자료 소유의식이 정보 들고 나가는 행위 부추겨
다행히 아직까지 나쁜 동기로 하는 사람 없어

[시큐리티월드 문가용] 자기가 만든 문서나 그밖에 자료에 대해 소유의식을 느끼지 않는 사람은 없다. 그래서 그런지 직장을 그만둘 때 87%의 사람이 자기가 만든 문서나 자료들을 가지고 간다고 한다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲ 자, 그 동안 즐거웠습니다. 제가 만든 건 다 제가 가져갑니다.

통신보안 전문기업인 비스콤(Biscom)이 풀타임 근무중 이유 불문 퇴사를 해본 개인들을 대상으로 설문을 진행했고, 28%만이 ‘자신이 만들지 않은 데이터를 가지고 나왔다’고 답한 반면 ‘직접 만든 데이터는 가지고 나왔다’라고 답한 사람들은 거의 다였다.

“아마 그 ‘소유의식’이 가장 큰 이유일겁니다.” 비스콤의 CEO인 빌 호(Bill Ho)의 추측이다. 자기가 만든 데이터를 가지고 나온 사람들 중 59%는 ‘내 거라고 생각했기 때문에 가지고 나왔다’고 답했다고 하니 이 추측은 허황된 것만은 아니다. 77%는 ‘새로운 직장에서 일할 때 도움이 될 거 같아서’라고 답했다.

다행인 것은 ‘회사에 앙갚음을 하려고’라고 답한 사람이 한 명도 없었다는 거다. 다만 14% 정도는 ‘안 좋은 일로 퇴사하는 경우에는 앙갚음이 동기가 될 가능성이 있다고 본다’고 답했다. 이에 대해 빌 CEO는 다음과 같이 말했다. “아마 그런 행동이 악성이라는 자각이 없을 거예요. 일단 누굴 해치거나 피해를 주려는 동기는 전혀 보이지 않거든요. 그럼에도 마음 깊은 곳에서는 완전히 떳떳한 일이 아니라는 정도의 느낌은 있다고 보이고요.”

또한 정책이나 법으로 접근 및 이송 금지된 프라이버시 관련 데이터 즉 개인정보는 한 건도 가져나온 적이 없다고 답한 응답자가 100%였다. 다만 사업 전략에 관한 문서를 가지고 나온 이는 88%, 고객 명단을 가지고 나온 이는 31%, 지적재산을 가지고 나온 이는 25%였다. “지적재선의 경우 큰 문제가 될 수 있죠. 지적재산에 따라서 회사의 등급이 결정되거든요.”

응답자의 94%는 퇴사자의 정보 처리 권한에 대한 회사의 정책이나 사칙에 대해서 모른다고 답했다. 즉 자신들이 한 일이 규칙에 어긋나는지조차 판단을 못하고 있다는 것이다. 단 3%만이 ‘규칙에 어긋난다는 걸 알고 있었지만 무시했다’고 답했다. 3%는 알고 있었지만 우회가 가능했다고 답했다.

하지만 비스콤은 94%라는 숫자에 의심이 생긴다고 한다. “회사에 그러한 규정이 없을 리가 없거든요. 그런 규정을 가르쳐주지 않는 곳도 없고요. 있더라도 소수지요. 94%나 될 리가 없습니다.”

데이터를 밖으로 가지고 나올 때 사용했던 방법에 대해서 물어봤을 때 대부분은 플래시나 외장 드라이브를 사용했다고 답했다(84%). 이메일이나 개인 온라인 계정을 활용한 사람들이 47%였고, 인쇄를 했다고 답한 이는 37%에 달했다. 공유 드라이브에 업로드한 경우는 21%, 드롭박스와 같은 서비스에 동기화했다는 이도 있었다(11%).

이는 사용자들의 인식수준 문제도 드러내주는 자료이지만, 또한 보안담당자들의 업무태만이 드러나기도 한다는 게 비스콤의 설명이다. 보안 담당자라면 이런 일들을 예상하고 조치를 취하거나 교육을 시켜야 했다는 것. “마치 손님 나가실 때 대문까지 에스코트를 해줘야 하는데, 안방에 앉아서 뒤도 안 돌아보고 손만 흔드는 식입니다.”

이에 대처하려면 위에서 말했든 직원 교육과 의식제고도 필요하지만 퇴사자들이 사용하는 방법들 중 일부를 아예 제한시켜서 가지고 나가는 것 자체를 불가능하게 만드는 것도 좋은 방법이다. “드롭박스나 구글 드라이브는 아무나 로그인해서 사용할 수 있죠. 그렇다면 이 둘의 사용을 금지시키기만 해도 얼마나 많은 자료를 아낄 수 있을까요?”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[글 시큐리티월드 문가용 기자(sw@infothe.com)]

<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>