* 본 콘텐츠는 2017년도 기준으로 작성된 글을 재업로드 한 콘텐츠입니다.
정보 보안 사고가 매년 기록을 갱신하고 있고, 수많은 연구 보고서가 사고 중 상당수는 내부자에서 비롯된 것이라는 같은 목소리를 내고 있습니다. 특별한 권한을 가진 내부 직원이나 외주 직원을 유의해야하는데요, 보안에 특히 유의해야 할 내부자 10인에 대한 이야기를 공유합니다.
01 CEO
예상하셨겠지만, 가장 높은 자리에 있는 인물이 리스트에서도 첫번째에 올라갑니다. 올해 초 FBI는 CEO를 노리는 정교한 공격이 지난 3년 간 총 23억 달러의 손실을 유발시킨 것으로 추산했습니다. 이러한 공격은 CEO가 가지는 권한과 지위을 노리는 것입니다. 하지만 공격작들에게는 조직의 모두가 매력적인 먹잇감일 수 있음을 기억해야합니다.
02 임원 비서
많은 조직의 임원 비서는 다양한 정보에 접근할 수 있습니다. 정보를 가진 이라면 곧 공격 대상이라는 의미가 됩니다. 임원진 정보, 절차 정보, 로그인 등과 관련된 고급 시스템 정보, 재정 데이터, 여타 기밀 파일 등 모든 것이 공격의 목적이 될 수 있는 정보들입니다.
03 보안 컨설턴트
보안 컨설턴트 역시 외부 인물이라는 사실을 기억해야 합니다. 다층형 보안은 종종 외부 보안 서비스 기업으로부터의 지원이나 통합을 필요로 합니다. 보안 컨설턴트들에게는 쉽게 네트워크와 기업 전반를 누비고 다닐 수 있는 권한이 부여됩니다. 시간을 들여 이들 공급자들의 보안 상태를 점검해야 할 이유가 있습니다.
04 전직원이나 이전 벤더
직원의 퇴사나 벤더사의 계약 종료를 마무리하는 것은 쉬운 작업이 아닙니다. 많은 조직들이 무엇을 조심해야하는지 알지 못하는 경우도 있습니다. 오늘날 모든 업종에 걸쳐 조직들이 가장 흔히 저지르는 실수는 관계가 끝난 직원이나 벤더의 권하는 방치하는 것입니다. 접근권한을 차단하지 않는다면 공격에 쉽게 노출될 수 있고 이로 인해 사고로 이어지는 경우가 자주 있습니다. 공격면을 줄이기 위해서는 이러한 프로파일을 반드시 삭제해야 합니다.
05 신임 IT 리더, 관리자
큰 권한을 가지지만 새로운 상황에 익숙하지 않은 이가 있다면 당연히 공격 대상이 됩니다. 해커들은 놀라울 정도로 교묘한 책략을 구사하곤 하는데 새로운 지위에 오른 IT 고위직은 프로토콜이나 절차에 익숙하지 않을 수 있습니다. 소셜 엔지니어링 공격에 넘어가 해커에게 고위 권한을 넘겨줄 가능성에 대비하는 것이 좋습니다.
06 소셜 미디어 관리자
소셜 미디어를 담당하는 이라면 온라인에 자신의 정보를 적극적으로 게재하는 경향이 있습니다. 소셜 미디어 담당자들의 정보는 다른 정보에 비해 비교적 쉽게 여러 소셜 서비스에서 확인할 수 있습니다. 사이버 범죄자들은 이러한 정보를 통해 이들로위장하고 시스템이나 정보에의 접근권을 요청하곤 합니다.
07 외주 업체
기업의 규모가 클 수록 비즈니스 생태계는 복잡해 지고 작은 업체여도 고립된 업체는 존재하지 않습니다. 그간의 보안 사고에서 드러났듯이 외주 업체가 VPN으로 시스템에 직접 접근할 수 있는 경우가 많이 있습니다. 이는 해커에게 탐스러운 진입점이 될 수 있습니다. 벤더의 권한이 제한적인지, 통제되고 있는지 확인할 필요가 있습니다.
08 임시직 직원
기업에 따라 임시직은 주요 보안 구멍이 될 수 있습니다. 특히 성수기 시즌에 맞춰 임시직을 고용하는 기업의 경우 그 권한이 정규직과 크게 다르지 않아 문제가 될 수 있습니다. 노트북이나 모바일 기기를 지급받거나 지불 및 결제 시스템에 접근할 수 있는 권한이 부여되기도 합니다. 이들에 대한 보안 정책을 간과해서는 안 됩니다.
09 클라우드 컴퓨팅 관리자
클라우드가 비즈니스에서 차지하는 비중이 증가하면서 이에 대한 보안도 고도화 되어야 합니다. 이전에 비해 클라우드 관리자가 기업 전반의 핵심 정보에 쉽게 접근할 수 있는 경우가 많아졌습니다. 클라우드에 점점 더 중요한 정보가 많이 저장되고 있기 때문이지만 그렇기 때문에 해커들이 노릴 만한 충분한 직책이라고 볼 수 있습니다.
10 사회 공헌 기업
좋은 의도가 나쁜 결과를 가져올 수 있습니다. 2014년 JP 모건 체이스 해킹 사건이 좋은 사례가 될 수 있습니다. 여러 사회적 단체들은 그들을 후원하는 기업의 시스템에 접근할 수 있게 되어있는 경우가 많습니다. 직원 정보에의 접근권을 갖거나 공헌 활동에 참여한 직원 또는 부서 정보를 가진 경우가 종종 있습니다.
출처 : CIO Korea