• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

벌써? 새해가 아직 1주일도 지나지 않았는데! 2015.01.07

모건 스탠리 사건, 깔끔하게 끝나긴 했으나

사람, 활동, 애플리케이션이 잘못 만났을 때 큰 피해 일어나


[보안뉴스 문가용] 새해가 밝다가 만 것처럼, 일주일이 채 지나기도 전에 내부 위협에 대한 지긋지긋한 경고음이 발생했다. 바로 모건 스탠리(Morgan Stanley)에서 일어난 직원 해고 사건이다. 부유층에 속하는 고객들의 자산 관리 상담을 해주던 직원이 약 10%에 해당하는 고객의 정보를 팔아치운 것이다. 그래서 약 900명의 정보가 인터넷에 공개되었다.

 


“2015년이 지난 지 이제 겨우 5일이 지났어요. 그런데 벌써 내부 직원에 의한 유출사고가 발생했네요. 그것도 세계에서 손꼽히는 금융 기업에서요.” 하이트러스트(HyTrust)의 회장인 에릭 치우(Eric Chiu)의 실망감 가득한 말이다. “데이터는 현대 사회의 새로운 화폐입니다. 그런데 이 화폐가 생각보다 손닿을 만한 곳에 아무렇게나 놓여 있죠. 가치는 화폐인데 인식은 아직 그렇지 않기 때문입니다.”


물론 피해 자체가 큰 사건은 아니었다. 회사 측은 인터넷에 공개된 정보들을 찾아 지워냈고 누가 어떻게 그 정보를 거기다 업로드 시킬 수 있었는지 금방 파악해냈다. 오히려 깔끔하다면 깔끔한 해결이었다. 유니시스(Unisys)의 CISO인 데이브 프라이미어(Dave Frymier) 역시 “잘 해결된 사건”이라고 평했다.


“제 경험으로 봤을 때 이번 모건 스탠리 사건처럼 빠르고 깔끔하게 일이 잘 처리된 경우가 드뭅니다. 이런 종류의 사건은 초동조치만 잘 하고 사건에 대한 파악만 잘 되어도 손해를 크게 줄일 수 있습니다. 그걸 모건 스탠리가 이번에 증명한 것입니다.”


이제 남은 문제는 중견층 직원 한 명이 다량의 민감한 정보에 접근할 수 있었던 시스템 자체를 어떻게 해결할 것인가이다. “관리자 측면에서 보자면 3십 5만 건의 정보에 접근할 수 있는 사람이라면 굉장히 높은 위치에 있는 관리자여야 할 겁니다. 모건 스탠리처럼 3백만 명이 넘는 고객을 보유하고 있는 곳이라면 정보가 넘쳐나는 곳임이 분명하죠. 그 정보가 바로 모건 스탠리의 경쟁력이니까요. 하지만 이번엔 겨우 중간 위치에 있는 금융 상담가 한 명이 민감한 정보에 접근했어요. 이는 쉽게 이해가 가지 않는 현상이며, 비정상이라고 볼 수 있습니다. 수많은 정보에 접근할 수 있는 건 빅 데이터를 전문적으로 다루는 사람들이어야만 합니다.”


결국 이 사건이 주는 교훈은 “사람, 권한(혹은 활동 범위), 애플리케이션의 조합이 큰 독이 될 수 있다는 것”이라고 옵저브아이티(ObserveIT)의 제품 마케팅 담당자인 맷 잔데리고(Matt Zanderigo)는 풀이한다. 이에는 IT 사용자들, 기업 서비스 이용자들, 파트너 업체 직원들을 모두 포함한다. 예를 들어 기업 서비스 이용자가 네트워크 설정을 갑자기 변경한다거나 할 때는 의아해야 하니 항상 주의를 기울여야 한다는 것이다.


“이 세 가지 조합이 나쁘게 합쳐지면 원인 규명이 힘든 피해를 상당한 규모로 사용자에게 입히게 됩니다. 보안 의식이 뚜렷한 기업이라면 사용자 계정을 항상 주시해서 이상한 활동이 감지되지는 않는지 살펴야 합니다.”


여기에 더해 사건 대응 팀과 포렌식 팀도 항상 이상 현상을 분석할 채비를 갖춘 상태여야 한다. 이상하다고 의심되는 활동을 발견만 하는 것으로는 아무런 문제가 해결되지 않으니까 말이다. 네오햅시스(Neohapsis)의 보안 담당자인 스캇 해즈드라(Scott Hazdra)는 그나마 다른 내부 위협으로 인한 사건보다 상당히 엉성해서 다행이었다고 한다.


“그 직원이 이런 류의 범죄 행위에 익숙하지 않은 듯 보였습니다. 그래서 그나마 사건이 이렇게 축소된 것이죠. 하지만 이런 쪽의 지식이 해박하고 경험이 많은 사람이 마음을 먹었다면 결과가 상당히 달랐을 겁니다. 그렇기 때문에 항상 사건의 현상을 해석할 전문가가 기업 내에 상주하고 있어야 합니다.”


그의 설명이 계속 이어진다. “보안 분석가들이 이상한 행위를 발견할 수 있는 건 정상일 때 데이터 흐름의 양, 방향, 등급 등을 알고 있기 때문입니다. 그렇게 아는 범주 내에서 이상 징후를 발견하는 편이 훨씬 빠르고 쉬우며 그에 따라 대응도 더 신속해집니다. 그러나 한번 빠져나간 정보가 외부에 노출되는 걸 막거나 찾아내는 건 훨씬 오래 걸리죠. 다시 말하지만 이번 사건은 범인이 어설퍼서 크게 번지지 않은 것입니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>