기술적으로 보안 정책과 기술 우회하려는 직원들, 95%
개인 이메일 자주 사용하고 우회 방법 자료 모으는 직원, 나쁜 징조
[보안뉴스 문가용 기자] 내부자 위협이란 이미 알려질 대로 알려진 문제다. 그 위험성에 대해서는 수없이 많은 연구와 조사가 진행되어 발표되기도 했다. 솔직히 ‘내부자 위협’이라는 주제 자체가 식상해질 지경. 그런데 이번에 보안 업체인 디텍스(Dtex)에서 살짝 다른 시각에서 내부자 위협을 연구해 그 결과를 발표했다. 연구 샘플은 디텍스 고객사들 각자가 진행한 리스크 평가 결과를 분석한 것이었다.
.jpg)
가장 주목할 만한 결과는 평균적으로 거의 모든 기업의 직원들 95%가 보안 및 웹 브라우징 제한 정책이나 기술을 의도적으로 우회하고 있다는 것. 가장 눈에 많이 띄는 건 토르 브라우저나 VPN 서비스를 사용하는 것으로, 심지어 취약점 테스팅 툴인 메타스플로잇(Metasploit)을 사용해 직원들은 여러 보안 메커니즘을 우회하고 있었다. 그 중 VPN 사용률은 2015년과 2016년 사이에 두 배 가까이 늘어났다.
디텍스가 추적해본 결과 이런 류의 ‘우회’ 프로그램 사용량이 증가하는 조직의 경우, 반드시라고 해도 될 만큼 데이터 도난이나 치명적인 직원 실수가 일어났다. “솔직히 일반 직원들이 기술적으로 보안 장치를 우회할 거라고 예상하는 기업들은 거의 없습니다. 있어봐야 한두 명이 다겠지, 라고 생각하죠. 하지만 평균 95%입니다, 평균 95%. 이 수치는 아마 전혀 예상 못한 걸 겁니다.”
사설 VPN과 토르 브라우저를 회사에서 사용하는 직원들은 보통 회사로부터 뭔가를 숨기고 싶어하거나, 찜찜한 행동을 하는 사람들이다. “즉, 일상적인 보안 방비책에 자기가 하는 행동이 걸릴 것을 잘 알고 있는 사람들인 겁니다. 그게 악의적인 것이든 그저 불법 영상을 다운로드 받는 것이든 말이죠.” 디텍스의 부회장인 라잔 쿠(Rajan Koo)의 설명이다.
그러므로 네트워크 내 어딘가 혹은 누군가 토르 브라우저를 주기적으로 사용하고 있다고 한다면 일단 관리자들은 예의 주시할 곳으로 지정해야 한다. 사용자가 사고 유발 행위를 하기 시작했다고 보면 된다. 마찬가지로 VPN을 누군가 갑자기 설치해 사용하기 시작했다면, 일단 보안 팀에는 빨간 경보를 울려야 한다. “즉, 누군가 보안 장치 우회법에 대해 자료를 갑자기 모으기 시작한다는 것 역시 안 좋은 징조라고 볼 수 있겠죠.”
물론 우회법을 검색한다고 해서 전부 악의를 가지고 있다고 볼 수는 없다. 데이터를 빼내고 싶어서 그런 사람도 있을 수 있겠지만, 그냥 일을 더 잘 하고 싶은데, 요란을 떨고 싶지 않아서 그런 것일 수도 있기 때문이다. “보안 정책을 다 지키고, 보안 기술을 정상적으로 통과하려면 시간이 드는 게 사실이거든요. 그 시간이 아깝다고 느끼는 직원들이 대부분이죠.”
또한 기업들이 주의해야 할 건 ‘개인 이메일’ 사용량이다. 특히 사무용 컴퓨터나 노트북, 단말기 등으로 개인 이메일에 접속하는 근무자도 유심히 지켜봐야 한다는 게 디텍스의 연구 결과다. “저희가 이번에 분석한 기업들의 약 87%가 ‘직원들이 사무실 기기로 개인 이메일을 사용하도록 해준다’고 답했습니다. 그런데 재미있는 건 이런 기업들 대부분 회사 이메일 계정 보안 정책을 매우 엄격하게 조정하고 있었다는 겁니다.”
당연한 얘기지만, 개인 이메일을 누군가 사용할 때마다 경보를 발령할 수는 없다. 다만 개인 이메일을 통해 발생하는 데이터 유출 사고가 상당하다는 걸 염두에 두어야 한다는 것이다. “집에서 일을 마치려고 자기 자신의 개인 메일로 데이터 전송하는 직원들이 굉장히 많죠. 보통은 악의적인 게 아니라 업무 차원에서 하는 행동들이에요. 그런데 여기에 악의적인 부류들이 섞여든다는 게 문제입니다. 그들도 똑같이 행동하거든요.”
퇴사를 앞둔 직원들도 주의 대상이라고 이번 보고서는 경고한다. 이번 조사를 통해 발견한 바, 퇴사 예정자들은 그렇지 않은 직원들보다 훨씬 활발하게 파일을 수집한다. 그것도 퇴사일 2주 전부터 이러한 활동이 매우 빈번해진다고 한다. 이들이 특히 많이 수집하는 건 사업 계획서, 클라이언트 목록, IP 목록 등이다.
다른 내부 위협 관련 연구 결과에서도 나타났지만, 이번 디텍스 보고서에서도 ‘내부 위협이 될 직원들이 반드시 악의적인 건 아니’라고 언급된다. “기업들 중 59%가 직원들의 ‘실수’나 ‘부적절한 행위’를 ‘배신자’보다 더 걱정된다고 답했습니다. 여기서 말하는 부적절한 행위는 사무실 내에서 온라인 도박을 한다거나, 불법 포르노 영상을 보는 걸 말합니다. ‘배신자’라면 악의적으로 회사 기밀을 빼돌리거나 한 사람들을 말하는 것이고요.”
“피해가 발생하기 전에 위협을 탐지하려면, 정말 광범위한 곳들로부터 여러 가지 정보를 모아야 합니다. 그렇게 해야 내부자로 인한 사고가 일어날 만한 후보지를 몇 군데 짚어낼 수 있게 됩니다.” 분석 업체인 헤이스택스테크놀로지(Haystax Technology)의 부회장인 토마스 리드(Thomas Read)의 설명이다. “이번 디텍스 보고서는 그 광범위한 정보 수집에, 토르나 VPN 서비스, 우회방법에 대한 검색 기록도 포함시키라고 말하고 있습니다. 개인 이메일 사용에 대해서도 다시 한 번 고려해 정책을 정해야 한다고도 하고요.”
잘 관찰하면 보통 실제 사고를 일으키는 내부자들은 평소에도 남다른 행동 패턴을 보인다고 그는 설명을 이어갔다. “예를 들어 최근 NSA의 기밀을 훔쳐서 보관했다가 잡힌 해롤드 마틴(Harold Martin)은 근무 태도가 정말 불성실했다고 하지요. 그렇지만 내부적으로 그 어떤 조치를 취하지 못했어요. 그를 주시하는 사람도 없었고, 특별 관리를 받거나 하지도 않았죠. 오히려 중요 정보에 대한 접근 권한까지 주었으니, 언젠가 일어날 사고가 일어난 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
개인 이메일 자주 사용하고 우회 방법 자료 모으는 직원, 나쁜 징조
[보안뉴스 문가용 기자] 내부자 위협이란 이미 알려질 대로 알려진 문제다. 그 위험성에 대해서는 수없이 많은 연구와 조사가 진행되어 발표되기도 했다. 솔직히 ‘내부자 위협’이라는 주제 자체가 식상해질 지경. 그런데 이번에 보안 업체인 디텍스(Dtex)에서 살짝 다른 시각에서 내부자 위협을 연구해 그 결과를 발표했다. 연구 샘플은 디텍스 고객사들 각자가 진행한 리스크 평가 결과를 분석한 것이었다.
가장 주목할 만한 결과는 평균적으로 거의 모든 기업의 직원들 95%가 보안 및 웹 브라우징 제한 정책이나 기술을 의도적으로 우회하고 있다는 것. 가장 눈에 많이 띄는 건 토르 브라우저나 VPN 서비스를 사용하는 것으로, 심지어 취약점 테스팅 툴인 메타스플로잇(Metasploit)을 사용해 직원들은 여러 보안 메커니즘을 우회하고 있었다. 그 중 VPN 사용률은 2015년과 2016년 사이에 두 배 가까이 늘어났다.
디텍스가 추적해본 결과 이런 류의 ‘우회’ 프로그램 사용량이 증가하는 조직의 경우, 반드시라고 해도 될 만큼 데이터 도난이나 치명적인 직원 실수가 일어났다. “솔직히 일반 직원들이 기술적으로 보안 장치를 우회할 거라고 예상하는 기업들은 거의 없습니다. 있어봐야 한두 명이 다겠지, 라고 생각하죠. 하지만 평균 95%입니다, 평균 95%. 이 수치는 아마 전혀 예상 못한 걸 겁니다.”
사설 VPN과 토르 브라우저를 회사에서 사용하는 직원들은 보통 회사로부터 뭔가를 숨기고 싶어하거나, 찜찜한 행동을 하는 사람들이다. “즉, 일상적인 보안 방비책에 자기가 하는 행동이 걸릴 것을 잘 알고 있는 사람들인 겁니다. 그게 악의적인 것이든 그저 불법 영상을 다운로드 받는 것이든 말이죠.” 디텍스의 부회장인 라잔 쿠(Rajan Koo)의 설명이다.
그러므로 네트워크 내 어딘가 혹은 누군가 토르 브라우저를 주기적으로 사용하고 있다고 한다면 일단 관리자들은 예의 주시할 곳으로 지정해야 한다. 사용자가 사고 유발 행위를 하기 시작했다고 보면 된다. 마찬가지로 VPN을 누군가 갑자기 설치해 사용하기 시작했다면, 일단 보안 팀에는 빨간 경보를 울려야 한다. “즉, 누군가 보안 장치 우회법에 대해 자료를 갑자기 모으기 시작한다는 것 역시 안 좋은 징조라고 볼 수 있겠죠.”
물론 우회법을 검색한다고 해서 전부 악의를 가지고 있다고 볼 수는 없다. 데이터를 빼내고 싶어서 그런 사람도 있을 수 있겠지만, 그냥 일을 더 잘 하고 싶은데, 요란을 떨고 싶지 않아서 그런 것일 수도 있기 때문이다. “보안 정책을 다 지키고, 보안 기술을 정상적으로 통과하려면 시간이 드는 게 사실이거든요. 그 시간이 아깝다고 느끼는 직원들이 대부분이죠.”
또한 기업들이 주의해야 할 건 ‘개인 이메일’ 사용량이다. 특히 사무용 컴퓨터나 노트북, 단말기 등으로 개인 이메일에 접속하는 근무자도 유심히 지켜봐야 한다는 게 디텍스의 연구 결과다. “저희가 이번에 분석한 기업들의 약 87%가 ‘직원들이 사무실 기기로 개인 이메일을 사용하도록 해준다’고 답했습니다. 그런데 재미있는 건 이런 기업들 대부분 회사 이메일 계정 보안 정책을 매우 엄격하게 조정하고 있었다는 겁니다.”
당연한 얘기지만, 개인 이메일을 누군가 사용할 때마다 경보를 발령할 수는 없다. 다만 개인 이메일을 통해 발생하는 데이터 유출 사고가 상당하다는 걸 염두에 두어야 한다는 것이다. “집에서 일을 마치려고 자기 자신의 개인 메일로 데이터 전송하는 직원들이 굉장히 많죠. 보통은 악의적인 게 아니라 업무 차원에서 하는 행동들이에요. 그런데 여기에 악의적인 부류들이 섞여든다는 게 문제입니다. 그들도 똑같이 행동하거든요.”
퇴사를 앞둔 직원들도 주의 대상이라고 이번 보고서는 경고한다. 이번 조사를 통해 발견한 바, 퇴사 예정자들은 그렇지 않은 직원들보다 훨씬 활발하게 파일을 수집한다. 그것도 퇴사일 2주 전부터 이러한 활동이 매우 빈번해진다고 한다. 이들이 특히 많이 수집하는 건 사업 계획서, 클라이언트 목록, IP 목록 등이다.
다른 내부 위협 관련 연구 결과에서도 나타났지만, 이번 디텍스 보고서에서도 ‘내부 위협이 될 직원들이 반드시 악의적인 건 아니’라고 언급된다. “기업들 중 59%가 직원들의 ‘실수’나 ‘부적절한 행위’를 ‘배신자’보다 더 걱정된다고 답했습니다. 여기서 말하는 부적절한 행위는 사무실 내에서 온라인 도박을 한다거나, 불법 포르노 영상을 보는 걸 말합니다. ‘배신자’라면 악의적으로 회사 기밀을 빼돌리거나 한 사람들을 말하는 것이고요.”
“피해가 발생하기 전에 위협을 탐지하려면, 정말 광범위한 곳들로부터 여러 가지 정보를 모아야 합니다. 그렇게 해야 내부자로 인한 사고가 일어날 만한 후보지를 몇 군데 짚어낼 수 있게 됩니다.” 분석 업체인 헤이스택스테크놀로지(Haystax Technology)의 부회장인 토마스 리드(Thomas Read)의 설명이다. “이번 디텍스 보고서는 그 광범위한 정보 수집에, 토르나 VPN 서비스, 우회방법에 대한 검색 기록도 포함시키라고 말하고 있습니다. 개인 이메일 사용에 대해서도 다시 한 번 고려해 정책을 정해야 한다고도 하고요.”
잘 관찰하면 보통 실제 사고를 일으키는 내부자들은 평소에도 남다른 행동 패턴을 보인다고 그는 설명을 이어갔다. “예를 들어 최근 NSA의 기밀을 훔쳐서 보관했다가 잡힌 해롤드 마틴(Harold Martin)은 근무 태도가 정말 불성실했다고 하지요. 그렇지만 내부적으로 그 어떤 조치를 취하지 못했어요. 그를 주시하는 사람도 없었고, 특별 관리를 받거나 하지도 않았죠. 오히려 중요 정보에 대한 접근 권한까지 주었으니, 언젠가 일어날 사고가 일어난 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
