클라우드와 대용량의 발전으로 내부 인원 통한 유출 사고 늘어

배신, 복수, 개인 이익의 달성, 순수한 실수와 과욕 등이 이유

[보안뉴스 문가용] 클라우드에 보관된 정보를 위협하는 존재로는 ‘외부 요인’이 제일 먼저 손꼽힌다. 누군가 클라우드 바깥에서 안으로 침입했을 경우, 그 수많은 정보를 마음껏 열람할 수 있다는 건 소름끼치는 일이긴 하다. 그러나 보안 인력들은 오래 전부터 ‘내부의 누군가가 더 위험하다’고 소곤거려 왔다.

안으로부터의 위협이라고 하면 대부분 용기 있는 내부 고발자를 떠올린다. 마치 에드워드 스노우든처럼 말이다. 그런데 실제로 용기 있는 내부 고발자가 세상의 공익을 위해 자기를 희생한 건 극히 일부의 일일 뿐이다. 나머지 대부분은 그저 보안에 대한 개념이 없는 직원들의 흔한 실수 혹은 나쁜 마음으로 개인적인 이득이나 복수를 위해 회사의 정보를 훔쳐가는 경우다. 내부 인원이 연루되는 경우가 진짜 위험한 이유는 감지의 어려움에 있다. 보안 전문가나 시스템이 내부 인원의 이런 범죄 현장을 잡아낸 건 지난 해 전체 사건의 약 17%에 불과하다.

클라우드의 활성화와 도입은 이런 내부 위협의 가능성을 대폭 넓혀주었다. 일단 클라우드 관련 애플리케이션 숫자만 8000을 넘어섰는데, 상당수는 감사 기능이나 관리 및 제어 기능이 성숙하지 못한 단계에 있기 때문이다. 자연히 그 많은 클라우드에서 무슨 일이 일어나고 있는지 점점 알 수 없게 되었다. 이름 그대로 정보와 관리자 사이에 먹구름이 드리우기 시작한 것이다. 그런데, 이게 전부가 아니다. 심약자들은 이 뒤에 오는 글을 읽지 않기를 추천한다.

그놈이 떠난 자리

가장 흔한 내부 위협 발생 시나리오는 영업 담당자가 회사를 떠난 뒤 경쟁 회사에 취업해 그 회사의 영업부서를 맡는 경우다. 그런데 이 사람이 각종 영업 정보를 싹 정리해서 들고 갔다면? 공포도 이런 공포가 없다. 이런 배신 행위는 어느 산업에서나 경계하는 일인데, 마땅히 막을 방법이 없다는 게 문제다. 은밀한 곳에서 소리 소문 없이 일어나는 게 보통이고 잡아내는 과정이 조직 및 사업 전체에 그다지 좋은 영향을 주지 않기 때문이다.

그런데 클라우드는 이런 식의 배신 행위를 더 용이하게 만들어준다. 클릭 몇 번으로 아주 많은 정보를 옮길 수 있다. 영업 사원이 업무를 진행하기 위해서 클라우드를 접속하는 것과 배신을 하기 위해 클라우드에 접속하는 클릭 소리는 똑같다. 트래픽도 똑같다.

관리자도 사람인데...

요즘은 업종이나 지위를 막론하고 클라우드를 활용하지 않는 사람을 찾기가 힘들다. 이는 최고 책임자까지도 포함한다. 다만 최고 책임자들이 일반 사용자와 다른 점이 있다면 접근할 수 있는 정보의 양이나 권한이 확연히 다르다는 것이다.

한 대형 IT 기업의 한 관계자는 소프트웨어 개발을 할 때마다 높은 권한을 갖게 되는 직원들 때문에 불안하다고 말했다. 관리자 권한을 갖게 되면 사용자의 접근을 허가하거나 불허할 수 있고 보안 정책을 실제로 적용하는 과정을 주무를 수도 있다. 그리고 클라우드 서비스에 저장되어 있는 산업 정보들에도 접근이 가능하다. 그런 이들이 배신은 둘째치고 작은 실수라도 하게 되면 큰 일이 발생할 가능성이 높아진다.

안에서부터의 위험

보통 내부 위험 요소를 말할 때는 클라우드 서비스를 활용하는 기업 직원을 전제한다. 하지만 클라우드 업체는 회사 아닌가? 거기에는 직원이 없을까? 분명히 보통 기업의 직원들이 배신하거나 실수할 수 있다면, 클라우드 업체 직원들도 마찬가지다. 직원 정보를 어떤 클라우드에 저장해서 관리한다고 치자. 그러면 그 정보는 클라우드 직원들도 마음만 먹으면 열람할 수 있다. 그러면 그 정보를 마음대로 처리하는 것도 가능하다는 것이다. 계약 내용에 따라 이렇게 하고도 클라우드 회사 측에서는 책임을 전면 부인하는 것도 가능하다.

운신의 나쁜 폭도 늘어나

클라우드 서비스를 활용하면 전 세계 곳곳의 사람들과 협업을 하는 게 가능해진다. 하지만 이는 단점으로 작용하기도 하는데, 클라우드가 아니었으면 상상할 수도 없는 곳에 비밀 정보가 도달하는 때가 있기 때문이다. 한 IT 회사는 중국 현지로 진출하면서 중국인을 고용한 적이 있었다. 그리고 곧 이 회사의 각종 중요 정보는 중국 현지인이 멋대로 결정한 서드파티 업체를 통해 방방곡곡으로 퍼져나갔다. 클라우드가 증가하니 각종 범죄 시나리오가 늘어난다.

사이트 자체가 공포

어떤 클라우드 서비스들은 그냥 존재 자체가 골칫거리다. 기업의 클라우드 사용 정책과 정면으로 부딪히는 자사 정책을 가지고 있는 경우가 특히 그렇다. 예를 들어 페이스북으로 파일을 공유하는 걸 금지하는 회사에 있어서는 페이스북이라는 소셜 네트워크가 골칫거리일 수도 있다. 막을 방법이 실제적으론 없다시피 하니까 말이다. 이보다 더 심한 경우는 개발자 사이트인 코드하우스(CodeHaus)와 같은 곳이다. 이 사이트에는 여러 개발자들이 각종 코드를 올리는데, 이 코드의 저작권 및 소유권을 코드하우스가 가지고 간다. 직원이 이 사이트를 이용한다는 건 회사로서는 거의 재앙에 가까울 수도 있다. 한 직원은 9.3GB의 자료를 이런 코드 공유 사이트인 소스포지(SourceForge)에, 3GB의 자료를 파일 공유 사이트인 지피쉐어(ZippyShare)에 올렸다가 본인은 물론 회사에 커다란 손실을 가져온 적이 있다. 한 번 잘못 올린 자료는 길고 긴 법정 싸움의 시발점이 되기도 한다.

순수한 게 더 무서워

악의적인 의도를 가진 사람만이 문제를 일으키는 것은 아니다. 사용자 혹은 소비자로서는 시장에 나온 클라우드 서비스가 워낙에 많다보니 이것 저것 사용해보고 시험해보다가 의도치 않게 정보를 흘릴 수 있다. 금융기관에서 일하던 어떤 직원 한 명은 민감한 고객 정보를 페이스북에 올렸다가 큰 일을 겪었다. SNS는 인생의 낭비라던 누군가의 말이 증명되는 경우였다.

또한 일을 더 잘하려다가 실수하는 경우도 왕왕 발생한다. 어떤 병원에서 있었던 일이다. 환자를 더 잘 보고 관리하기 위해 한 팀에서 일반 시장에 나와있는 파일 공유 서비스를 활용해 환자의 모든 정보를 공유했다. 그러다가 정보 유출 사고가 일어났고, 이는 법정 소송에 휘말릴 수밖에 없는 사건으로 발전했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>