팬데믹으로 인해 ‘대 퇴직의 시대’가 촉발되더니, 팬데믹이 수그러드나 싶을 때 IT 대기업들에서 수만 명의 사람들이 한꺼번에 퇴사했다. 그러면서 임직원의 퇴사를 안전하게 하는 방법들에 대한 제안과 방법론들이 다시 한 번 강조되기 시작했다.
[보안뉴스 문정후 기자] 자의든 타의든 대량 해고 및 퇴직이 이어지면서 ‘안전한 퇴사 과정’에 대한 관심이 새롭게 생겨나기 시작했다. 특히 임직원의 퇴사 과정을 수동으로 처리하는 기업들에서는 퇴사 처리의 실수가 보안 문제로까지 불거지는 중이다. 최근 트위터, 페이스북, 아마존에서 대량의 인원들이 나오면서 ‘안전한 퇴사 처리’가 공론화 되고 있다.
[이미지 = utoimage]
안전한 퇴사가 골칫거리가 되고 있는 건, 이 대규모 퇴직 사태가 일어나기 전 코로나로 인해 회사들의 업무 네트워크가 분산됐기 때문이다. 이는 회사의 중요 데이터로 접근하는 경로가 대량으로 늘어났으며, 회사가 승인하지 않은 IT 기술(앱이나 장비 등)의 활용 가능성이 높아졌다는 뜻이다. 퇴사할 사람이 어떤 장비와 앱을 가지고 어떻게 회사 네트워크에 접속해 데이터를 열람했는지 하나하나 다 파악해 차단해야 하는데, 이 부분의 작업량이 대폭 증가했다고 볼 수 있다. 그래서 자동화 기술을 검토하는 사례가 늘어나는 중이다.
하지만 움니차(Oomnitza)가 최근 조사한 발표 자료에 의하면 “IT 결정권자의 절반 가까이가 퇴직 프로세스 자동화를 완전히 신뢰하지 못하고 있다”고 한다. 또한 기업의 1/3 이상이 퇴직 프로세스를 온전하게 진행하지 못해 10% 이상의 기술 자산을 잃는다고 한다. 퇴직자가 퇴직 후 기업의 SaaS나 클라우드 자산에 무단으로 접근하는 사례도 42%나 기록됐다.
ETM 구축으로 엔드포인트와 애플리케이션 강화하기
움니차의 공동 창립자인 라민 에테해드(Ramin Ettehad)는 “기업기술관리(ETM) 솔루션들을 추천한다”는 입장이다. “ETM들은 풍부한 데이터 분석 기술과 간소화 된 워크플로우를 제공하기 때문에 직원들을 회사 망에 추가하고 빼는 것을 쉽고 꼼꼼하게 진행할 수 있게 된다”고 설명한다. “누군가 회사를 나갈 때, 해당 인물이 사용하던 모든 엔드포인트, 액세서리, 애플리케이션, 클라우드 계정 등을 깔끔하게 알아내 관리할 수 있게 됩니다. 직원들이 처음 입사하는 단계에서부터 이런 집계가 이뤄지고 현황이 관리되거든요.”
이런 류의 솔루션들은 엔드포인트들과 그 안에 저장된 데이터들도 지켜주고, 소프트웨어 라이선스까지도 관리해준다. 클라우드 및 SaaS 계정도 자동으로 소멸시키거나 중단시킨다. 나가는 임직원의 이메일 계정들도 더 이상 당사자에 의한 접근이 불가하도록 만든다. “이런 기능들은 전체 팀과 시스템을 아우르는 프로세스 자동화를 통해 구현되는 것이지, 수동적으로 이뤄지는 요소들은 거의 없다고 볼 수 있습니다. 그러므로 지연되거나 제외되는 일도 없습니다.”
보안 업체 사이버헤이븐(Cyberhaven)의 CEO인 하워드 팅(Howard Ting)은 “싱글사인온 솔루션을 활용할 경우 특정 직원의 각종 접근 권한을 클릭 한 번으로 차단할 수 있다”고 팁을 준다. “그렇기 때문에 많은 기업들이 퇴직하는 사람들의 계정을 빠르게 비활성화시킬 수 있습니다. 문제는 퇴직하는 사람들이 회사에서 이런 조치를 취하기 전부터 고객 정보나 소스코드 같은 걸 챙겨둔다는 것이죠. 수개월 전부터 퇴직을 마음 먹고 자료부터 챙겨 두는 사람을 막을 방법은 거의 없습니다.”
퇴직 프로그램 마련하기
즉 특정 솔루션 한두 개 가지고 자료를 가지고 나가고자 마음 먹는 사람을 막을 수는 없다는 것인데, 팅은 “그렇기 때문에 인사 팀, 보안 팀, IT 팀 등이 합동으로 퇴직 프로그램을 마련하고 협조 체계를 구성해야 한다”고 강조한다. “인사 팀은 직원의 퇴직과 관련된 행정적 절차를 마련하고 당사자에게 알리는 역할을 해야 하고, IT 팀과 보안 팀은 제 때에 당사자의 접근 권한을 비활성화시켜야 합니다. 그러면서 동시에 당사자의 비정상적인 행동 패턴에 대한 모니터링도 강화해야 하죠. 이런 모든 절차들이 딱딱 맞아떨어져야 보다 안전하게 직원의 퇴직을 도울 수 있게 됩니다.”
하지만 임직원이 오래 전부터 회사 데이터를 자신의 개인 장비에 모아두고 있었다면 어떨까? 이런 경우를 대비해 계약서에 고용 관계가 종료될 시 개인 장비나 애플리케이션에 있는 모든 데이터를 삭제해야 한다는 내용을 포함시키고 상호 간에 합의를 해야 한다. 에테해드는 여기에 더해 “원격 근무자들이 사용하는 장비에 대한 관리 체계가 진작부터 마련되는 게 중요하다”고 말하기도 한다.
“퇴사자들의 경우를 생각하여 회사의 네트워크에 원격에서 접속하여 데이터를 활용할 때의 규정과, 그에 맞는 워크플로우가 새롭게 마련되는 것이 중요합니다. 그리고 자동화 기술을 사용해 그러한 규정들이 잘 지켜지고 있는지도 늘 모니터링 하고요. 안전한 퇴직 프로세스는 사실 임직원의 근무 시기 때부터 시작되는 겁니다.”
미리 시나리오를 마련하라
IT 업체 콜파이어(Coalfire)의 CEO 톰 맥앤드류(Tom McAndrew)는 “각종 시나리오를 미리 마련하는 게 중요하다”고 강조한다. “퇴직자가 사용하던 아이덴티티를 관리한다는 게 말이 쉽지, 어마어마하게 복잡한 일입니다. 임직원 한 사람 한 사람이 근무 기간 동안 얼마나 많은 애플리케이션들을 그 아이덴티티로 접속했는지를 생각해 보면 이해가 갈 겁니다. 요즘 업무에 사용되는 앱의 종류가 얼마나 많은지도 생각해 보세요. 결국 안전한 퇴직 절차라는 건, 아이덴티티 관리라는 것의 일환이 될 수밖에 없습니다.”
그렇기 때문에 맥앤드류는 인사 부서와 보안 부서가 퇴직 절차를 합작해야 한다고 강조한다. “따로 따로 진행하는 조직에서는 인사 부서나 보안 부서에서 한두 가지 솔루션들로 파편적인 문제들을 처리하려는 경향을 보입니다. 장기적 관점에서 문제를 들여다보려는 노력이 없죠. 즉 퇴직자가 이런 식으로 행동을 하면 어떨까, 라고 하는 가상의 시나리오를 두고 대책을 마련하려 하지 않습니다. 사실은 그게 정말로 중요한데 말이죠.”
그러면서 맥앤드류는 “조직에 소속되어 있지 않으면서 여전히 조직의 내부 자산에 접근할 수 있는 사람의 존재는 조직 전체에 커다란 위협”이라고 경고한다. “특히 조직에 불만을 가진 사람이라면 자신이 가지고 있는 접근 권한을 가지고 무슨 일을 할지 예측할 수 없습니다. 그런데다가 인사 부나 정보 보안 팀이 대량 퇴직 사태로 계정 관리를 꼼꼼하게 할 수 없는 상황이라면 어떨까요? 상상하기 싫을 정도로 큰 일이 발생할 수 있게 됩니다. 실제 그런 사례들이 많기도 하고요.”
맥앤드류는 회사에 앙심을 품은 퇴직자가 중요 데이터를 전부 삭제하는 사건이 종종 벌어진다고 하며, “지워진 데이터가 무엇이냐에 따라 업무가 장시간 마비되기도 하고, 법적 분쟁에 휘말릴 수도 있다”고 설명을 추가한다. “어느 쪽이든 기업 입장에서는 무시 못할 금전적 손해를 입게 됩니다. 심지어 아예 문을 닫기도 합니다.”
SaaS와 클라우드 앱에 대한 미승인 접근
IT 업체 두컨트롤(DoControl)의 제품 부문 책임자인 코리 오코너(Corey O’Connor)는 “클라우드와 SaaS가 넘쳐나는 때에, 각종 서비스에 대한 퇴직자들의 접근 권한을 전부 찾아내 차단하는 게 필수적”이라고 강조한다. “퇴직자가 나가기 직전 혹은 나간 직후에 이 부분을 처리하는 건 너무 늦습니다. 임직원이 일반적으로 근무하는 상황에서부터 미리 클라우드와 SaaS에 대한 접근을 엄격하게 관리해야 합니다. 어떤 사용자가 어떤 권한을 가지고 어떤 계정을 운영하며, 그 계정으로 어떤 애플리케이션에 접근하는지 등 모든 부분에 대한 가시성을 확보하는 것부터 시작입니다.”
현황을 파악하고 가시성을 확보했다면, 그 다음은 평범하고 정상적인 행동 패턴들을 규정하고, 그것을 기준으로 비정상적인 행위를 탐지하기 시작해야 한다고 오코너는 강조한다. “사람이 여러 서비스에 접속할 때 사용하는 접근 방법들만이 아니라 기계와 기계가 조우할 때 필요한 아이덴티티와 크리덴셜까지도 모니터링해야 합니다. 이 부분에 소홀히 하게 되면 공급망 공격에 취약해지거든요.”
클라우드 네이티브 네트워크 전문 업체 발틱스(Valtix)의 수석 연구원인 데이비스 맥카시(Davis McCarthy)는 “팬데믹 이후 클라우드와 SaaS의 이용률은 급격하게 늘어났다”며 “클라우드 계정 관리는 점점 더 중요한 가치를 지니게 되었다”고 말한다. “그런데 한 기업 내 여러 조직들이 자기들이 필요한 다양한 서비스와 애플리케이션을 독자적으로 사용할 때가 많습니다. 심지어 개개인이 회사의 승인 없이 별도의 서비스를 업무용으로 계약해 사용하기도 하고요. 생산성이 중요하니 이 문제를 해결하지 않고 쳐다만 보는 기업들도 많죠.”
이메일도 의외로 문제가 될 때가 많다. “퇴직자가 생겼을 때 IT 팀과 보안 팀이 제일 먼저 하는 일 중 하나는 메일 계정을 차단하고 비활성화시키는 겁니다. 이메일에는 온갖 은밀한 정보들이 다 담겨져 있거든요. 하지만 직원들이 회사에서 설정해 준 이메일 계정만 쓸까요? 그런 직원들도 있지만 당연히 안 그런 직원들도 있습니다. 여기에는 여러 가지 이유가 있을 수 있고요. 이런 부분에까지 미리 신경을 써서 퇴직과 관련된 정책을 마련해야 합니다.”
글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 자의든 타의든 대량 해고 및 퇴직이 이어지면서 ‘안전한 퇴사 과정’에 대한 관심이 새롭게 생겨나기 시작했다. 특히 임직원의 퇴사 과정을 수동으로 처리하는 기업들에서는 퇴사 처리의 실수가 보안 문제로까지 불거지는 중이다. 최근 트위터, 페이스북, 아마존에서 대량의 인원들이 나오면서 ‘안전한 퇴사 처리’가 공론화 되고 있다.
[이미지 = utoimage]
안전한 퇴사가 골칫거리가 되고 있는 건, 이 대규모 퇴직 사태가 일어나기 전 코로나로 인해 회사들의 업무 네트워크가 분산됐기 때문이다. 이는 회사의 중요 데이터로 접근하는 경로가 대량으로 늘어났으며, 회사가 승인하지 않은 IT 기술(앱이나 장비 등)의 활용 가능성이 높아졌다는 뜻이다. 퇴사할 사람이 어떤 장비와 앱을 가지고 어떻게 회사 네트워크에 접속해 데이터를 열람했는지 하나하나 다 파악해 차단해야 하는데, 이 부분의 작업량이 대폭 증가했다고 볼 수 있다. 그래서 자동화 기술을 검토하는 사례가 늘어나는 중이다.
하지만 움니차(Oomnitza)가 최근 조사한 발표 자료에 의하면 “IT 결정권자의 절반 가까이가 퇴직 프로세스 자동화를 완전히 신뢰하지 못하고 있다”고 한다. 또한 기업의 1/3 이상이 퇴직 프로세스를 온전하게 진행하지 못해 10% 이상의 기술 자산을 잃는다고 한다. 퇴직자가 퇴직 후 기업의 SaaS나 클라우드 자산에 무단으로 접근하는 사례도 42%나 기록됐다.
ETM 구축으로 엔드포인트와 애플리케이션 강화하기
움니차의 공동 창립자인 라민 에테해드(Ramin Ettehad)는 “기업기술관리(ETM) 솔루션들을 추천한다”는 입장이다. “ETM들은 풍부한 데이터 분석 기술과 간소화 된 워크플로우를 제공하기 때문에 직원들을 회사 망에 추가하고 빼는 것을 쉽고 꼼꼼하게 진행할 수 있게 된다”고 설명한다. “누군가 회사를 나갈 때, 해당 인물이 사용하던 모든 엔드포인트, 액세서리, 애플리케이션, 클라우드 계정 등을 깔끔하게 알아내 관리할 수 있게 됩니다. 직원들이 처음 입사하는 단계에서부터 이런 집계가 이뤄지고 현황이 관리되거든요.”
이런 류의 솔루션들은 엔드포인트들과 그 안에 저장된 데이터들도 지켜주고, 소프트웨어 라이선스까지도 관리해준다. 클라우드 및 SaaS 계정도 자동으로 소멸시키거나 중단시킨다. 나가는 임직원의 이메일 계정들도 더 이상 당사자에 의한 접근이 불가하도록 만든다. “이런 기능들은 전체 팀과 시스템을 아우르는 프로세스 자동화를 통해 구현되는 것이지, 수동적으로 이뤄지는 요소들은 거의 없다고 볼 수 있습니다. 그러므로 지연되거나 제외되는 일도 없습니다.”
보안 업체 사이버헤이븐(Cyberhaven)의 CEO인 하워드 팅(Howard Ting)은 “싱글사인온 솔루션을 활용할 경우 특정 직원의 각종 접근 권한을 클릭 한 번으로 차단할 수 있다”고 팁을 준다. “그렇기 때문에 많은 기업들이 퇴직하는 사람들의 계정을 빠르게 비활성화시킬 수 있습니다. 문제는 퇴직하는 사람들이 회사에서 이런 조치를 취하기 전부터 고객 정보나 소스코드 같은 걸 챙겨둔다는 것이죠. 수개월 전부터 퇴직을 마음 먹고 자료부터 챙겨 두는 사람을 막을 방법은 거의 없습니다.”
퇴직 프로그램 마련하기
즉 특정 솔루션 한두 개 가지고 자료를 가지고 나가고자 마음 먹는 사람을 막을 수는 없다는 것인데, 팅은 “그렇기 때문에 인사 팀, 보안 팀, IT 팀 등이 합동으로 퇴직 프로그램을 마련하고 협조 체계를 구성해야 한다”고 강조한다. “인사 팀은 직원의 퇴직과 관련된 행정적 절차를 마련하고 당사자에게 알리는 역할을 해야 하고, IT 팀과 보안 팀은 제 때에 당사자의 접근 권한을 비활성화시켜야 합니다. 그러면서 동시에 당사자의 비정상적인 행동 패턴에 대한 모니터링도 강화해야 하죠. 이런 모든 절차들이 딱딱 맞아떨어져야 보다 안전하게 직원의 퇴직을 도울 수 있게 됩니다.”
하지만 임직원이 오래 전부터 회사 데이터를 자신의 개인 장비에 모아두고 있었다면 어떨까? 이런 경우를 대비해 계약서에 고용 관계가 종료될 시 개인 장비나 애플리케이션에 있는 모든 데이터를 삭제해야 한다는 내용을 포함시키고 상호 간에 합의를 해야 한다. 에테해드는 여기에 더해 “원격 근무자들이 사용하는 장비에 대한 관리 체계가 진작부터 마련되는 게 중요하다”고 말하기도 한다.
“퇴사자들의 경우를 생각하여 회사의 네트워크에 원격에서 접속하여 데이터를 활용할 때의 규정과, 그에 맞는 워크플로우가 새롭게 마련되는 것이 중요합니다. 그리고 자동화 기술을 사용해 그러한 규정들이 잘 지켜지고 있는지도 늘 모니터링 하고요. 안전한 퇴직 프로세스는 사실 임직원의 근무 시기 때부터 시작되는 겁니다.”
미리 시나리오를 마련하라
IT 업체 콜파이어(Coalfire)의 CEO 톰 맥앤드류(Tom McAndrew)는 “각종 시나리오를 미리 마련하는 게 중요하다”고 강조한다. “퇴직자가 사용하던 아이덴티티를 관리한다는 게 말이 쉽지, 어마어마하게 복잡한 일입니다. 임직원 한 사람 한 사람이 근무 기간 동안 얼마나 많은 애플리케이션들을 그 아이덴티티로 접속했는지를 생각해 보면 이해가 갈 겁니다. 요즘 업무에 사용되는 앱의 종류가 얼마나 많은지도 생각해 보세요. 결국 안전한 퇴직 절차라는 건, 아이덴티티 관리라는 것의 일환이 될 수밖에 없습니다.”
그렇기 때문에 맥앤드류는 인사 부서와 보안 부서가 퇴직 절차를 합작해야 한다고 강조한다. “따로 따로 진행하는 조직에서는 인사 부서나 보안 부서에서 한두 가지 솔루션들로 파편적인 문제들을 처리하려는 경향을 보입니다. 장기적 관점에서 문제를 들여다보려는 노력이 없죠. 즉 퇴직자가 이런 식으로 행동을 하면 어떨까, 라고 하는 가상의 시나리오를 두고 대책을 마련하려 하지 않습니다. 사실은 그게 정말로 중요한데 말이죠.”
그러면서 맥앤드류는 “조직에 소속되어 있지 않으면서 여전히 조직의 내부 자산에 접근할 수 있는 사람의 존재는 조직 전체에 커다란 위협”이라고 경고한다. “특히 조직에 불만을 가진 사람이라면 자신이 가지고 있는 접근 권한을 가지고 무슨 일을 할지 예측할 수 없습니다. 그런데다가 인사 부나 정보 보안 팀이 대량 퇴직 사태로 계정 관리를 꼼꼼하게 할 수 없는 상황이라면 어떨까요? 상상하기 싫을 정도로 큰 일이 발생할 수 있게 됩니다. 실제 그런 사례들이 많기도 하고요.”
맥앤드류는 회사에 앙심을 품은 퇴직자가 중요 데이터를 전부 삭제하는 사건이 종종 벌어진다고 하며, “지워진 데이터가 무엇이냐에 따라 업무가 장시간 마비되기도 하고, 법적 분쟁에 휘말릴 수도 있다”고 설명을 추가한다. “어느 쪽이든 기업 입장에서는 무시 못할 금전적 손해를 입게 됩니다. 심지어 아예 문을 닫기도 합니다.”
SaaS와 클라우드 앱에 대한 미승인 접근
IT 업체 두컨트롤(DoControl)의 제품 부문 책임자인 코리 오코너(Corey O’Connor)는 “클라우드와 SaaS가 넘쳐나는 때에, 각종 서비스에 대한 퇴직자들의 접근 권한을 전부 찾아내 차단하는 게 필수적”이라고 강조한다. “퇴직자가 나가기 직전 혹은 나간 직후에 이 부분을 처리하는 건 너무 늦습니다. 임직원이 일반적으로 근무하는 상황에서부터 미리 클라우드와 SaaS에 대한 접근을 엄격하게 관리해야 합니다. 어떤 사용자가 어떤 권한을 가지고 어떤 계정을 운영하며, 그 계정으로 어떤 애플리케이션에 접근하는지 등 모든 부분에 대한 가시성을 확보하는 것부터 시작입니다.”
현황을 파악하고 가시성을 확보했다면, 그 다음은 평범하고 정상적인 행동 패턴들을 규정하고, 그것을 기준으로 비정상적인 행위를 탐지하기 시작해야 한다고 오코너는 강조한다. “사람이 여러 서비스에 접속할 때 사용하는 접근 방법들만이 아니라 기계와 기계가 조우할 때 필요한 아이덴티티와 크리덴셜까지도 모니터링해야 합니다. 이 부분에 소홀히 하게 되면 공급망 공격에 취약해지거든요.”
클라우드 네이티브 네트워크 전문 업체 발틱스(Valtix)의 수석 연구원인 데이비스 맥카시(Davis McCarthy)는 “팬데믹 이후 클라우드와 SaaS의 이용률은 급격하게 늘어났다”며 “클라우드 계정 관리는 점점 더 중요한 가치를 지니게 되었다”고 말한다. “그런데 한 기업 내 여러 조직들이 자기들이 필요한 다양한 서비스와 애플리케이션을 독자적으로 사용할 때가 많습니다. 심지어 개개인이 회사의 승인 없이 별도의 서비스를 업무용으로 계약해 사용하기도 하고요. 생산성이 중요하니 이 문제를 해결하지 않고 쳐다만 보는 기업들도 많죠.”
이메일도 의외로 문제가 될 때가 많다. “퇴직자가 생겼을 때 IT 팀과 보안 팀이 제일 먼저 하는 일 중 하나는 메일 계정을 차단하고 비활성화시키는 겁니다. 이메일에는 온갖 은밀한 정보들이 다 담겨져 있거든요. 하지만 직원들이 회사에서 설정해 준 이메일 계정만 쓸까요? 그런 직원들도 있지만 당연히 안 그런 직원들도 있습니다. 여기에는 여러 가지 이유가 있을 수 있고요. 이런 부분에까지 미리 신경을 써서 퇴직과 관련된 정책을 마련해야 합니다.”
글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
