대형 보안사고에는 반드시 내부자가 개입돼 있으며, 내부자 개입 없이 기업의 흥망을 뒤흔들만한 대형사고는 발생할 수 없다. 그럼에도 불구하고 기업은 내부자의 통제보다 외부자의 불법적인 접근을 막는데 보안의 역량을 쏟고 있다. 선진국 수준의 기술을 창조하는 기업이라면, 보안 마인드 역시 선진국 수준으로 갖춰야 한다.

내부정보 유출방지시장이 급속히 성장하고 있다.

내부정보 유출방지라고 하면 일반적으로, 권한 없는 사람, 즉 외부자의 접근을 막는 것이라고 생각하는 경향이 있다. 예를 들어 고객의 주민등록번호나 계좌번호가 담긴 데이터베이스에 외주업체 개발자가 불법으로 접근하는 것을 막는 것을 의미한다고 여기는 것이다.

또 내부정보 유출방지의 주 영역을 기밀문서나 노트북이 분실·도난 됐을 경우를 대비해 암호화 하는 것이라고 제한하고 있기도 하다. 이러한 생각에는 유출사고는 사악한 외부자의 접근 혹은 내부자의 실수에 의해서 일어난다는 전제가 있다.

필자는 독자들에게 중요한 질문을 던지고자 한다. 기업의 사활이 걸린 내부정보 유출사고가 해커로 대변되는 외부자에 의해서만 일어나고 있는가? 핵심기밀은 분실이나 실수로 유출되고 있는가?

보안전문가라면 아니, 상식 차원에서 생각해본다면 누구나 알 수 있는 일이다. 대형 보안사고에는 반드시 내부자가 개입돼 있으며, 내부자 개입 없이 기업의 흥망을 뒤흔들만한 대형사고는 발생할 수 없다.

 

연예인 X-파일 유출, 단순한 실수일까?

내부정보 유출방지솔루션의 핵심적인 초점이 유출원인이 내부자의 권한오용에 맞춰져야 할까? 아니면 외부자의 불법적인 접근인가?

문서암호화를 위해 대규모 투자를 했지만, 복호화 권한을 가진 내부자가 암호를 풀어서 핵심정보를 복사한 후, 이메일, 웹메일, 메신저, 웹하드, P2P 등 네트워크, 혹은 이동식 저장장치, 출력물로 유출하면 추적조차 불가능하다.

또 다른 예를 들어보자. 카드사는 신상품기획을 위해 고객의 카드사용내역을 정기적으로 분석한다. 이 작업을 맡은 담당자는 고객정보 데이터베이스를 마음대로 볼 수 있다. 만약 담당자가 고객정보 1000만 건을 USB에 저장하거나 출력해서 가지고 나간다면 어떻게 될까?

2005년 우리사회를 발칵 뒤집었던 문서유출사건인 연예인 엑스파일 사건을 돌아보자. 과연 이 사건이 사고나 실수에 의해 일어난 일일까? 아니면 내부자가 친구에게 자랑하기 위해, 혹은 특정한 목적을 갖고 유출했을까? 만일 후자의 의도로 발생된 사고라면 문서를 암호화 하기 전에 이메일, 메신저, USB 등의 유출이 가능한 경로를 보안할 수 있는 솔루션을 고려해야 할 것이다.

문서를 볼 권한이 있는 내부자가 정보를 유출할 경우, 정보 자체가 아니라 정보가 나가는 경로인 네트워크(메일, 메신저, 웹하드, UCC, P2P 등), 이동식 저장장치(USB, 외장하드 등), 출력 및 복사를 보안해야 한다. 문서 자체가 아니라 내부자에 의한 문서의 유출통로를 최대한 차단하고 모니터링 하는 것이 올바른 보안이다.

통제어렵다고 보안위협 방치해선 안돼

여기서 두 번째 질문을 던지고자 한다. 왜 내부정보 유출방지의 원인으로 악의를 가진 외부자만 부각되고 있을까? 왜 기업들은 문서를 암호화해 권한 없는 사람을 통제하는 데에만 투자하고, 권한 있는 사람에 의한 정보유출은 애써 모르는 체 하고 있을까? 그것은 기업에 있어 내부자 통제가 상당히 껄끄러운 일이기 때문이다.

내부자를 통제하면 사방에서 “선한 직원들을 잠재적인 범인으로 간주한다”는 볼멘소리와 함께 업무에 방해된다는 등 불평이 쏟아진다. 보안담당자 역시 직원일 수밖에 없기 때문에 동료의 반발이 없는 방화벽, IPS, 백신 등 외부침투 방어용 보안, 파일 암호화 등 외부자 대상 보안에 먼저 투자하고 있는 것이다.

마지막 질문을 던지겠다. 단 한명의 직원으로 인해 전 직원이 피해를 입을 수 있는 사태를 방관하는 것이 옳은 일일까? 권한 없는 사람을 통제하는 것, 즉 외부자중심 보안으로 대형 보안사고를 막을 수 있을까? 향후 대형보안사고가 터질 경우, 그 책임소재는 어디에 있을까? 통제가 어렵다는 이유만으로 예측가능한 보안위협을 방치하는 것이 옳은 일인가?

사람의 선의를 맹목적으로 신뢰할 수 있다고 가정하는 것은 보안이 아니다. 선의가 깨질 때 나올 수 있는 피해를 최소화하고 한 두명의 악의적인 직원이 회사 전체를 뒤흔드는 일을 없앰으로써 다수의 선의를 지키는 것이 보안이다. 이제는 우리도 선진국 수준의 보안마인드를 갖춰야 한다. 중국의 추격을 따돌리고, 선진국 수준의 기술을 창조해야 할 한국의 생존이 걸린 문제이다.

중국에는 내부자통제 보안시장이 없다. 비즈니스의 핵심동력이 지적자산이 아니라 노동력과 생산장비에 있기 때문에 지킬 것이 없기 때문이다. 한국은 다르다. 지식기반사업, 고부가가치 산업 육성에 한국의 미래가 달려있다.

구글의 핵심기밀인 웹사이트 순위설정 알고리즘은 10조 원 이상의 가치를 가지고 있다고 한다. 한국에서도 하나의 설계도면, 하나의 문서가 10조 원의 가치를 지닐 때가 올 것이다. 내부자통제 시스템을 구축한 회사는 내부자를 못 믿는 회사가 아니라, 한 명의 비윤리적인 행동으로부터 전체 구성원을 지켜내는 회사이다. 지킬 것이 많은 만큼 직원들에게 더 높은 미래를 제공하는 회사가 될 수있다.

<글: 김대환 소만사 대표이사>

 

[월간 정보보호21c 통권 제86호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>