 대한 시너지 효과를 기대할 수 있을 것이다. 

<글 : 류 진 아 | 이글루시큐리티 전략사업팀 과장(nodame@igloosec.com)>

[월간 시큐리티월드 통권 제150호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>