[보안뉴스 주소형] 눈에 보이지 않는 네트워크라는 공간을 점검하고 관리하는 건 어려운 일이다. 특히, 네트워크의 위험요소 1순위로 ‘내부자 위협(Insider Threat)’이 꼽히는데, 이는 사람이 관련되어 있다보니 더욱 까다로울 수 밖에 없다. 이 때문에 이를 초기에 파악해 차단하는 것이 관건이라고 할 수 있다. 이에 직원의 위험성 여부에 대한 기업들의 판단력을 높여줄 수 있는 방법을 강구했다. 위험 관리대상으로 지정해야 할 사람들이 보일 수 있는 다섯 가지 징후다.

징후 1. 근무시간에 갑자기 변화가 생겼다?

근무시간은 직원을 평가하는 지표이기도 하지만 수상한 움직임을 잡아낼 수 있는 단서가 되기도 한다. 시간이 어느 정도 흐르면 직원들의 출퇴근 시간 패턴이 정착된다. 누구는 넉넉히 출근시간 1시간 전에 오기도 하고, 누구는 매일 아슬아슬하게 지각을 면하기도 한다. 그런데 갑자기 이와 벗어난 행동을 보인다면 뭔가 수상하다고 생각해봄직하다. 뿐만 아니라 월요일이나 휴일 다음에 보이는 행동들도 잘 관찰할 필요가 있다. 이 역시 사람들마다 패턴이 있기 때문이다. 

징후 2. 공간이동 수준의 불가능한 여행을 하는 이가 있다면?

성취율에 가장 예민하다는 판매부서조차 달성 못하는 것이 있는데 그건 바로 대서양을 6초 안에 건너는 것이다. 때문에 짧은 시간 안에 각기 멀리 떨어진 곳에서 내부정보에 접속한 흔적이 발견된다면, 해당 계정 주인을 의심해볼만하다. 그런데 다만 네트워크 데이터를 기반으로 사용자가 어디에 있는지 정확히 콕 짚어서 알아내는 것은 현실적으로 힘든 면이 있다. 그러니 위 1번 징후에서 직원들의 출퇴근 패턴에 대한 데이터를 미리 쌓아놓듯이, 프로파일링 엔진이 믿을 만한 정보를 선택적으로 수집할 수 있도록 설정해 놓아야 한다.

징후 3. 타당해 보이지 않는 원격 접속

뭐 하러 지금 사무실에서 일을 하면서 동시에 원격 프로토콜이나 애플리케이션을 사용해 다른 내부 시스템에 접속을 하겠는가. 회사 사무실 데스크탑에서부터 모든 데이터에 접속할 수 있다면 딱히 일부러 속도도 느리고 불안정한 원격 네트워크를 사용할 이유가 없다. 사실 “애초에 왜 원격 접속이라는 것을 허용해야 하는가?”라는 질문부터 해야 한다. 원격 접속이라는 기능 자체가 업무를 하는 데 있어서 꼭 필요하냐는 것이다. 외부 공격자가 원격의 프로토콜을 자주 사용하여 공격하는 게 대세가 되었는데, 그 리스크를 떠안고 갈 필요가 굳이 있을까? 

징후 4. 특이한 리소스 사용량

부서 고유의 리소스와 툴의 특이한 사용 흔적은 내부자로 인해 정보가 유출되는 것을 감지할 때 매우 유용하다. 예를 들어 사람들이 평소 잘 접속하지 않던 고객관계관리(CRM) 솔루션이나 파일공유를 갑자기 실행한다는 것은 상당히 의심스러운 징조다. 또한, 본인 업무 외 필요 이상의 민감한 회사 내부 정보에 접속을 시도하는 이가 있다면 그 또한 요주의 인물이다.

징후 5. 비밀번호 리셋

각 서비스마다 보유하고 있는 비밀번호 리셋 프로토콜이 다르다. 그런데 이처럼 각기 다른 프로토콜은 공격자에게 기회가 될 수 있다. 예를 들어 기존에 어떤 계정에 대한 권한이 없었던 공격자가 암호를 변경하라고 사용자에게 권하는 자동 프로세스를 악용해 암호를 바꾸는 방식으로 계정을 탈취할 수 있기 때문이다. 따라서 이러한 비밀번호 리셋에 좀더 신중을 기할 필요가 있다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>