최근 미국에서는 한 병원의 시스템 관리자가 자신이 해고당할 것을 두려워한 나머지 중요 환자들의 데이터를 암호화하고 잠적해버린 사고가 있었다. 결국 관리자는 그를 찾아내고 복호화 키를 받는 대가로 푸짐한(?) 퇴직 보너스와 언론에 이를 공표하지 않겠다는 약속까지 했다.
이 사건은 최근 빈번하게 발생하고 있는 내부자 보안사고(internal security breach)의 전형적인 사례로 기업보안을 위협하는 가장 큰 요소다. 이는 내부 직원에 의한 보안사고가 자사의 취약점과 보안환경에 대해 잘 알고 있는 내부 직원에 의한 것이기 때문에 외부 공격보다 훨씬 파괴적이기 때문이다.
미국 CSI(Computer Security Institute)의 최근 조사에 따르면 외부 공격으로부터의 평균 손실비용은 건당 5만5000달러 정도에 불과했지만 내부 사고의 경우 건당 평균 270만달러의 손실비용을 발생시켰다. 문제는 어떤 뛰어난 보안솔루션도 내부자의 위협을 완전하게 탐지하거나 방어해 낼 수 없다는 것이다. 그래서 사고의 원인인 ‘사람’, 즉 내부 직원에 대한 보안정책 수립이 필요하게 됐다.
그럼 왜 이 같은 내부자 보안사고가 발생하는지 또 이를 방지하는 보안정책 수
립방법은 어떻게 진행해야 하는지를 살펴보자.
내부자 보안사고의 원인은 여러 가지가 있을 수 있다. 인력난으로 보안담당자에 대한 최소한의 신원조회를 생략하고 면담을 통해 해결하고자 하는 것도 하나의 원인으로 지적된다. 또 아직도 남아있는 관료적인 조직 분위기로 인한 각종 스트레스도 내부자 보안사고의 원인으로 파악된다.
이를 방지하기 위해서는 이른바 인간중심적 보안감사 접근방법인 ‘직원 보안 감사(PSA:Personnel Security audit)’가 사용된다. 이 방법은 기업의 직원관리시스템이 내부자 보안사고의 개연성을 어떻게 탐지, 모니터, 예방, 중재하고 있는지를 지속적으로 평가할 수 있다.
PSA 방법은 과거 사고의 구조적 평가를 통해 조직의 취약성과 직원 관리역량 향상 방향을 고민하는 사고 조사(incident review)를 얻어낼 수 있다. 또 여러 가지 다양한 시나리오를 통해 실제 직원관리시스템의 강점과 약점을 증명하는 침투 테스트(penetration test) 평가를 할 수 있다. PSA는 다음과 같은 4단계로 구성된다.
우선 직원관리시스템의 문제를 잘 파악하고 있는 정보보호부서 인력을 중심으로 감사팀을 구성해야 한다. 이후 이 감사팀은 조직을 직원이 흘러가는 하나의 시스템으로 간주하고 채용관행, 경력자 심사, 선택 프로세스, 직원교육 및 동화 절차(특히 보안의식 교육), 직무배치, 임시 계약직의 고용 및 심사절차, 잠재적인 위험직원을 식별하는 역량, 직원문제를 다루는 해결책, 효과적인 중재역량, 노사관리 정책과 관행, 정책에 대한 의식교육 수준 등 감사 영역을 식별하는 작업을 한다.
식별작업이 끝나면 어떻게 이런 정책과 프로세스를 평가할 것인지를 결정하고 한 직원을 선택한다. 그리고 그의 채용과정에서부터 퇴직까지의 기록을 검토해 내부자 위험에 대해 내부자 보안관리시스템이 어떻게 관리-탐지-예방을 실행하는가를 지켜본다.
마지막으로 이 세단계에서 식별된 약점에 대한 해당 산업의 사례 비교를 통해 과거 내부 보안사고의 빌미를 제공했거나 이를 탐지하고 중재하는데 부족한 약점을 중요도 순으로 나열한다. 그리고 나열된 특정 타입의 내부 보안사고 위험에 대한 적절한 해결책을 제시하면 중요 위험에 대한 해결책의 우선순위를 판단하게 된다.
다만 이 해결 우선순위는 해결책에 소요되는 비용이나 기대효과에 대한 요소가 배제된 상태이므로 이 부분을 고려, 우선순위를 보정해야 한다.
전자상거래의 증가에 따라 빈번해진 내부자 보안사고는 비용 효율적인 측면에서 사전 감사의 필요성을 인지시키고 있으며 이런 의미에서 위와 같이 해당 조직과 개인에 대한 보안 위험 요소를 사전에 탐지하고 관리하는 데 유용한 도구를 반드시 갖추어야 할 것이다.
마크 에임스 트루시큐어아시아 CTO
송기정 트루시큐어코리아 애널리스트(kjsong@trusecure.com)