최근 미국에서는 한 병원의 시스템 관리자가 자신이 해고당할 것을 두려워한 나머지 중요 환자들의 데이터를 암호화하고 잠적해버린 사고가 있었다. 결국 관리자는 그를 찾아내고 복호화 키를 받는 대가로 푸짐한(?) 퇴직 보너스와 언론에 이를 공표하지 않겠다는 약속까지 했다.
이 사건은 최근 빈번하게 발생하고 있는 내부자 보안사고(internal security breach)의 전형적인 사례로 기업보안을 위협하는 가장 큰 요소다. 이는 내부 직원에 의한 보안사고가 자사의 취약점과 보안환경에 대해 잘 알고 있는 내부 직원에 의한 것이기 때문에 외부 공격보다 훨씬 파괴적이기 때문이다.
미국 CSI(Computer Security Institute)의 최근 조사에 따르면 외부 공격으로부터의 평균 손실비용은 건당 5만5000달러 정도에 불과했지만 내부 사고의 경우 건당 평균 270만달러의 손실비용을 발생시켰다. 문제는 어떤 뛰어난 보안솔루션도 내부자의 위협을 완전하게 탐지하거나 방어해 낼 수 없다는 것이다. 그래서 사고의 원인인 ‘사람’, 즉 내부 직원에 대한 보안정책 수립이 필요하게 됐다.
그럼 왜 이 같은 내부자 보안사고가 발생하는지 또 이를 방지하는 보안정책 수
립방법은 어떻게 진행해야 하는지를 살펴보자.
내부자 보안사고의 원인은 여러 가지가 있을 수 있다. 인력난으로 보안담당자에 대한 최소한의 신원조회를 생략하고 면담을 통해 해결하고자 하는 것도 하나의 원인으로 지적된다. 또 아직도 남아있는 관료적인 조직 분위기로 인한 각종 스트레스도 내부자 보안사고의 원인으로 파악된다.
이를 방지하기 위해서는 이른바 인간중심적 보안감사 접근방법인 ‘직원 보안 감사(PSA:Personnel Security audit)’가 사용된다. 이 방법은 기업의 직원관리시스템이 내부자 보안사고의 개연성을 어떻게 탐지, 모니터, 예방, 중재하고 있는지를 지속적으로 평가할 수 있다.
PSA 방법은 과거 사고의 구조적 평가를 통해 조직의 취약성과 직원 관리역량 향상 방향을 고민하는 사고 조사(incident review)를 얻어낼 수 있다. 또 여러 가지 다양한 시나리오를 통해 실제 직원관리시스템의 강점과 약점을 증명하는 침투 테스트(penetration test) 평가를 할 수 있다. PSA는 다음과 같은 4단계로 구성된다.
우선 직원관리시스템의 문제를 잘 파악하고 있는 정보보호부서 인력을 중심으로 감사팀을 구성해야 한다. 이후 이 감사팀은 조직을 직원이 흘러가는 하나의 시스템으로 간주하고 채용관행, 경력자 심사, 선택 프로세스, 직원교육 및 동화 절차(특히 보안의식 교육), 직무배치, 임시 계약직의 고용 및 심사절차, 잠재적인 위험직원을 식별하는 역량, 직원문제를 다루는 해결책, 효과적인 중재역량, 노사관리 정책과 관행, 정책에 대한 의식교육 수준 등 감사 영역을 식별하는 작업을 한다.
식별작업이 끝나면 어떻게 이런 정책과 프로세스를 평가할 것인지를 결정하고 한 직원을 선택한다. 그리고 그의 채용과정에서부터 퇴직까지의 기록을 검토해 내부자 위험에 대해 내부자 보안관리시스템이 어떻게 관리-탐지-예방을 실행하는가를 지켜본다.
마지막으로 이 세단계에서 식별된 약점에 대한 해당 산업의 사례 비교를 통해 과거 내부 보안사고의 빌미를 제공했거나 이를 탐지하고 중재하는데 부족한 약점을 중요도 순으로 나열한다. 그리고 나열된 특정 타입의 내부 보안사고 위험에 대한 적절한 해결책을 제시하면 중요 위험에 대한 해결책의 우선순위를 판단하게 된다.
다만 이 해결 우선순위는 해결책에 소요되는 비용이나 기대효과에 대한 요소가 배제된 상태이므로 이 부분을 고려, 우선순위를 보정해야 한다.
전자상거래의 증가에 따라 빈번해진 내부자 보안사고는 비용 효율적인 측면에서 사전 감사의 필요성을 인지시키고 있으며 이런 의미에서 위와 같이 해당 조직과 개인에 대한 보안 위험 요소를 사전에 탐지하고 관리하는 데 유용한 도구를 반드시 갖추어야 할 것이다.
마크 에임스 트루시큐어아시아 CTO
송기정 트루시큐어코리아 애널리스트(kjsong@trusecure.com)
많이 본 뉴스
-
1
中 BOE, 삼성 갤럭시S27 OLED 공급 불발
-
2
민형배 전남광주특별시장 "반도체 경쟁력은 사람"… 인재 양성 체계 구축 논의
-
3
삼성, 영남에 피지컬 AI 60조원 투자...일자리 20만개 쏟아진다
-
4
삼성 초기업노조 “호남 반도체, 정부도 회사도 우리와 협의해라"
-
5
KT, 5G·LTE 통합요금제 출시…이통 3사 요금제 개편 마무리
-
6
李 대통령 “영남, 글로벌 첨단 제조업 거점으로…우주항공이 새로운 먹거리 될 것”
-
7
첫 결재는 '30분 평택'…최원용 시장, 생활권 재편 속도
-
8
방사선에 무너진 장 되살릴까…엔지켐생명과학, EC-18 치료 가능성 중동물서 검증
-
9
타타대우모빌리티, 중형 트럭 '하이쎈' 1호차 고객 인도
-
10
AWS 이어 MS도 'FDE' 조직 신설…“3조8000억원 투자”
브랜드 뉴스룸
×



















