[전문가 기고]디지털 포렌식의 선제적 활용이 보안사고를 예방한다

디지털 포렌식이란 PC·스마트폰 등의 디지털 데이터를 근거로 특정 행위의 사실관계를 규명하는 절차와 방법을 말한다. 그렇기 때문에 사고 발생 후 수행하는 과학적 증거조사라는 인식이 지배적이었다.

그러나 디지털 포렌식은 엄밀하게 따지면 수행 시점에 따라 `사전(事前)`과 `사후(事後)`로 나뉘고, 획득하고자 하는 목표에 따라 `증거(evidence)`와 `정보(information)`로 구분할 수 있다. 보안사고 발생 후 증거를 찾는 이른바 `소 잃고 외양간 고치기`식 `사후·증거 포렌식`도 중요하지만, 무엇보다도 사고 발생 전에 관련 정보(징후)를 탐지해 예방하게 해주는 `사전·정보 포렌식`이 우선돼야 한다.

최근 5년간의 보안사고를 분석한 결과에 따르면 전·현직 직원에 의한 사고가 78%고 여기에 협력업체 직원 등을 포함하면 95%에 육박한다고 한다. 결국 보안은 내부자 관리의 문제다.

`깨진 유리창 이론(Broken window theory)`이 있다. 이는 건물의 유리창을 깨진 채로 방치한다면, 사람들은 유리창을 더 깨도 문제될 게 없다고 인식해 결국은 우범지대로 전락한다는 이론이다. 이 이론을 보안에 적용하면 사소한 보안 위해 행위를 방치하면 직원들 간 보안 위반 욕구나 분위기가 확산되며 결국 대형 보안사고로 귀결된다고 볼 수 있다.

디지털 포렌식의 선제적 활용을 통해 보안 위반 관련 정보(징후)를 사전에 탐지하면 더 큰 재앙을 예방할 수 있다. `디지털 포렌식 불시점검`과 `포렌식 준비도 도입` 등이 그 방법이다. 불시점검은 임의로 선정한 부서 또는 직원의 PC·USB 등을 대상으로 퇴근 후 불시에 디지털 포렌식 점검을 하는 제도를 말한다. 준비도(Readiness)는 조직 내에 포렌식 장비를 미리 설치해 놓고 각종 로그기록을 상시 유지함으로써 사고발생 시 즉각 증거를 확보해 효과적으로 대응토록 하는 시스템이다.

물론 제도 시행에 앞서 임직원에게 정보자산 보호의 중요성과 이를 위한 디지털 포렌식 점검에 이해를 구하고 보안서약서 등의 근거자료를 확보해 두는 것이 좋다. 디지털 포렌식 점검으로 개인 USB 사내 무단 반입 연결 흔적, 인적이 드문 시간대(공휴일 또는 평일 자정 무렵)의 회사 PC 작업 내용 파악, 비인가 파일의 무단 저장 흔적, 기업기밀에 불법 접근한 사람과 일시와 방법 등 다양한 위반 정보(징후)를 탐지해 낼 수 있다. 점검 결과는 초기에는 해당 직원에게만 개별 경고하다가 단계적으로 위반사항과 처벌 결과를 공개해 전 임직원으로 하여금 보안규정 준수와 심리적 범죄예방 효과를 유도하게 된다.

`보안은 제품이 아니라 프로세스(Security is a process, not a product)`라는 말이 있다. 즉 보안은 단지 보안장비 도입만으로 해결되는 것이 아니라 위협에 대응하는 보안시스템을 임직원이 함께 만들어 가는 과정이 중요하다는 의미다.

보안사고 예방을 위해서는 가장 먼저 기업 임직원 모두가 보안의 중요성을 공감하고 부족한 예산과 인력이지만 성과를 극대화하는 자체 보안시스템 구축에 동참해야 한다. 또 이를 지원하고 교육해주는 정부와 산업보안 전문교육기관의 역할이 그 어느 때보다도 중요하다.

조병철 서울과학종합대학원 산업보안전문가(ISP)과정 주임교수 bccho@assist.ac.kr