• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

항상 존재하지만 항상 무시되어 온 내부의 위협 2014.11.17

악의를 가졌든 순수한 실수이든, 내부자 사고 피해 규모 커

미국 국방부, 내부 위협 줄이기 위해 법적 장치 마련

 

[보안뉴스 문가용] 1953년 6월 미국의 만화가인 월트 켈리(Walt Kelly)는 자신이 연재하던 4컷 만화 포고(Pogo)를 모아 포고 페이퍼스(The Pogo Papers)라는 책을 발간했는데, 그 서문에 인간의 약함에 대해 적어놓은 부분이 있다. 그 중 일부를 발췌해 본다.

 

 ▲ “아, 포고, 태고의 숲이 간직한 아름다움이 마음으로 느껴져.”

   “난 발로 느껴지는 걸.”

   “이것들을 보니, 발이 아프다는 말에 공감.”

   “그러니까. 이제 알겠지? 우리의 적은 우리 자신이라는 걸.”

                                                                  by 월트 켈리(지구의 날을 맞아, 1971년 작)


“전진을 고집할 이유가 없다. 우리를 인간으로 만드는 것들은 이상하게도 항상 우리 주위에 있기 때문이다. 작은 깃발들이 휘날리고 작은 나팔에서 쇤 바람소리가 나는 바로 이곳에서 우린 우리의 적을 만날 채비를 해야 한다. 다름 아닌 우리 자신을 말이다.”


무려 60년이나 전에 한 만화가의 손끝에서 나온 이 말이 오늘날의 보안업계에도 울림을 주는 것은 우리가 바로 우리 자신의 적이라는 처절한 때를 지나고 있기 때문이다. 소프트웨어 엔지니어링 기관(Software Engineering Institute)에서 2012년 조사한 바에 따르면 내부자로 인한 피해 규모는 막대하다. 내부자 공격 1회는 평균 32개월이나 감지되지 않고, 382,750달러에서 479,000달러까지의 피해를 입힌다. 게다가 내부자 공격의 1/3은 개인식별 정보가 목표였다는 게 더 소름끼친다.


이것만 해도 골칫거리로서도 충분한데 점점 더 나빠지는 게 현실이다. 위의 조사 내용 중 내부 공격이란 악성 내부자만을 말하는 것이기 때문이다. 즉, 악의 없이 순수 부주의나 실수로 인해 발생하는 ‘내부자 공격’은 포함되어 있지 않다는 것이다. 이는 패치를 한 템포 늦게 했다거나, 악성 이메일을 생각 없이 열었다거나, 수상한 링크를 무심코 눌렀다거나 하는 행동을 포함한다.


악의가 없는 내부자의 ‘실수’라고 하더라도 그 후폭풍은 만만치 않다. 2013년 12월 포네몬에서 발간한 보고서에 따르면 APT 공격으로 받은 피해를 복구하는 데에 드는 비용은 1천 8백만 달러까지 이를 수 있는데, 이중 50%는 피싱 및 스피어 피싱 공격으로 시작되는 것으로 드러났다. 즉 보안에 대한 습관이 덜 든 내부 사용자의 작은 부주의함으로 시작되는 사고가 반 이상이라는 것이다. 게다가 이런 보고서에서 제시하는 피해액이란 ‘계산이 가능한’ 영역의 액수일 뿐이다. 악의를 가지고 있든 그렇지 않든, 이들이 끼친 피해를 전부 정확한 액수로 환산한다는 건 불가능하다.


이처럼 내부 공격자로부터 일어나는 사건의 빈도나 피해규모가 만만치 않은 것이 사실이지만 이를 줄이기 위한 국가 차원에서의 노력은 거의 없어왔다. 정책이나 규제를 만들어 본 적도 없다. 하지만 최근 미국 국방부가 보안국을 통해 미국 보안정보관리지침을 새롭게 설정함에 따라 분위기가 환기될 전망이다. 보안정보관리지침이란 정부와 계약을 맺고 일하는 모든 사업자들이 표준, 절차, 필수 사항을 올바로 이해 및 설정하고 교육을 받을 수 있도록 하는 것이다.


특히 이중 ‘변화에의 순응 2(Conforming Change 2)’라는 부분에는 모든 미국 정부 계약자들이 내부 위협 요소에 대해 철저히 파악해야 한다는 내용도 포함되어 있다. 파악할 뿐 아니라 통합하고 보고함으로써 행정 명령 13587을 준수할 것을 당부하고 있다. 이는 억제력을 가지고 있는 필수요소다. 또한 앞으로는 내부 위협 요소를 항시 감시하고 제거할 수 있는 업무를 맡은 사람도 필수로 임명해야 하며 계약자들은 다음과 같은 위협 정보를 항상 기록하고 저장해 언제든지 제공할 준비가 되어 있어야 한다.


- 방첩 및 보안 기록

- 네트워크 데이터

- 직원들의 기록


또한 ‘변화에의 순응 2’ 항목에서는 내부 위협에 대해 직원 교육을 고용 후 혹은 중요한 정보에 접근 권한이 주어지기 30일 이내에 반드시 시킬 것을 명시하고 있다. 이때 교육할 내용은 다음과 같다.


- 적용 가능한 법적 사례를 포함한 방첩 및 보안의 기본사항

- 내부 위협이 발견되었을 때 취해야 하는 행동 절차

- 기록과 데이터의 수집, 통합, 유지, 보호, 활용에 대한 법률 및 규칙, 오용의 결과

- 자유주의 논리와 프라이버시 관련 정책

- 내부 위협의 감지와 보고


또한 계약자들이 네트워크에서 일어나는 활동들을 감시해야 할 필요도 생겼다. 물론 내부 위협을 발각하기 위해서다. 대대적인 변화라고 할 수 있는 ‘변화에의 순응 2’가 과연 내부자에 의한 사고를 얼마나 줄일 수 있을까? 당분간은 큰 효과를 기대하기 힘들 것이라는 게 전문가들의 의견이다. 다만 내부 위협에 대해서 항상 필요했었던 정책이나 규제 부분이 채워졌다는 것에 적지 않은 의미가 있다는 분석이 대다수다. 내부 위협자에 대한 심각성을 슬슬 깨달아간다는 것만으로도 나쁘지 않은 움직임은 분명하다.


글 : 아담 파이어스톤(Adam Firestone)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>