default_setNet1_2

[류원호의 정보 보안이야기]보안의 기본은 내부자 관리부터

기사승인 2019.08.13  15:02:13

공유
default_news_ad1

[여성소비자신문]정보보안이라 하면 대부분 강화된 방화벽(Firewall)과 침입탐지시스템(IDS) 및 암호기술 등을 떠올릴 수 있다. 최근에 증가하는 다양한 악성코드나 해커의 위협을 언급하며 외부로부터의 공격을 고민하고 방어하는데 급급해 왔지만 실질적인 보안의 기본은 내부자 위협(Insider Threat)이며 사람관리가 정보보안의 기본적인 바탕이다. 따라서 전적으로 인간에 의해 보안사고가 발생하는 것으로 보아 종합적인 시스템이나 기술적인 문제보다 사람관리가 최우선 과제임은 틀림없다.

정부 기관과 기업에서 보안정책을 수립하고 정책에 맞는 시스템을 관리․운영하며 제반 보안조치를 취하는 작업들은 모두 인간에 의해 이뤄진다. 또 바이러스에 감염되거나 해킹되는 등 정책적으로 준수해야 될 것을 제대로 하지 않아 부주의로 발생하는 대부분의 보안사고 역시 인간에 의해 일어나므로 조직 내에서 인적요소는 가장 신뢰를 해야 하면서도 동시에 구성요소에 따라 신뢰성이 떨어지는 위협요소가 되기도 한다.

내부자에 의한 비의도적인 보안 사고는 가장 흔하게 나타나는 사고로 실수와 태만이 주된 원인이다. 조직 내에서 정해진 정책에 따라 규정과 방침을 준수하지 않기 때문에 발생하는 위협이야 말로 언론을 통해 반복적으로 보도되지 않아서 그렇지 가장 많이 발생하는 중요한 요인이다.

의도적인 위협은 크게는 인위적으로 무차별적 유포되는 악성코드, 전문해커의 위협, 테러리스트에 의한 위협요소 등이 있다. 또 전 세계적으로 가장 크게 부각되어 국가 간 무역전쟁현상까지 나타나는 군사적 비군사적 목적의 비공식적으로 자행되고 있는 사이버전이 진행 중이며 이 같은 사이버전에서 돈과 미인계 등으로 포섭되어 조력하는 내부자가 충분히 존재한다.

내부자 위협은 조직 내에서 현재 근무하고 있는 직원이거나 퇴직한 직원, 파트너, 협력사(용역업체) 인원일 수도 있다. 이들이 의도적 위협이 되어 조직 내에서 보안문제가 발생한다면 정부기관은 기밀 노출로 국익에 문제가 발생할 수 있으며 기업은 경제적 손실을 포함해 상당한 타격을 입을 수 있다.

이러한 공격자는 내부사정을 정확히 알고 취약점을 이해하고 있는 자들로 어느 조직이나 존재한다. 스파이 활동에 의한 포섭, 경쟁사의 매수에 의한 포섭 또한 어느 곳에서나 진행형이기 때문에 만약 내부자 위협을 대수롭지 않게 생각하는 관리자라면 보안의 원초적인 기본조차 모르는 것이라 평가할 수 있다.

정보보안이 잘 되어 있는 미국의 경우에 국토안보부 전직 직원이 내부정보를 빼돌린 사건이 발생하는 등 세계 각 선진국에서 조차 내부자에 의한 보안사고가 끊임없이 발생하고 있다.

우리나라의 국가기밀과 산업기술은 대부분 북한과 중국의 스파이 활동에 의해 유출된 사례가 많다. 중국의 경우는 주로 정보기관에서 산업스파이 활동을 직접 개입하고 있고, 기업의 인수 합병과 협력사에 위장취업해 다년간 근무하며 핵심기술을 절취하거나 외국인 연구원을 접촉해 자료를 획득하고 연구계약 만료 시 회유하여 기술을 탈취하기도 한다.

또 국제전시회 출품된 첨단제품의 전시담당자에게 접근해 회유하거나 해킹을 하는 등 기술자에게 접근해 좋은 조건을 제시하며 이직을 권유하는 방법 등 대부분 내부 구성원의 보안의식 해이와 취약점에 의해 중요한 산업기술이 유출되고 있다.

보안업계에서는 내부자 취약인물을 관리하는 솔루션도 다양하게 지속 출시되고 있다. 이러한 솔루션은 인공지능을 활용해 내부자 관리나 취약인물의 의도를 사전에 감지해 대처하거나 근무 위치나 시간과 경로 및 관심분야 등 행동징후를 분석해 이상 징후를 감지하고 보안 사고를 사전에 예방하는 것에 목적을 두고 있다.

그러나 이러한 솔루션 조차 정확히 이해하고 있는 고의성(악의성)이 있는 내부자라면 이를 극복하고 예상치 못한 방법으로 자료를 절취하거나 외부세력과 충분히 연계할 수 있다. 그렇다고 모든 구성원을 내부위협인물로 판단한다면 어리석은 것으로 이에 따른 부작용이 뒤따를 것이다. 직원 중에 누가 내부위협 인물인지 식별하는 것이 관건이다.

조직의 네트워크, 시스템, 데이터 접근할 권한을 갖고 있거나 갖고 있었던 사람 중에 취약한 직원이 있는지, 조직의 정보 혹은 시스템에 불필요하게 접근하거나 의도적으로 기밀성, 무결성, 가용성에 해를 끼치는 방식으로 접근한 취약한 직원이 있는지를 충분하게 지속적으로 진단해 보는 것이 기본이다. ​

관리자라면 모든 구성원에게 조직의 정보보안 정책을 주기적이고 반복(지속)적으로 교육해야 한다. 그리고 보안 의식을 높이기 위한 보안 요구사항을 채용 조건에 명시하도록 하고 이를 준수할 수 있도록 업무 상 취득한 주요 정보의 비밀 유지를 약속해야 한다.

또 업무상 취득한 정보는 공개하지 않으며, 퇴직 또는 계약 만료 시에도 누설하지 않을 것을 명시해 직원 채용 시 비밀유지서약서에 서명하도록 징구해야 한다. 그리고 인사 규정이나 조직의 보안정책에 있어서도 직원이 보안책임을 불성실하게 해 보안을 위반한 경우에 대한 처벌 규정을 반드시 포함시켜야 한다. 처벌뿐만 아니라 인센티브 같은 포상규정을 포함해 모든 구성원들에게 조직의 정보보안정책과 지침을 준수할 의무감을 부여하고 이를 위반할 시 그에 따른 징계 및 해고의 사유가 될 수 있음을 필히 고지시켜야 한다.

작금의 현실은 우리 모두 사람을 믿지 못하는 세상에 살고 있는데 이러한 세상은 외부의 누가 만든 것이 아니라 환경의 변화가 만들어 놓은 것이다. 가정에서부터 기업을 포함한 정부까지 모든 구성원이 상호 존중과 신뢰를 중시하고 특히 정부는 민심을 정확하게 읽고 기업은 말단 계층과 눈높이를 맞추며 원활하게 소통한다면 보안사고 예방은 물론 일본과의 무역전쟁에도, 타국과의 사이버전에서도 승리할 수 있다.

 

류원호 세종대학교 정보융합대학원 겸임교수 rwh1127@hanmail.net

<저작권자 © 여성소비자신문 무단전재 및 재배포금지>
default_news_ad4
default_side_ad1

인기기사

default_side_ad2

포토

1 2 3
set_P1
default_side_ad3

섹션별 인기기사 및 최근기사

default_setNet2
#top