데이터 유출 사고, 절반 가까이가 내부자 소행으로 일어나
보안, 남의 일로 미룰 수 없어...SNS에서는 제발 사적인 일만

[보안뉴스 문가용 기자] 해킹 범죄와 관련된 무시무시한 소식들이 연일 들려오고 있다. 어떤 건 국가들도 개입되어 있어 그 스케일이 상상도 가지 않을 정도다. 그래서 보안은 항상 전문가나 높으신 몇몇 분들의 일처럼 여겨지기도 한다.


그러나 해킹 사고를 전체적으로 봤을 때 이러한 대대적이고 불가항력적인 공격은 많은 부분을 차지하지 않는다. 포레스터 리서치(Forrester Research)에 의하면 데이터 유출 사고의 40%가 내부자들에 의해 일어난다고 한다. NSA나 북한이나 러시아나 중국이 아니라 지금 우리 옆에 근무하는 누군가가 40%의 유출사고를 일으킨다는 것이다. 이 중 26%는 악의적인 행동에 의해서 일어나고, 56%는 실수로 인해 발생한다.

포레스터 리서치의 수석 분석가인 메릿 맥심(Merritt Maxim)은 “데이터 관리의 마인드 자체가 너무 안일하다”고 말한다. 그리고 그러한 점만 개선해도 데이터 유출 사고의 절반은 줄어들 것이라고 설명한다. “회사 차원에서 데이터를 항목화하고 분류해서 관리하는 법을 도입해야 합니다. 회사가 이런 모습만 보여도 직원들이 데이터를 조금 더 조심스럽게 다룹니다.” 그러면서 그는 ‘보안 담당자를 미치게 만드는 10가지 경우들’을 다음과 같이 정리했다.

1. 아마존 S3 버킷 설정 오류
최종 사용자들의 가장 흔한 착각 중 하나가, 클라우드에 데이터를 올려놓으면 자동으로 안전해진다는 것이다. 사실과 거리가 먼 생각이다. 클라우드에 올려놓은 데이터에 사고가 일어난다 한들 자기 책임이 아니라는 착각들도 팽배하다. 역시 사실과 거리가 먼 생각이다. 클라우드에 데이터를 올려놓았다고 해서 모든 사고에 대해 책임 면제가 되는 건 아니다. ‘내 책임 아니’라는 생각이니 비밀번호도 설정하지 않고, 보안 설정도 해놓지 않기 일쑤인데 이 때문에 민감한 정보를 아무나 가져갈 수 있게 된 사고가 지난 수개월 동안 거의 매일처럼 일어났다.

2. 공항 검색대에 노트북 그대로 두고 나오기
회사 업무용 노트북을 잃어버리는 직원들도 상당히 많은 편이다. 공항을 자주 이용하는 미국인들 중에서는 검색대에서 노트북 챙기는 걸 깜빡하는 경우가 많다고 한다. 그 외에도 전혀 예상치 못한 곳과 상황에서 회사 데이터가 들어있는 모바일 기기들이 분실되는데, 이럴 경우 보안 담당자가 원격에서 취할 수 있는 방법이 극히 제한적이라 보안 담당자들의 스트레스 수치가 급하게 올라간다.

3. 침해된 USB 추적하다 놓쳤을 때
요즘은 누구나 USB 혹은 USB에 준하는 장비들을 구비하고 다닌다. 그게 문제다. USB가 흔하니 잘 관리를 안 하게 된다. 어떤 USB에 어떤 데이터가 들어있는지, 기억하지 못하게 된다. 그러니 분실도 하고, 심지어 분실해 놓고도 그 사실을 인지 못한다. 회사 USB인지, 개인 USB인지 구분도 안 가고, 아무도 모른다. USB 관리 실태가 대부분 이렇다보니 이를 통해 새나가는 정보가 상당히 많음에도, 집계조차 잘 되지 않는다. USB라고 우습게 보는데, 이야 말로 가장 시급히 기업들이 현황 파악하고 관리실태 점검에 들어가야 할 부분이다. 가장 안전한 건 USB 사용을 줄이고 클라우드로 대체하는 것이다.

4. 회사 정보 소홀히 다루는 직원
정보를 올바르게 관리하는 직원은 찾기 힘들다. 회사에서 작업하던 것을 집에서 이어가려고 개인 이메일로 첨부해서 보내는 것도 많은 경우 ‘보안 정책 위반’이다. 그런데 솔직히 이거 안 해본 직원이 한 명이라도 있을까? 또한 급히 출장을 나온 상사가 뭔가를 깜빡한 게 생각나서 부하 직원에게 전화를 해서 자기 컴퓨터 어디어디에 어떤 서류가 있으니 인쇄 해놓고 있으라고 지시를 한다면? 문건이 기밀이 아니더라도, 이미 컴퓨터 로그인 비밀번호를 알려준 것 자체부터가 이미 위험한 행동이다. 문건이 기밀이라면 더 큰일이다.

5. 보안 카메라 등 사물인터넷 기기의 IP 주소 관리 미흡
이제 사무실에 있는 거의 모든 전자 장비들은 IP 주소를 독자적으로 가지고 있다고 봐야 한다. 프린터에도 IP 주소가 있고, 보안 카메라에도 IP가 할당된다. 그런데 이 모든 기기들을 보안 담당자가 담당할 수는 없다. 그런데 또 일반 직원들에게 맡기면 이들은 기계의 디폴트 설정을 그냥 그대로 놔둔다. 미라이(Mirai)가 등장한 이후부터 디폴트 비밀번호가 바뀌지 않은 장비들은 전부 디도스 공격에 활용될 위험에 노출된다.

6. BYOD의 무신경한 누림
BYOD는 사실상 회사가 정하는 정책이라고 볼 수 없다. 시대의 흐름에 따라 반 강제적으로 도입하게 된 것이다. 개인 모바일 기기 사용금지인 회사에 누가 불만 없이 오래 근무할까? 회사도 직원의 눈치를 보기 때문에 BYOD를 인정하는 것이다. 그런데 이 BYOD는 근본 개념부터 ‘위험’하다. 직원들 각자가 소유권을 가지고 있기 때문에 회사가 보안 솔루션을 설치하라고 강제할 수도 없고, 직원들은 보안에 크게 신경을 쓰지 않게 된다. 요즘은 기업들이 BYOD를 조건부로 허락한다. MDM 소프트웨어 설치가 가장 인기 있는 ‘조건’이고 말이다.

7. 사용자 권한 관리 미흡
근속 기간이 길다보면 일반 직원들은 다양한 부서로 발령이 나기도 한다. 맡은 업무에 따라 권한도 다르게 주어지는데, 이 때문에 현재 직위에서는 가질 수 없는 권한을 갖게 되는 경우도 왕왕 발생한다. 조직이 작으면 보안 담당자가 직원들 한 사람 한 사람의 권한을 관리할 수 있겠지만, 대형 조직은 이게 쉽지 않다. 쉽지 않더라도 방법을 찾아내야 한다.

8. 출입통제에 대한 무신경
회사를 출입할 때 사원증 등을 필요로 하는 경우가 있다. 그런데 한두 사람은 그 출입증을 집에 놓고 출근하거나 분실하곤 한다. 그래서 아침 출근 시간이나 점심 시간, 사람이 몰릴 때 앞사람에 바짝 붙어서 게이트를 통과하거나, 사원증을 빌려달라고 부탁하기도 한다. 이는 기업 입장에서 철저하게 막아야 하는 행위들이다. 정말 잘 아는 사람이 아니더라도 ‘다른 부서 사람이겠거니’ 하고 아무나 들어오는 경우가 많기 때문이다. 화면을 통해서도 많은 정보가 노출되며, 이런 정보들을 노린 ‘비주얼 해킹’도 상당히 위험한 공격 행위라는 것을 기억해야 한다.

9. 의료 정보의 부주의한 처리
이는 작은 병원에서 주로 발생하는 일이다. 이런 곳은 의학적인 전문가들로만 대부분 구성되어 있고 민감한 의학 정보 및 지불 정보를 전문적으로 다룰 사람이 없다. 이런 곳을 가보면 말도 안 되게 중요한 정보들이 말도 안 되게 여기 저기 널려 있는 걸 발견할 수 있다. 팩스에 개인정보 인쇄물이 걸려 있고, 컴퓨터에도 아무런 비밀번호가 설정되어 있지 않다. 의료 기기들은 전부 디폴트로 설정되어 있어 해킹에 취약한 건 물론이다.

10. 그놈의 SNS와 블로그
보안 담당자들이 가장 혐오하는 건 회사의 민감한 일들을 SNS와 블로그에 조잘조잘 올려대는 직원들이다. 이들은 포스팅을 하는 것일뿐인데, 회사에는 리스크가 추가된다. 그래서 보안 담당자들은 SNS나 블로그를 자주 사용하는 직원들에게 ‘회사와 관련된 일은 쓰지 말아달라’고 부탁해야 한다. “음악, 맛집, 미술, 영화 등 SNS에서는 취미에만 전념해야 합니다. 회사를 위해서, 자신을 위해서 말이죠. 해커들은 직원의 SNS나 블로그를 통해 상당히 많은 정보들을 빼앗아 가고, 그 정보를 바탕으로 기업을 본격적으로 해킹하기 시작합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>