업무에 기술을 이용하는 조직이라면 기업이든 정부든, 전 세계 기업에 서비스를 제공하는 클라우드 사업자든 간에 내부자에 의한 위협이 큰 문제다.
많은 보안 담당자와 정보 책임자는 해커를 두려워한다. 그러나 대형 보안 사고의 대부분은 내부자에 의해 이뤄져 왔다. 미국 연방수사국(FBI) 보고서에 따르면 보안 사고의 80%는 내부자에 의한 것이라고 한다.
개인 정보 보호도 마찬가지다. 최근 개인정보보호법 개정안이 통과됨에 따라 개인 정보 유출 사고가 발생하면 기업 책임이 지금보다 한층 강화되고 최고경영자(CEO)에게도 책임을 물을 수 있게 됐다. 기업은 개인 정보 보호를 위해 해킹과 같은 외부 위협을 막는 방안을 주로 고민 중이다. 그러나 해킹보다 무서운 것은 내부자다. 개인 정보 유출 사고 역시 고의로 또는 부주의한 내부자에 의해 대부분이 일어난다.
보안 사고를 일으키는 내부자는 부주의한 내부자와 악의적 내부자로 나눌 수 있다. 내부 네트워크·시스템 및 중요 정보에 합법적으로 접근할 수 있는 권한을 지닌 직원이 부주의로 기업을 위험에 빠뜨릴 수 있다. 중요 데이터가 담긴 USB 드라이브를 택시나 커피숍에 두고 오거나 노트북을 분실하는 게 좋은 예다. 집에서 보려고 자신의 웹 메일 계정으로 중요 데이터를 전송할 때도 많다.
부주의한 내부자보다 악의적 내부자는 더 큰 위협이다. 정보에 접근할 수 있는 권한을 지닌 직원이 홧김에 또는 정보를 훔쳐 금전적 이익을 취하려는 목적으로 정보를 유출할 수 있다. 퇴직·해고된 직원들이 정보를 넘기는 일도 빈번하다.
업무에 기술을 이용하는 조직이라면 기업이든 정부든, 또는 전 세계 기업에 서비스를 제공하는 클라우드 사업자든 간에 내부자에 의한 위협이 큰 문제다. 조직은 중요 정보 및 데이터를 관리하는 담당자를 어떻게 관리할 것인지 골머리를 앓고 있다. 결국 이 문제는 ‘감시자를 누가 감시하는가’라는 딜레마로 귀결된다.
정보기술(IT) 환경이 복잡해지고 고용 형태도 다양해지면서 내부자를 구별하고 권한을 통제하는 것이 무척 어려워졌다. 기업이나 정부 기관이 중요 데이터에 대한 외주 업체의 접근 권한을 관리하는 일은 쉽지 않다. 고객의 클라우드 인프라에 접근 가능한 클라우드 사업자를 관리하고 통제하는 일도 만만치 않다. 계약이 종료됐을 때 정부나 기업이 외주 업체 또는 클라우드 서비스 사업자에게 준 접근 권한이 완벽히 차단됐다고 확신할 수 있을까. 여기 몇 가지 방법이 있다.
우선 ‘최소한의 권한’ 부여 원칙을 세워야 한다. 사용자에게 필요 이상의 권한을 줘서는 안 된다. 인사팀 직원이 재무팀의 기밀 정보에 접근할 이유가 없다.
업무를 분리하는 것도 좋은 방법이다. 은행에서 대출을 영업하는 사람과 이를 심사하고 승인하는 사람은 달라야 한다. 특수 권한을 가진 사용자에 대한 철저한 관리도 필요하다. 내부자에 의한 정보 유출을 막기 위해서는 무엇보다 내부자에 대한 인식이 근본적으로 바뀌어야 한다. 지금까지 내부 보안을 강조해 왔지만 실상은 ‘우리 사람’들은 믿을 수 있다는 전제가 은연중 있었다. 하지만 최근 일어난 보안 사고들은 이런 믿음을 완전히 깨뜨리고 있다. 결국 철저한 계정 및 권한 관리를 통해서만이 기업의 위험을 줄이고 비즈니스를 성장시킬수 있다.
마이클 최 한국CA테크놀로지스 사장
1996년 산타클라라대 상공과학과 졸업. 1998년 HP 아메리카 플래닝 디렉터. 2006년 CA테크놀로지스 부사장. 2010년 한국CA테크놀로지스 사장(현).