중요한 정보들을 지키기 위해 꼭 필요한 보안, 외부에서 들어오는 공격과 내부 위협 중 어떤 것이 더 위험할까요? 사이버보안은 크게 해킹이나 악성코드와 같은 외부 위협에 대응하는 영역과 반대로 내부에서 데이터 유출을 막는 영역으로 나누어 생각해볼 수 있습니다.
기업은 대체로 보안을 위한 투자를 할 때, 외부에서 들어오는 공격에 대해 초점을 맞추고 있지만, 사실은 내부자로 인한 데이터 유출과 침해 등의 위협이 외부 공격보다 그 피해가 클 뿐더러 사전 탐지 및 대응이 매우 까다롭고 어렵습니다. 2014년도 초반, 사상 최악의 내부정보 유출사고가 발생했습니다. 3개의 카드사가 보유하고 있던 1억 건이 넘는 고객정보가 외부 용역직원에 의해 유출된 것입니다. 특히 당시에 유출된 고객정보는 단순히 고객들의 성명, 휴대전화번호, 자택 주소 등 개인적인 정보들 뿐만 아니라 카드 번호와 계좌정보 등 금융정보까지 유출된 것으로 확인되면서 사회에 미치는 파장이 실로 막대했습니다. 수많은 피해고객들의 카드 해지 요청으로 인해 카드사 업무가 마비될 정도에 이르렀음은 물론입니다. 또한 최근 발생했던 사회적 이슈인 N번방 사건 역시 피의자 중 한 명에 의한 주민 정보 불법 조회 및 유출 등은 모두 외부 요인에 의한 사고가 아닌, 외주 업체 직원과 공익 요원 등 모두 내부자에 의해 발생한 사고였습니다. 이처럼 의도적인 내부자 위협은 외부 공격보다 그 피해가 막대하고 대처하기 힘들다는 것을 알 수 있습니다. 이번에는 내부자 위협에 대한 정의와 현황을 알아보고, 내부자 위협으로 인한 피해를 최소화하기 위해 어떤 방안들이 있는지 이야기하고자 합니다.
① 내부정보가 유출되는 사례 외부 VS 내부
액션 영화에서는 내부정보가 경비가 삼엄한 곳에서 엄격하게 통제되고 관리되기 때문에 내부정보를 유출하기까지 어렵다는 과정을 보여주지만, 실제로는 생각보다 쉽고 허무하게 내부정보가 유출되는 사례들을 볼 수 있습니다.
내부정보가 유출되는 사례는 크게 두 가지로 나눌 수 있는데, 바로 ‘외부 침입으로 인한 유출’과 ‘내부 사용자에 의한 유출’입니다. 외부 침입으로 인한 유출을 쉽게 아는 사실처럼 해킹이나 APT 공격 등 말 그대로 외부에서 내부로 침입하는 공격을 당하고 이로 인해 유출을 당하는 것을 말합니다. 그러나 내부 사용자에 의해 발생하게 된 유출은 기업의 중요한 지적 재산이 담겨있는 USB나 외장 하드, 스마트 기기 등을 분실로 인해 발생하는 것, 또는 이메일을 잘못 발송하거나 이미 출력된 중요 문서의 분실, 내부자의 계획된 의도로 인한 범죄형 유출 등 다양한 방식을 가지고 있습니다. 초기에는 외부침입에 의한 정보유출 사고가 많았으나, 점차 IT환경이 복잡해지고 보안 사고의 유형이 지능화됨에 따라 이제는 내부자에 의한 정보유출이 전체 정보유출의 80% 이상을 차지할 정도로 높아졌습니다. 내부자에 의한 보안사고가 증가됨에 따라, 기업 내 중요한 정보와 핵심기술이 유출되어 큰 피해가 발생하고 있다는 것을 보여줍니다.
② 내부자 위협이란?
내부자 위협이란 조직의 보안, 데이터 및 시스템에 관한 내부 정보를 가지고 있는 직원이나 전직 직원, 계약자와 같은 사람들이 피해를 입히고자 하는 목적을 가지고 데이터를 유출하거나 피해를 입히는 등 그들로 인해 발생하는 조직에 대한 악의적인 위협을 말합니다. 이러한 위협에는 쉽게 새어나가선 안 될 기밀 정보나 가치 있는 정보, 지적 재산의 유출, 시스템 가용성 침해 등이 포함됩니다. 일반적으로 내부 직원들은 원활한 업무 수행을 위해 기본적으로 시스템에 대해 합법적 접근 권한을 가지고 있습니다. 하지만 이 권한들이 오남용될 경우 조직에 큰 피해를 끼칠 수 있습니다. 또 이렇듯 내부의 자산을 유출 시키는 경우를 쉽게 볼 수 있는데, 예를 들어 악의적인 마음을 가지고 회사의 자료들을 유출하지는 않았다고 하더라도 자신의 업무 결과를 ‘기업의 자산’으로 보기보다는 ‘개인의 자산’으로 여기기 때문입니다. 그 말은 즉, 퇴직을 하면서 회사의 고객 리스트를 뽑아 자신의 신규 사업에 활용하거나 영업 고객 리스트를 그대로 이직 시에 가져가는 것, 또는 자신의 개발 소스코드를 가지고 나가 외부 개발에 활용하는 것 등 자신의 작업물을 가지고 퇴사하여 활용하는 것 역시 내부자 유출 및 위협에 대한 예시라고 할 수 있습니다. 데이터에 대한 물리적 접근이 가능하다는 의미는 외부로부터 방화벽 등의 경계 보안 대책을 우회하기 위한 해킹이 필요 없으며, 별다른 방해 없이 조직 내부의 네트워크에 직접 접근할 수 있다는 것을 의미합니다. 내부자에 의해 발생하는 위협은 이처럼 외부 공격보다 방어하기가 훨씬 어려울 뿐만 아니라 피해 규모도 훨씬 클 수 있습니다.
③ 내부정보유출, 사고가 터지기 전에! 데이터 유출 방지 솔루션 도입이 필요하다
다양한 보안 사고로 인해 정보보호의 필요성이 커지고 정보유출 관련 컴플라이언스가 강화되면서 대부분의 기업들이 적어도 1~2개 이상의 보안시스템을 구축하고 있습니다. 대기업이나 금융권 등 정보유출에 민감한 기업들은 보다 더 데이터 보호에 중점을 둔 보안시스템을 구축하고 있고, 그 외 기업들도 기업의 소중한 지적 재산과 내부보안에 힘쓰기 위해 보안시스템을 구축하고 있습니다.
내부자로 인한 정보유출 피해를 방지하기 위해서는 내부에서 외부로 정보가 유출되기 이전에 미리 감시하고 차단하는 사전 보안시스템 구축 필요성이 높아지고 있으며, 이에 대한 시장 수요도 점점 증가하고 있는 추세입니다. 특히 앞서 말했던 것처럼 내부 직원이 금전적인 이익의 유혹이나 기업 정보를 개인 자산으로 여기는 경우, 내부자가 의도적으로 내부정보를 유출시키는 행위가 발생할 수 있습니다. 퇴사자들이 평소 자기가 활용하던 기업 내부 자료를 갖고 나서서 새로운 사업을 시작하거나 경쟁 기업에 이직하여 해당 자료를 활용할 수 있기 때문입니다. 이를 방지하기 위해서 내부정보가 유출되는 것을 모니터링하거나 인가된 자만이 정보에 접근할 수 있는 방안 등이 필요합니다.
DLP는 데이터 유출 방지 솔루션으로, PC 분야에 대한 개인정보를 실시간으로 검색, 암호화, 완전 삭제, 보유 등록, 전사 현황 관리, 개인정보 유출 전 사전 통제 기능 등을 제공합니다. 중앙 정책을 기반으로 미리 지정해둔 콘텐츠를 분석하여 PC에 저장되어 있는 기업 내 기밀 데이터가 외부로 유출되는 것을 항시 감시 및 기록하고 정책에 따라 유출을 차단시켜주는 것이 주 기능입니다. DLP 솔루션을 이용할 때에는 해당 보안 관리자가 USB나 외장하드, 프린터, CD, 네트워크 등 드라이버와 각종 포트에 이르기까지 오프라인 단의 모든 통제가 가능합니다. 또한 메일이나 메신저, P2P, 웹하드에 이르기까지 온라인 단의 통제가 가능하여 사전에 유출 사고를 방지할 수 있다는 것이 큰 장점입니다. DLP 솔루션은 이처럼 내부자 PC의 모든 유출 경로를 감시하고 추적함으로써 내부자들의 보안 의식을 고취시키는 역할을 합니다. 내부 인원의 위험도에 따라 잠재적 위험이 큰 내부 사용자가 있다면, 사전에 파악하고 인원 별로 다르게 정책 부여가 가능하여 담당자는 지사에서 누가 위험한 행동을 하는지 파악하고 행동을 분석할 수 있습니다.
④ 통합 내부정보 유출방지 및 감사시스템, GRADIUS DLP
* GRADIUS DLP는 정보의 흐름을 투명하게 관리하여 유출 사고를 사전 예방할 수 있으며, 중요 파이렝 대한 프로그램의 접근, 열람 차단으로 알려지지 않은 프로그램까지 실시간으로 차단하고 통제할 수 있습니다.
* 독립형 시스템으로 타 시스템(ERP, 그룹웨어, DRM, BPM 등)과의 연동이 용이하며, 단일 에이전트로 내부정보유출방지솔루션, 개인정보보호솔루션, 보안 USB, 토너절감솔루션 등을 지원하기 때문에 번거로움 없이 통합적인 관리가 가능합니다. 또한 정보 유출 시도가 있을 경우 해당 시점부터 PC화면을 동영상으로 저장하고 유출정보의 사본을 남겨 유출 추적과정에서의 현장 증거로 사용할 수 있습니다.
* 실시간 유출 조회 화면을 통해 유출 상황을 관리자가 한눈에 파악 가능하기 때문에, 유출 횟수가 높은 특정인 및 유출 형태에 대한 실시간 감사와 퇴직 예정자 그룹의 시스템적인 감시가 가능합니다. 솔루션 도입 시 사전에 정의된 키워드와 패턴을 통해 유출하고자 하는 파일 또는 파일 내에 키워드와 패턴이 존재할 시 외부로의 유출을 원천 차단하는 기능을 제공하여 직원으로부터 보안 의식을 갖게 합니다. 유연한 정책 설정을 통해 어려움없이 편리하고 효율적인 관리가 용이하며, 기존의 기록을 다양한 각도에서 해석하여 새로운 정책을 창출하는 것이 가능합니다.
보안 업계 관계자들은 더 나은 보안 환경을 위해서는 정보보안을 위한 정책 프로세스와 경영진의 보안의식을 고취시키는 것이 중요하다고 입을 모아 말합니다. 보안은 이제 선택이 아닌 필수요소기 때문에, 기업의 정보보안에 대한 인식변화가 필요한 것입니다. 최소한의 보안이 아닌 기업에 최적화된 보안을 구축하고 관리해야 하기 때문입니다. 이를 위해서는 경영진의 ‘보안은 큰 소비’라는 인식은 달라져야 하며, IT 예산 확보를 통해 기업에 맞는 보안 시스템을 구축하는 적극적인 투자와 이를 관리하는 보안 담당자에 대한 지속적인 모니터링 및 철저한 관리 감독이 필요할 때입니다.