의도적으로 정책 무시하거나 편리한 것 쫓거나
교육 효과 무시받고 있지만 대부분 꾸준한 교육으로 해결 가능
[보안뉴스 문가용] 내부자의 위협이 점점 늘어나고 있다. 그런데 내부자의 위협이라는 게 내부 인원들을 단속하고 정책만 엄하게 세운다고 해결되는 게 아니다. 유형이 한두 가지가 아니기 때문이다. 그러니 유수의 기업들이 내부자 위협에 휘청거리고 쓰러지고 문까지 닫는 것이다. 그렇다면 어떻게 해야 하는가? 일단 유형별 분석을 통해 내부자 위협의 본질을 파악해야 한다.
.jpg)
위협이 되는 내부자를 파악할 때 보통은 ‘특정 업무’를 맡고 있거나 ‘특정 역할’을 하고 있는 사람을 먼저 떠올리는 게 보통인데, 이는 대단히 잘못된 선입견이다. 의도적이든 아니든 사고를 친 내부자들의 면면을 살피면 갖가지 유형이 발견되기 때문이다. 역할이나 업무의 종류가 아닌, 여태까지 등장한 사람들의 유형을 크게 7가지로 나눠보았다.
1. 편한 게 좋아
편리한 게 삶의 최우선인 사람들은 흔히 규칙을 무시한다. 이들에게 있어 공식적인 절차를 밟아가며 일을 하는 건 시간 낭비요 에너지 낭비다. 게다가 복잡하기도 하고 머리도 아프니 능률도 떨어진다. 그래서 이들은 자신들만의 방법을 개발한다. 회사에서 제시한 파일 공유법을 사용하느니 자기들이 더 편리한 프로그램을 설치해 사용한다. 회사 이메일보다 개인 이메일을 사용하는 것을 선호하기도 한다.
2. 무고한 피해자
훈련 부족이든 교육 부족이든 경험 부족이든 여하튼 실수를 한 번 혹은 여러 번 저지르는데, 그게 치명적인 피해로 이어지는 경우다. 사내 연봉정보를 동명이인에게 실수로 잘못 보낸다든가 전기를 아낀다며 서버 컴퓨터 전원까지 다 내려버린다. 이런 실수를 하는 사람들은 보통 부주의하거나, 당시 엄청난 스트레스를 받고 있거나, 일이 갑자기 몰려 정신이 쏙 빠진 상태에 있다.
3. 척척박사
회사에서 하는 모든 일에 이바지하고 싶고, 자신의 가치를 드러내 어떻게 해서든 눈에 띄고 싶어한다. 그러다보니 과도하게 정보를 공유하거나 불필요한 권한을 ‘사람 좋게’ 넘겨주기도 한다. 심지어 아랫사람들 사용하라고 자기 로그인 정보를 친절히 알려주며 일 잘 하라고 응원하기도 한다. 보통 이런 사람들은 오프라인 모임에서도 지나치게 업무 이야기를 떠벌리다가 민감한 정보를 사람들 귀에 쏙쏙 집어넣어 주기도 한다. 심지어 과시를 목적으로 회사 내 기밀을 일부러 파헤치고 알아내기도 한다.
4. 언터처블
신문이나 매체에서 해킹 사고나 랜섬웨어 피해에 대해 아무리 떠들어도 언터처블들에게 있어서는 한낱 괴담일 뿐이다. 그 어떤 것도 이들을 범접할 수 없고, 그러므로 회사건 조직이건 언터처블이 있는 곳은 안전지대다, - 라고 믿는 부류들이다. 보통 관리자 계정을 가지고 있거나 회사 내 높은 권한을 가지고 있는 사람들 중에서 많이 발견된다. 언터처블이라 중요한 정보도 많이 가지고 있고, 그런 정보가 가득한 노트북이나 모바일도 거의 필수로 지참한다. 겁날 게 없기 때문이다. 그래서 기기 분실 한 번이 커다란 충격으로 이어진다.
5. 스스로에게 권리를 부여한 자
이들은 미스터리한 근거를 바탕으로 특정 정보에의 접근 권한을 가지고 있거나 특정한 일을 자신들의 방식으로 처리해도 된다고 믿고 있다. 그러다보니 그와 관련한 정책이나 절차를 무시한다. 데이터는 자신들의 것으로 간주하며, 여기에는 개인에 따라 고객 명단, 소스코드, 연구 자료, 업무 일지, 템플릿 등이 될 수 있다. C레벨의 임원진 중에 이런 사람이 있다면 그럴 수도 있다고 여기겠지만, 현실에서는 꼭 그렇지만은 않다.
6. 배신자
악의적인 의도를 가진 근무자다. 처음부터 그랬는지, 근무를 하다가 나쁜 마음을 점차 품게 된 건지 확실히 구분할 수는 없지만 아무튼 근무 기간 내에 회사 이모저모를 파악하며 계획을 세우든가 시나리오 정도는 구성해놓는다. 처음부터 해코지할 목적으로 채용 과정을 다 거치고 입사하는 이들도 있지만 일하다가 누군가에게 앙심을 품거나 연봉 인상이 몇 년 째 되지 않는 등의 이유로 복수를 하는 경우가 더 많다. 개인 채무나 여러 가지 외부의 악조건이 겹쳐 평정심을 잃는 ‘초범’의 경우도 있다.
7. 은밀한 내부자
이들은 내부자여서는 안 되는데 내부에 있는 부류들이다. 즉 도둑놈이며 불청객이며 사이버 범죄자들일 수밖에 없다. 애초에 평화로운 방법으로는 접근할 수 없는 ‘내부’로 들어왔다는 것 자체가 이미 ‘나쁜 의도’가 가득한 것이다. 직원도 뭣도 아니지만 내부에서 네트워크를 장악하고, 심지어 여러 보안 장치를 우회할 수 있는 기반도 마련해놓는 것이 대부분이다. 또한 ‘프로 해커’인 경우가 많기 때문에 가장 위험하다고 볼 수 있다.
결국...
사용자 교육이라고 하면 ‘아 또 그 소리...’라는 독자들의 탄식이 저절로 재생되는 듯 하다. 식상할 대로 식상해져서 심지어 아무런 효과가 없다고까지 여기고 있는 사람들도 있다. 그러나 지금 우리 주변을 돌아보라. 어지간히 나이가 드신 어르신들 중에도 인터넷을 즐기고 동영상을 재생시키는 분들도 제법 눈에 띈다. 교육의 효과다. 그런데 지금 세대는 닌텐도와 인터넷과 함께 자라난 세대 아니던가. 교육의 효과가 더 빠르고 배가될 수 있다. 어려운 때 절약운동을 했듯이, 개인 위생 관리가 꾸준한 교육과 캠페인을 통해 이제는 문화인의 기본 소양이 됐듯이, ‘IT 시대의 프로라면 이런 습관이 몸에 배어있어야 한다’는 교육 캠페인이 필요하다. 내부자 위협의 대부분은 교육을 통해 충분히 막을 수 있다.
글 : 밥 한스만(Bob Hansmann)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
교육 효과 무시받고 있지만 대부분 꾸준한 교육으로 해결 가능
[보안뉴스 문가용] 내부자의 위협이 점점 늘어나고 있다. 그런데 내부자의 위협이라는 게 내부 인원들을 단속하고 정책만 엄하게 세운다고 해결되는 게 아니다. 유형이 한두 가지가 아니기 때문이다. 그러니 유수의 기업들이 내부자 위협에 휘청거리고 쓰러지고 문까지 닫는 것이다. 그렇다면 어떻게 해야 하는가? 일단 유형별 분석을 통해 내부자 위협의 본질을 파악해야 한다.
위협이 되는 내부자를 파악할 때 보통은 ‘특정 업무’를 맡고 있거나 ‘특정 역할’을 하고 있는 사람을 먼저 떠올리는 게 보통인데, 이는 대단히 잘못된 선입견이다. 의도적이든 아니든 사고를 친 내부자들의 면면을 살피면 갖가지 유형이 발견되기 때문이다. 역할이나 업무의 종류가 아닌, 여태까지 등장한 사람들의 유형을 크게 7가지로 나눠보았다.
1. 편한 게 좋아
편리한 게 삶의 최우선인 사람들은 흔히 규칙을 무시한다. 이들에게 있어 공식적인 절차를 밟아가며 일을 하는 건 시간 낭비요 에너지 낭비다. 게다가 복잡하기도 하고 머리도 아프니 능률도 떨어진다. 그래서 이들은 자신들만의 방법을 개발한다. 회사에서 제시한 파일 공유법을 사용하느니 자기들이 더 편리한 프로그램을 설치해 사용한다. 회사 이메일보다 개인 이메일을 사용하는 것을 선호하기도 한다.
2. 무고한 피해자
훈련 부족이든 교육 부족이든 경험 부족이든 여하튼 실수를 한 번 혹은 여러 번 저지르는데, 그게 치명적인 피해로 이어지는 경우다. 사내 연봉정보를 동명이인에게 실수로 잘못 보낸다든가 전기를 아낀다며 서버 컴퓨터 전원까지 다 내려버린다. 이런 실수를 하는 사람들은 보통 부주의하거나, 당시 엄청난 스트레스를 받고 있거나, 일이 갑자기 몰려 정신이 쏙 빠진 상태에 있다.
3. 척척박사
회사에서 하는 모든 일에 이바지하고 싶고, 자신의 가치를 드러내 어떻게 해서든 눈에 띄고 싶어한다. 그러다보니 과도하게 정보를 공유하거나 불필요한 권한을 ‘사람 좋게’ 넘겨주기도 한다. 심지어 아랫사람들 사용하라고 자기 로그인 정보를 친절히 알려주며 일 잘 하라고 응원하기도 한다. 보통 이런 사람들은 오프라인 모임에서도 지나치게 업무 이야기를 떠벌리다가 민감한 정보를 사람들 귀에 쏙쏙 집어넣어 주기도 한다. 심지어 과시를 목적으로 회사 내 기밀을 일부러 파헤치고 알아내기도 한다.
4. 언터처블
신문이나 매체에서 해킹 사고나 랜섬웨어 피해에 대해 아무리 떠들어도 언터처블들에게 있어서는 한낱 괴담일 뿐이다. 그 어떤 것도 이들을 범접할 수 없고, 그러므로 회사건 조직이건 언터처블이 있는 곳은 안전지대다, - 라고 믿는 부류들이다. 보통 관리자 계정을 가지고 있거나 회사 내 높은 권한을 가지고 있는 사람들 중에서 많이 발견된다. 언터처블이라 중요한 정보도 많이 가지고 있고, 그런 정보가 가득한 노트북이나 모바일도 거의 필수로 지참한다. 겁날 게 없기 때문이다. 그래서 기기 분실 한 번이 커다란 충격으로 이어진다.
5. 스스로에게 권리를 부여한 자
이들은 미스터리한 근거를 바탕으로 특정 정보에의 접근 권한을 가지고 있거나 특정한 일을 자신들의 방식으로 처리해도 된다고 믿고 있다. 그러다보니 그와 관련한 정책이나 절차를 무시한다. 데이터는 자신들의 것으로 간주하며, 여기에는 개인에 따라 고객 명단, 소스코드, 연구 자료, 업무 일지, 템플릿 등이 될 수 있다. C레벨의 임원진 중에 이런 사람이 있다면 그럴 수도 있다고 여기겠지만, 현실에서는 꼭 그렇지만은 않다.
6. 배신자
악의적인 의도를 가진 근무자다. 처음부터 그랬는지, 근무를 하다가 나쁜 마음을 점차 품게 된 건지 확실히 구분할 수는 없지만 아무튼 근무 기간 내에 회사 이모저모를 파악하며 계획을 세우든가 시나리오 정도는 구성해놓는다. 처음부터 해코지할 목적으로 채용 과정을 다 거치고 입사하는 이들도 있지만 일하다가 누군가에게 앙심을 품거나 연봉 인상이 몇 년 째 되지 않는 등의 이유로 복수를 하는 경우가 더 많다. 개인 채무나 여러 가지 외부의 악조건이 겹쳐 평정심을 잃는 ‘초범’의 경우도 있다.
7. 은밀한 내부자
이들은 내부자여서는 안 되는데 내부에 있는 부류들이다. 즉 도둑놈이며 불청객이며 사이버 범죄자들일 수밖에 없다. 애초에 평화로운 방법으로는 접근할 수 없는 ‘내부’로 들어왔다는 것 자체가 이미 ‘나쁜 의도’가 가득한 것이다. 직원도 뭣도 아니지만 내부에서 네트워크를 장악하고, 심지어 여러 보안 장치를 우회할 수 있는 기반도 마련해놓는 것이 대부분이다. 또한 ‘프로 해커’인 경우가 많기 때문에 가장 위험하다고 볼 수 있다.
결국...
사용자 교육이라고 하면 ‘아 또 그 소리...’라는 독자들의 탄식이 저절로 재생되는 듯 하다. 식상할 대로 식상해져서 심지어 아무런 효과가 없다고까지 여기고 있는 사람들도 있다. 그러나 지금 우리 주변을 돌아보라. 어지간히 나이가 드신 어르신들 중에도 인터넷을 즐기고 동영상을 재생시키는 분들도 제법 눈에 띈다. 교육의 효과다. 그런데 지금 세대는 닌텐도와 인터넷과 함께 자라난 세대 아니던가. 교육의 효과가 더 빠르고 배가될 수 있다. 어려운 때 절약운동을 했듯이, 개인 위생 관리가 꾸준한 교육과 캠페인을 통해 이제는 문화인의 기본 소양이 됐듯이, ‘IT 시대의 프로라면 이런 습관이 몸에 배어있어야 한다’는 교육 캠페인이 필요하다. 내부자 위협의 대부분은 교육을 통해 충분히 막을 수 있다.
글 : 밥 한스만(Bob Hansmann)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
