과도한 공유 습관 속에 비허가 정보 역시 오가

정보보안은 겉과 속을 모두 아우를 수밖에 없어

[보안뉴스 문가용] 보안담당자들의 골치를 썩이는 것 중 “은둔의 IT”라는 것이 있다. 보안담당자의 허가 없이 사용자가 임의로 사용하는 여러 가지 소프트웨어 및 애플리케이션, 혹은 모바일 기기나 클라우드 서비스를 Shadow IT 혹은 은둔의 IT라고 부른다. 그런데 이 은둔의 세계에 또 다른 것이 유입되고 있으니 바로 데이터다. 은둔의 데이터 혹은 Shadow data가 새로운 골칫거리로 떠오르고 있다.

은둔의 데이터란 다름이 아니라 과도하게 공유되고 있는 데이터를 말한다. 보안담당자가 데이터의 흐름까지 하나하나 파악할 수 없기 때문에 생기는 현상이다. 엘라스티카(Elastica)가 최근 발행한 보고서에 의하면 이렇게 ‘과도하게 공유되고 있는’ 데이터의 20%가 ‘통제된 정보’라고 한다. 즉 공유되어서는 안 되는 데이터라는 것이다. 게다가 이중 56%는 심지어 개인 식별 정보이고 29%는 개인의 건강 관련 정보이며 15%는 신용카드 정보라고 보고하고 있다.

그림을 좀 더 확장시켜보자. 사용자들이 클라우드에 저장하는 파일의 평균 개수는 2000개가 넘는다. 그중 9%에 달하는 185개는 광범위하게 공유되고 있다고 보고서에는 나와 있다. “데이터 공유를 위반하는 사용자는 생각보다 그리 많지 않습니다. 사실 리스크를 노출시키는 모든 경우의 85%는 겨우 5%으 사용자로부터 비롯됩니다. 그러니 그 적은 수의 사용자만 파악한다면 굉장히 많은 문제를 해결하는 게 가능합니다.” 아쉽게도 그 소수의 사용자들끼리 공통으로 가지고 있는 특성이나 성향에 대해서는 보고서를 통해 분석할 수 없었다.

“가장 놀라웠던 건 IT 기술이 얼마나 발전해있고, 애플리케이션의 수준이 어떻든 간에 사용자의 파일 공유 행동 패턴은 별반 다를 게 없었다는 겁니다. 사용자가 어떤 마음으로 어떤 습관을 가지고 어떻게 공유하느냐는 온전히 사용자에게 달려있다는 걸 발견할 수 있었습니다.”

가장 빈번하게 보이는 ‘파일 공유’ 형태는 바로 ‘폴더 공유’인 것으로 나타났다. 폴더를 통째로 공유하다보니 그 안에 들어있는 민감한 정보도 같이 공유가 되는 것이다. 또한 회사 클라우드에 민감한 정보가 담겨 있는데 로그인 정보를 바꾸지 않아서 퇴사한 직원들도 사실상 얼마든지 데이터에 접근할 수 있다는 문제점도 지적됐다. 파일로의 직접 링크, 파일의 디폴트 세팅이 ‘퍼블릭’인데 이를 따로 수정하지 않은 것도 중요 요인으로 꼽혔다.

엘라스티카는 보고를 마치며 이런 눈먼 데이터를 보호하려면 보안담당자의 마음가짐 자체가 송두리째 바뀌어야 한다고 말했다. “여태까지 우리가 하는 보안은 ‘표면 보안’일 수도 있습니다. 이제 그 알맹이까지도 우리 관할이 되어야 한다는 소리입니다. 겉과 속을 모두 아우르는 보안이 필요하다는 의미의 지표를 얻었다고 생각합니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>