보안 종사자들, 높은 특권 이용해 회사 내부정보 염탐해
스스로 넘지 말아야 할 선 정할 수 있도록 윤리 세워야

[보안뉴스 오다인 기자] IT 보안 전문가의 윤리성이 도마에 올랐다. 17일 발표된 설문조사에 따르면, 업무 수행에 반드시 필요하지 않은 회사 정보를 찾아보거나 접근한다고 응답한 IT 보안 전문가는 66%에 달했다.


이번 설문조사는 신원 및 접근 관리 업체 원아이덴티티(One Identity)가 기술 시장 조사 업체 다이멘셔널 리서치(Dimensional Research)에 의뢰해 진행됐으며, 전 세계 IT 보안 전문가 913명이 참여했다.

응답자 가운데 36%는 한 단계 더 나아가 자신의 업무와 무관하면서도 민감한 회사 실적 정보를 기꺼이 추적하거나 접근했다고 밝혔다. 또한, 염탐꾼 중에서도 최악은 IT 보안 경영진인 것으로 나타났다. 나머지 팀원들에 비해 IT 보안 경영진의 염탐 행위가 더 심각하다는 뜻이다.

민감하지 않은 회사 정보를 엿보는 것과 관련해선 IT 보안 경영진 71%가 그렇다고 답했다. 관리자급이 아닌 IT 보안 종사자 중에서는 56%가 그렇다고 답한 것과 비교된다.

민감한 회사 실적 정보를 추적하거나 접근하겠다고 답한 사람은 IT 보안 경영진 중에서 40%로 나타났다. 관리자급이 아닌 IT 보안 팀원 중에선 단 17%만이 나타났다는 것과 비교했을 때, 매우 높은 수치다.

“과거 IT 팀에서 일했을 때, 보면 안 되는 곳을 보고 싶다는 유혹을 항상 느꼈습니다. IT 팀에는 그럴 수 있는 특권이 있으니까요. 하지만 제가 놀랐던 부분은 바로 이런 유혹이 얼마나 만연한가 하는 점이었습니다.” 원아이덴티티의 제품 관리 수석 디렉터 잭슨 쇼(Jackson Shaw)의 말이다.

쇼에 따르면, 이번 설문조사는 민감한 회사 실적 정보의 유형에 관해 구체적으로 묻지는 않았다. 다만, 쇼는 일반적으로 이런 유형의 정보가 회사 이윤 및 수익의 영역으로 분류된다고 설명했다. 회사 실적 정보가 아닌 것들에 대해 말하자면, IT 보안 전문가들은 인사부의 가장 깊은 곳에 묻혀있는 해고자 명단이나 승진 예정자 명단, 직원 연봉 목록 등을 엿보기도 한다고 쇼는 요약했다.

쇼는 “회사 파일 서버 대부분은 단단하게 잠겨있지 않다”고 말했다. “전형적으로 IT 보안 스태프는 회사 내에서 가장 높은 특권을 갖고 있습니다. 그렇기 때문에 이들은 무슨 모니터링 기술을 쓸지, 어떻게 걸리지 않을지 알고 있을 가능성이 매우 높죠.”

쇼는 절반에 조금 못 미치는 회사들이 IT 보안 팀이나 IT 관리자의 움직임을 추적하고 있을 것으로 보인다고 추정했다. 회사 네트워크나 다른 시스템에서 이들이 어떻게 움직이는지 모니터링 하는 기업이 50%가 좀 안 된다는 것이다.

이번 설문조사는 업무 수행에 필요치 않은 정보에 접근하는 IT 보안 전문가가 92%라는 사실도 발견했다. 게다가, 기술 회사에서 일하는 IT 보안 전문가 44%는 민감한 회사 정보를 찾은 적 있다고 인정하기도 했다. 금융 서비스 회사에선 36%, 의료 회사에선 21%로 나타난 것과 비교해 상대적으로 높다.

게이트키퍼를 수호하는 것
사이버 보안 윤리는 일부 대학교나 워크숍의 강의 주제다. 여기서 윤리학이라는 주제나 과목은 IT 보안 전문가가 해커와 사이버 범죄자를 추적하고 대응할 때 어떻게 해야 하는가에 집중돼있는 경우가 많다.

그러나 사이버 보안 전문가들은 자기 자신들의 행동과 관련해서는 더 높은 잣대를 적용해야 한다는 의견이 있다. 워싱턴 사이버 보안 연구 및 개발 센터(Washington Center for Cybersecurity Research and Development)의 설립자이자 뉴욕 올버니 엑스켈시어 대학교(Excelsior College) 기업 및 기술 대학의 전 학장을 역임한 제인 르클레르(Jane LeClair)는 다음과 같이 말했다.

“의료, 군사, 금융처럼 민감한 정보가 있는 전문 직종에서 해당 정보를 취급하거나 보안에 관여하는 사람들은 한층 더 높은 기준을 적용받아야 합니다. 특권이 있는 컴퓨터를 사용하는 IT 분야 종사자들은 민감한 정보에 대한 접근성뿐만 아니라 이를 사수하는 것과 관련해 신뢰 받습니다. 이러한 책임 중에는 정상적인 업무 영역을 넘어선 자료를 염탐하는 것으로부터 스스로를 제한할 수 있는 자체적인 통제력도 포함됩니다.”

사람들은 자연스런 호기심의 발로로 염탐하는 경향이 있고, 스스로 느끼는 책임감 때문에 현실 세계에선 갈등하는 경우가 많다고 르클레르는 설명했다.

이어 르클레르는 개인적인 책임감은 신뢰와 진실성이 내재화되는 유년기에서 오는 감정으로, 성숙되는 단계를 거치면서 성인기까지 이어진다고 덧붙였다. 충분히 성숙되기 전에 책임을 져야 하는 자리에 오르는 사람들이 있다고 지적하면서다. 르클레르는 스스로 적절한 삶의 ‘여과 장치(filter)’를 개발하지 못한 사람들이 판단에서 실수를 저지르는 경향이 있다고 설명했다.

르클레르는 회사 정보를 들여다보거나 업무와 관계없는 정보를 염탐하는 IT 보안 경영진들에 대해선 존 달버그 액턴(Lord Acton)이 19세기에 말한 명언을 들어 설명했다. “권력은 부패하며 절대 권력은 절대적으로 부패한다.”

르클레르는 “어찌됐건 오늘날의 컴퓨터들은 정보와 권력의 궁극적인 도구”라며 “지식이 힘”이라고 말했다. “경영진 등 조직 내에서 책임이 부여된 사람들은 자신의 상황을 제어할 방법을 찾고 나아가 자신의 지위에 영향을 미칠 방법을 찾습니다. 개별적으로 할당된 업무나 책임의 범위를 넘어선 지식을 손에 넣는 건 향후 승진 등에 써먹을 수 있는 정보와 통찰력을 얻는 것과 마찬가지죠. 권력과 정보를 더 많이 가질수록 조직 내 입지가 커지고, 그 입지를 유지하기 위해 또 다시 더 많은 권력과 정보를 찾게 됩니다.”

윤리를 훈련할 수 있나?
염탐하는 것이 인간의 본성이라 하더라도, 개인이 스스로 행동에 부여하는 여과 장치는 학습된 경험이라는 게 르클레르의 주장이다.

“이런 필터는 대부분 유년 시절 경험한 것들로부터 구축되며 학창시절을 거쳐 성인기까지 이어지며 형성됩니다. 슬픈 사실이지만, 점점 더 많은 사람들이 이런 필터를 개발하는 단계를 빠뜨리고 있는 것으로 보입니다. 개인적인 책임감과 신뢰라는 여과 장치가 점차 사라지고 있다는 뜻이죠.”

과거에 컴퓨터 기술을 깨쳐야 한다고 강조하던 것은 그 기술을 기르기 위한 기초 단계에 초점이 맞춰져 있었고, 배운 기술을 ‘어떻게’ 적용해야 하는지에 대해선 소홀했다고 르클레르는 말한다.

현재 숙련된 IT 전문가가 부족하다는 사실 때문에 공석을 채우기 위한 움직임이 빠르게 나타나고 있다. 그러나 르클레르는 이렇게 서두르는 것은 윤리성에 대한 강조를 가로막는 경우가 많다고 우려하면서 다음과 같이 강조했다.

“고등학교부터 대학교까지, 또는 직업 훈련소부터 실제 직장까지 훈련이나 교육이 제공되는 모든 곳에서 윤리는 중요한 커리큘럼으로 자리 잡아야만 합니다. 오늘날 사이버 보안 분야의 학생들이 받는 윤리 훈련은 사이버 전문가로 성장하기 위해 어떤 상황에서 어떤 판단을 해야 하는지에 대한 지침을 제공해주지 않습니다.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>