보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

우리 직원이 회사 데이터를 빼돌린다면? 사건 전말을 공개하라

고의든 실수든 점차 늘어나는 내부자 위협

회사 평판 해칠까 숨기면 더 큰 후폭풍 만날지도
사건 발생하면 전면에 나서서 정보 공유해라


훔쳐낸 크리덴셜로 많은 것을 할 수 있다. 사이버 공격자가 민감한 정보에 접근하고 싶을 때나 음모를 꾸밀 때가 대표적인 예다. 국가의 지원을 받는 범죄 조직이나 IP 도둑들이 ‘돈을 좀 벌어볼까’ 하고 생각할 때 가장 먼저 떠올리는 것도 이런 훔친 크리덴셜이다.

그런데 다음과 같은 경우가 있을 수 있다. 회사의 내부 직원이 딴 마음을 품는 경우 말이다. 내부 크리덴셜을 훔쳐내는 등 회사의 사이버 보안을 침해하기 위해 내부자가 펼칠 수 있는 공격 정도는 매우 심각하다. 경영하는 사람은 이를 잘 인지하고 있다. 우연한 사고로든 나쁜 의도로 벌어지든, 일명 ‘내부자 위협’은 점점 더 흔한 일이 돼가고 있다. 기술은 빠르게 발전하는데 직원 교육은 그 속도에 맞추지 못하기 때문이다.

우연한 사고나 부주의한 직원에 의해 내부자 위협이 발생한 경우, 문제되는 범위와 관련해 정확한 데이터를 확인하는 게 아주 어렵다. 게다가 회사들이 이런 침해 사건을 소리 소문 없이 묻어버리기 때문에 확인은 더 어렵게 된다. 필자는 CISO로서 대다수 회사가 침해 사건과 관련한 세부사항을 완전히 공개하길 왜 망설이는지, 다음과 같은 이유에서 충분히 이해한다.

1) 회사 브랜드가 더럽혀 진다
역사상 그 어느 때보다 기업이 고객 정보를 갖고 있는 시대에, 기업들은 고객이 자사를 신뢰하기를 원한다. 만약 내부자 침해 사건을 드러난다면, 그런 신뢰에 심각하게 금이 갈 수 있고 고객들은 다음 번 구매 시 이런 회사 제품을 다시 사야 할지 고민하게 될 것이다.

2) 비용이 많이 드는데다 창피한 일이다
사실인지 아닌지가 중요한 게 아니다. 대다수 기업들은 침해 사건이 기업의 경영 실패로 느끼고, 구체적으로 사건을 드러내는 일이 기업 운영과 정책에 대해 의구심만 더 키울 것이라고 느낀다. 또한, 침해 사건의 뒷수습도 돈이 많이 드는 일이다.

3) 침해를 꼭 밝혀야 할 의무는 없다
침해 공지와 관련해 현재 여러 법률이 조합되고 있다. 주(state)별로, 산업별로, 침해 종류별로 각기 법률이 다르기 때문이다. 하지만 유럽 일반정보보호규정(GDPR)과 같이 최근 생겨난 규정들을 통해 변화가 생길지도 모른다.

위의 세 가지 우려는 모두 타당하다. 침해 사건 공개로 입을 피해가 그 혜택보다 훨씬 더 크게 느껴질 것도 이해한다. 그러나 일단 필자의 의견도 들어봐 주었으면 한다.

필자는 기업들이 내부자 침해를 최대한 상세하게 공개해야 한다고 생각한다. 전부 다 공개하기 어렵다면 가능한 한 최대의 범위에서 밝혀야 한다. 고의로 발생한 일이든 사고로 일어난 일이든 공개하고, 그럼으로써 상생을 추구해야 한다. 이런 행동은 기업이 자신의 적을 더 잘 이해하도록 돕고, 사이버 보안과 관련한 훈련이나 교육을 어디에 집중적으로 쏟아야 하는지 보여줄 것이기 때문이다.

아직 의심이 남았다는 걸 안다. 그럼 다음의 예를 보자. 2016년 여름과 가을, 세계적 기업 듀폰(DuPont)의 한 직원이 듀폰의 화학식 등 자체 기술 정보와 고객 정보가 들어있는 수천 개의 파일을 복사한 뒤 삭제한 일이 있었다. 사건 직후, 해당 직원은 자신의 컨설팅 회사 설립을 준비하면서 듀폰에 퇴직 의사를 밝혔다. 그가 나가기 직전, 다른 듀폰 직원 한 명이 그가 개인 휴대전화로 듀폰의 기기들을 촬영하고 있는 것을 적발했다. 더 이상 자세하게 설명할 것 없이 결론만 말하자면, 이 사건은 관리 체계에 따라 보고됐고 자연스레 그 시점부터 확대되기 시작했다. 듀폰은 해당 직원을 연방수사국(FBI)에 데려가 이 시점까지 수집한 모든 정보를 공개했다.

그 직원은 듀폰에서 27년을 일했다. 만약 듀폰이 사건에 적절하게 접근하지 않았다면 듀폰의 명성은 의심의 여지없이 심각하게 훼손됐을 것이다. 듀폰은 재빠르고 조용하게 이 사건을 묻어버릴 수도 있었다. 그렇게 하는 대신 듀폰은 가능한 한 최대로 정보를 수집한 뒤 내부자를 정부 당국에 보고해, 어떻게 이런 일을 해낼 수 있는지 다른 기업들에게 보여줬다.

필자는 듀폰의 접근법에 찬사를 보내며, 내부자 침해 공개의 이점을 설명하기 위한 본보기 사례로 삼고자 한다.

1) 사건에 대한 이야기를 주도할 수 있다 (후폭풍도 따른다)
듀폰이 내부자 침해 사건을 비밀리에 묻어두기로 결정했다고 가정해보자. 시간이 흘러 결국 다른 누군가가, 어떤 곳에서 이 사건을 알게 될 가능성이 매우 높다. 듀폰은 직접 나서서 사건의 전면에 섰다.

2) 기업들이 협력할 수 있다
우리는 다른 사람의 실수로부터 배운다. 듀폰의 접근법을 통해 다른 수많은 기업들이 어떤 낌새를 채고 내부자 위협을 적발하기 위해 자사 직원들을 훈련하기 시작했다는 데 필자는 추호의 의심도 없다. 만약 내부자 침해가 부주의함이나 의도치 않은 실수에서 비롯됐다면, 많은 가르침을 받은 순간이 됐을 것이다.

3) 침해 경감 전략을 개발하기 위한 정보가 된다
내부자 침해를 공개하면 다른 기업들에 정보를 줄 수 있고, 심지어 전체 산업 차원에서도 최선의 실행 방법이 무엇인지 알려줄 수 있다. 이런 정보로 위협 요인들이 어디에 있는지, 문제의 범위와 크기는 어떻게 되는지 밝힐 수 있다.

그러므로 진짜 질문은, 기업들의 사고방식은 언제 바뀔까가 될 것이다. 더 큰 선(善)을 지향하고, 서로 도우며 함께 일할 수 있는 내부자 침해 공개의 혜택을, 기업들은 언제 깨닫기 시작할까?

높은 수준의 규제를 받는 산업계에서 지금 변화가 일어나고 있다. 정보를 둘러싼 규제들이 유럽연합이나 그 너머의 지역에서도 점점 일반화됨에 따라, 상장기업들은 이제 침해 사고가 어떻게 발생했는지 보고서를 통해 최대한 상세하게 설명하도록 요청 받을 것이다. 규모가 작고 자족적인 산업과 기업에 관해서는 앞으로도 별다른 이야기가 들리진 않을 것 같다. 그런 산업이나 기업은 기밀정보를 내부적으로 유지하면서 자체 정리하는 경향이 있기 때문이다.

내부자 위협은 기업이 직면한 가장 심각한 위협 가운데 하나다. 현실 세계에서 일어난 사건들에 대해 각자가 수집한 방대한 정보를 공개하고 또 공유한다면, 직원들을 더 잘 교육시킬 수 있고 악성 행위자들이 활개 치는 걸 줄일 수 있으며 기업 환경 전반을 보다 안전하고 튼튼하게 구축할 수 있을 것이다.

글 : 다니엘 잭슨(Danielle Jackson)