내부자 위협에 대해 알려진 지 오래됐지만…실제 제대로 운영되는 사례 드물어
균형 맞추기 난감…조직 입장에서 가장 중요하게 추구해야 할 것은 ‘투명성’

[보안뉴스 문가용 기자] 내부자 위협을 막기 위해 조직들은 다양한 방법을 구사하고 있지만, 제대로 작동시키고 있는 곳은 드물다. 시장 조사 기관인 크라우드 리서치 파트너즈(Crowd Research Partners)가 발표한 ‘내부자 위협 보고서(Insider Threat Partners)’에 따르면 86%의 조직이 내부자 위협을 줄이기 위한 프로그램을 실제로 시작하긴 했지만 아직도 제대로 정착시키지 못하고 있다.


조직 입장에서는 내부자 위협 방지 프로그램을 도입한다는 게 말처럼 간단한 것은 아니다. 조금이라도 과도했다가는 직원들이 프라이버시 침해를 당한다고 느끼게 되거나 경영진이 엉뚱한 사람을 범인으로 몰아갈 수 있으며, 조금이라도 느슨했다가는 방지 프로그램을 가동시키지 않는 것과 별반 차이가 없는 상태가 되기 때문이다. 또 다른 시장 조사 기관인 포레스터 리서치(Forrester Research)에 의하면 현존하는 내부자 위협 방지 프로그램들 대부분 프라이버시 관련 법령을 위반하고 있거나, 직원들의 생산력을 크게 저하시키는 결과가 나왔다.

포레스터의 부회장인 조셉 블랭큰쉽(Joseph Blankenship)은 “직원들 성향이 천차만별인 것도 조직 입장에서는 쉽지 않은 문제”라고 말한다. “별 거 아닌 일에 금방 문을 박차고 나가 변호사를 선임하는 사람들도 있으니까요. 내부자 위협을 방지한다는 건, 누군가의 프라이버시를 위협하는 일이 될 수도 있고, 그래서 적당한 선을 유지하는 게 가장 어렵고도 중요한 일입니다. 그 선을 찾지 못하면 내부자 위협 프로그램을 온전히 정착시킬 수가 없습니다.”

블랭큰쉽은 “여태까지 내부자 위협 방지 프로그램은 리스크에 대한 교육을 이뤄내는 것이 거의 전부였다”고 말한다. “하지만 여기에 사생활 보호, 투명성, 직원 경험 등의 요소들이 더 결합되어야 하고, 2020년에는 그런 방향에서의 전진이 있을 가능성이 높습니다. 물론 금융 기관 등 대단히 민감한 정보를 다루는 곳에서는 이미 내부자 위협 프로그램이 꽤나 향상된 상태이지만, 그 외 산업은 아직 걸음마 수준이거든요. 2020년에는 뭔가 달라질 수 있습니다. 일단 많은 조직들이 스스로 ‘뭔가 더 필요하다’는 걸 느끼기 시작했거든요.”

포레스터에서 해당 보고서를 작성한 블랭큰쉽은 이번 조사를 통해 “조직마다 맞춤형으로 내부자 위협 방지 프로그램을 준비해야 한다”는 걸 절실히 느꼈다고 한다. “하나의 정답이라는 건 없더라고요. 예를 들어 국방 산업의 계약 업체와, 남성 속옷을 전문적으로 파는 온라인 쇼핑몰과는 다뤄야 하는 리스크 자체가 다르겠죠. 그에 따라 내부자 위협도 전혀 다른 양상으로 나타날 수 있고요. 따라서 다른 대응과 규정, 절차가 필요합니다.”

그렇다고 해서 내부자 위협에 대해 편집증적으로 접근하는 것도 건강치 못하다고 그는 강조한다. “내부자 위협의 대다수는 순수한 실수로 인해 발생하는 겁니다. 악의가 개입되는 경우는 그리 많지 않죠. 그런데 이에 지나치게 집착한다면 같이 일을 해야 하는 직원들을 잠재적 범죄자로 몰아가는 것과 다름이 없습니다. 오히려 잃는 게 더 클 수 있습니다.”

아무리 강조해도 지나치지 않은 투명성
그래서 포레스터는 내부자 위협 방지 프로그램을 마련할 때 ‘투명성’을 가장 중요한 가치관으로 꼽는다. “조직은 프로그램에 대한 모든 것을 직원들에게 투명하게 공개해야 합니다. 동시에 직원들이 조직의 안전을 도모하는 데 어떤 식으로 기여할 수 있는지도 역할별로 알려줘야 하죠. 어차피 GDPR과 CCPA 같은 것들이 등장함으로써 조직은 직원들에게 보다 더 투명해져야 할 필요가 있습니다.”

블랭큰쉽은 직원들에게 투명하게 공개해야 할 것으로 다음의 두 가지 항목을 꼽았다.
1) 기업이 수집하는 정보
2) 해당 정보를 수집하는 이유
“이 두 가지를 공개함으로써 조직은 직원들을 교육시키는 효과를 얻을 수도 있습니다. 또한 정보 보호와 조직 보호라른 커다란 틀에서 한 가지 방향성을 잡을 수도 있고요. 사이버 보안 위협을 최소화 하는 데 있어 교육을 필수적인 요소입니다.”

또 하나 고려해야 할 건, 보안 프로그램을 지나치게 강조되면서 생산력과 사기가 떨어지는 현상이다. 포레스터의 조사에 의하면 보안 관련 정책을 우회하는 방법을 깨닫고 활용하고 있는 직원들이 약 7% 되는데, 이들 대다수(39%)가 업무를 능률적으로 처리하기 위해 그 같은 일을 저지르고 있었다고 한다. 그 외에 보안 정책이 타당하지 않다고 느끼는 사람이 34%였다.

블랭큰쉽은 “내부자 위협 프로그램을 인사부서에서 운영해야 한다는 주장도 있지만, 개인적으로는 보안 담당 부서가 권한과 책임을 가지고 주도하는 게 맞다고 본다”고 덧붙이기도 했다. “일단 인사부서는 내부자 위협이라는 것 자체를 잘 이해하고 있지 못합니다. 가장 잘 아는 사람들이 업무를 담당하는 게 맞죠.”

또한 블랭큰쉽은 “여러 팀의 의견을 다양하게 받아들여서 내부자 위협과 관련된 정책을 결정하는 것이 큰 도움이 된다”고 말하기도 한다. “이 때 정보보안의 입장에서, 전문적으로 내부자 위협을 설명하고 의견을 모으는 건 좋지 않습니다. ‘조직에 위험을 가져다 줄 수 있는 행위에 대해서 우리 조직은 어떤 식으로 대응할까?’라는 식의 일반적인 질문을 던지는 게 좋습니다. 그래야 더 다양한 의견이 나오고 쉽게 합의점에 도달할 수 있습니다.”

3줄 요약
1. 내부자 위협 방지 프로그램, 제대로 정착시키기 너무 까다로움.
2. 지나치면 사생활 침해…느슨하면 없느니만 못한 프로그램 되고…
3. 모든 임직원들 아우르는 투명성이 핵심. 정보 수집 현황과 목적부터 투명하게 공유해야 함.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>