상단여백
HOME 공공ㆍ정책
범인은 내부자일까 외부자일까? 답답해할 필요 없다내부자? 외부자? 범인 색출보다 데이터 보호부터

[시큐리티월드 문가용 기자] 보안 팀 대부분 ‘지금 가지고 있는 자원을 어디에 집중시켜야 할까’를 고민한다. 컴플라이언스, 보안, 사용자 훈련, 자동화 솔루션 도입, 위협 탐지 및 대응 등 해결해야 할 건 너무나 많다.

그러나 결국엔 어느 한 곳도 포기할 수 없어 모든 부분에 ‘얇게 펴서 배치시키고’ 이도 저도 이루지 못하게 된다. 보안은 어떤 문제를 가장 시급하게 다뤄야 할까? 정보보안이 존재하는 한 영원히 풀리지 않을 난제로 남을 문제가 아닐까 싶다.

ⓒiclickart


정보보안 분야에서 특히나 우선순위를 결정하기 힘들게 만드는 문제들 중, ‘외부 해킹인가, 내부자 관리인가’도 있다. 외부로부터의 위협을 먼저 다루자니, 내부 인원이 더 문제라는 소리도 있고, 내부 인원들을 의심하고 교육하자니 불법적인 독재자나 아무도 좋아하지 않는 외톨이가 된 기분이다.

여기서 2017년 버라이즌 데이터 침해 보고서(Data Breach Report)를 살펴보자. 침해 사건의 75%가 외부인의 짓이라는 통계가 나온다. 그 말은 내부 인원 때문에 발생한 사고는 25%에 불과하다는 것이다. 

그렇다면 답이 간단해지는 것 아닐까? 답을 하기 전에 통계 자료를 하나만 더 살펴보자. 시장 조사 전문기관인 포레스터(Forrester)는 최근 전 세계 시장을 조사해 “내부자 문제로 인한 보안 사고를 겪어본 적이 없는 기업은 단 1%에 불과하다”는 결론을 내놓았다.

지난 2년간 보안 사고를 적어도 한 번 겪어본 기업은 전 세계 기업들 중 2/3이나 된다. 자, 그렇다면 내부자가 더 큰 문제인 걸까?

내부자냐 외부자냐, 그것이 문제로다. 필자 역시 이런 고민에 잠을 설치던 때가 있었다. 최근에 와서야 나름의 결론을 내리고 마음이 편해졌는데, 그 결론은 내부자고 외부자고 보안의 관점에서는 상관이 없다는 것이었다.

생각해보니 안에서 오건 바깥에서 오건 위협은 항상 위협이었던 것이다. 사실 내부자냐 외부자냐의 문제가 중요한 건 범인을 체포해야 하는 경찰과 사법 당국, 그리고 당신 회사의 인사 담당자에게 있어서 더 중요한 문제다. 

즉 외부자나 내부자나 상관없이 자산을 보호해야 하는 게 정보보안의 할 일이라는 걸 깨달았다는 것인데, 네트워크의 경계선이란 것이 모바일과 클라우드와 같은 기술들의 등장으로 흐려지고 있는 때에 딱 맞는 깨달음이었다. (자랑이 아니라 자기 위안이다.)

아무튼 공격의 경로와 출처에 집중해 방어하기보다 공격 그 자체를 막거나 수습할 수 있어야 한다는 것이다. 외부자와 내부자 중 하나만 골라서 방어한다고 해서 일이 크게 쉬워지는 것도 아니다. 

게다가 외부의 공격자들도 결국은 내부자로 위장해 들어오는 게 현실이다. 이때 훔친 크리덴셜이나 로그인 정보를 사용해 네트워크로 침입하는데, 따로 멀웨어를 사용하는 것도 아니라 탐지도 되지 않는다.

심지어 내부 직원이 실수로 ‘전체 공유’를 해버려, 이 실수를 발견만 하면 누구라도 지극히 정상적인 방법으로 데이터를 빼가거나 파괴할 수도 있다. 또한 내부의 직원이 외부 전문가를 고용하거나 사귀어서 정체를 감춘 채 회사를 공격하는 사례도 있다.

외부자나 내부자의 구분이 큰 쓸모가 없다는 걸 증명하기 위해 한 가지 사례를 짚어보고자 한다. 바로 우리가 흔히 볼 수 있는 이메일 공격인데, 외부 해커들은 스피어피싱 메일을 직원 몇 명에게 보내기 시작한다.

제법 정교하게 조작된 메일이라 적어도 한 사람은 여기에 속거나 부주의로 실수할 수밖에 없다. 그리고 메일 안에 있는 링크를 클릭한다. 이때 멀웨어가 다운로드 될 수도 있고, 암호를 바꾸라는 팝업 창이 떠 아무 의심 없이 로그인 정보를 입력해 공격자가 수집하도록 할 수도 있다. 

공격자는 이 정보를 가지고 정상적으로 로그인을 해 더 그럴듯한 스피어피싱 공격을 더 많은 대상으로 실시한다. 이러면 내부자가 보낸 메일이나 다름없게 된다. 누가 봐도 옆 부서 동료가 보낸 것 같은 메일을 의심할 사람은 거의 없다. 그리고 이 메일에 담긴 링크를 클릭하거나 파일을 다운로드 받을 때 감염은 퍼져나간다.

이런 절차로 공격이 진행될 때, 방어자의 입장에서는 어떻게 막아야 할까? 일단 내부자 색출이나 외부자 검거부터 신경 쓰면 안 된다. 보호해야 할 데이터와 자산을 훔쳐가기 위해 공격자가 단계를 밟아왔다는 것부터 깨달아야 한다.

그리고 인바운드 이메일 트래픽과 아웃바운드 트래픽의 모니터링, C&C 서버와의 통신 차단, RAT과 같은 멀웨어 스캐닝 등을 그때 그때 할 수 있었다면 아무리 정교한 스피어피싱이라도 특정 단계에서는 막을 수 있었을 것이라는 것도 깨달아야 한다.

중요 데이터로 접속하는 ID가 올바른 권한을 가지고 있었는지, 권한을 초월하려는 시도가 있었는지도 보안 담당자가 확인할 수 있는 부분이다.

데이터와 자산을 보호하는 것이 보안 담당자의 가장 큰 존재이유다. 범인을 색출해 검거하는 건 포렌식 전문가들의 몫이거나, 데이터 보호 대책을 마련한 후의 일이다.

범인이 궁금해 미치겠다고 해도, 누군가 의심가는 사람이 있다고 해도, 본연의 역할부터 충족되어야 한다. 그런 의미에서 내부자나 외부자를 구분하려는 본능과 같은 머릿속 생각을 떨쳐내는 건 좋은 연습이 될 것이다. 

글 : 매튜 가디너(Matthew Gardiner), Mimecast

[문가용 기자 (globoan@boannews.com)]

[저작권자 © 시큐리티월드, 무단 전재 및 재배포 금지]

문가용 기자의 다른기사 보기
icon인기기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
여백
여백
Back to Top