[보안뉴스 김경애] 아는 만큼 보인다. 아는 사람이 더 무섭다. 이 말은 상관관계가 크다. 기업 내부인력 중 핵심기술이나 기업의 중요 내부사항을 잘 알고 있는 인력은 임원급, 핵심인력, 관리자 권한이 있는 사람이다.

1. 내부인력, ‘아는 사람이 더 무섭다’

이들이 마음만 먹으면 내부정보를 유출할 수 있고, 기업의 핵심기술 정보를 빼돌릴 수도 있다. 누구보다 내부 상황을 잘 알고 있기 때문에 피하는 방법 또한 잘 알고 있다. 아는 사람이 더 무섭다는 게 바로 그 얘기다. 이는 그만큼 기업 내부인력이 가장 큰 보안위협 요소임을 의미한다. 상황이 이렇다 보니 기업의 보안업무를 담당하는 인력들이나 IT 보안전문가들의 가장 큰 고민이다.

보메트릭이 제시한 설문조사에 따르면, IT 보안전문가들의 가장 큰 보안위협으로 기업의 내부직원(48%)을 꼽았다. 두 번째로 높은 보안위협은 합법적으로 접근할 수 있는 제3계약자, 즉 외주업체가 44%로 그 뒤를 이었다. 세 번째로는 IT 관리자 및 기타 다른 권한이 있는 자가 38%를 차지하는 등 1, 2, 3위가 모두 사람이었다. 

이와 관련 롯데카드 최동근 최고정보보호책임자(CISO)는 “올해 초 발생한 카드 3사 개인정보 유출사고를 비롯해 대부분의 보안사고는 내부자에 의한 것”이라며 “정보보호를 위한 최우선 고려사항 중 한 가지는 내부 통제활동을 강화하는 것”이라고 밝힌 바 있다. 그만큼 내부인력이 최대의 보안위협으로 떠오르며, 제대로 관리되지 않는 두려운 존재로 부각되고 있다는 얘기다.

2, 기존 데이터 보안체계 한계

상황이 이렇다 보니 IT 보안전문가가 가장 선호하는 보호 기술은 다름 아닌 △접근 제어와 암호화 △인증 및 권한 관리다. 그러나 기존 데이터 보안체계는 한계가 있다. 이와 관련 보메트릭의 구병춘 부장은 △민감한 데이터에 대한 권한이 있는 사용자 접근을 차단하지 않고 △권한이 있는 사용자의 남용에 취약하며 △내부자 공격을 방지하기가 더 어렵다고 지목했다.

그럼에도 불구하고 여전히 불편한 현실이 보안담당자의 어깨를 짓누르고 있다. 바로 APT 공격처럼 갈수록 보안위협은 증가하고 있는 반면, 안전에 대한 고객의 기대치는 더욱 커지기 때문이다. 게다가 강화된 정책·제도를 따라가기 위해 컴플라이언스도 철저히 준수해야 한다.

3. 기술+관리+편리성 = 데이터 보호

그렇다면 기업의 보안담당자가 안전하게 데이터 보안관리를 하려면 어떻게 해야 할까? 이에 대해 구 부장은 △우수한 암호화 △강력한 접근제어 △안전한 키 관리 △보안 인텔리전스 △다양한 환경에 통합 운영이 가능한 편리성을 갖춘 보안시스템 구축체계가 선행되어야 한다고 제시했다.

구 부장은 “관리자 계정은 단지 백업만 가능하고 암호화된 데이터를 읽을 수 없도록 해야 하고, 기타 모든 접근에 대해 통제 및 감사 로그를 생성해야 한다”며 “데이터 저장소 내의 민감정보를 포함하는 PDF 파일에 대해 접근통제와 관리자 계정에 의한 데이터 조회를 통제해야 한다”고 설명했다.

이어 구 부장은 “웹 콘솔에서 간단한 설정만으로도 연동할 수 있고, 비정상적인 접근 패턴에 대해 실시간 알람으로 알려주는 등 연동을 통한 지능형 보안관리가 이뤄져야 한다”며 “다양한 환경과 상황에서도 안전하게 암호 키를 관리할 수 있어야 한다”고 강조했다.

데이터 보호와 관련된 보다 구체적인 사항은 오는 22~23일 양일간 코엑스 그랜드볼룸에서 개최되는 ISEC 2014(Information Security Conference 2014, 제8회 국제 사이버 시큐리티 컨퍼런스)에서 확인할 수 있다. 이번 행사의 사전등록 신청은 무료이며, ISEC 2014 홈페이지(http://www.isecconference.org/)를 통해 등록 가능하다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>