위험한 행동을 하는 직원, 겨우 10%
- 조직에 위험을 초래하는 사람, 그리 많지 않아
- 대다수의 사람들은 오히려 보안 실천 사항 잘 지켜
- 가시성 확보가 보안에 있어서 가장 중요
SKT와 예스24, 그리고 최근 SGI서울보증보험까지 해킹 공격에 당하면서 정보 보안에 대한 관심이 높아지고 있다. 그런 가운데 ‘보안 위험’을 야기하는 건 조직 내 인원들 중 단 10%에 불과하다는 연구 결과가 발표돼 관심을 끌고 있다. 게다가 이 10%는 예상 외의 인물들이다.
예상 외의 결과들
보안 업체 리빙시큐리티(Living Security)와 데이터 과학 전문 기관인 사이엔샤인스티튜트(Cyentia Institute)가 공동으로 발표한 새로운 보고서인 ‘위험천만 사업장: 누가 보호하고, 누가 위험에 빠트리는가(Risky Business: Who Protects & Who Puts You at Risk)’에 의하면 “인간이 가진 위험성의 실상이라는 게 예상과 크게 다르다”고 한다. “단 10%의 사람들이 기업이 겪는 모든 위험의 73%를 도맡고 있거든요.”
게다가 보고서는 “위험한 행동을 하는 사용자들은 예상 외의 인물들이라고 할 수 있다”고 짚어내기도 했다. “보통 원격 근무자나 파트타임 직원들이 느슨한 태도로 일을 하거나 기술적으로 취약한 위치에 있다고 생각하죠. 하지만 사무실에 정기 출근하는 정규직 근무자들이 위험한 일을 더 많이 저지르더군요.”
정기 근무자들 중에서도 연차가 오래된 사람들이 보안의 관점에서 예측하기 힘든 행동 패턴을 보이는 경향이 있다고 보고서는 설명한다. “오래된 직원들이 앞장서서 보안을 강조하기도 하지만, 앞장서서 각종 보안 규정들을 어기기도 합니다. 아무래도 오래 되다보니 모든 것이 익숙해서 그런 것일 수도 있습니다. 신규 직원이나 파트타임 근무자들이 오히려 규정을 잘 지키고 있었습니다.”
보안 담당자들의 예상을 뛰어넘는 결과도 존재한다. “보안 담당자들은 농담처럼 이렇게 말합니다. 모든 사용자들이 적이라고. 모든 사용자들이 보안 취약점이라고. 하지만 이번 저희 조사 결과는 정 반대로 나왔습니다. 사용자의 78%가 보안 위험을 줄이는 데 기여하는 것으로 나타났거든요. 사고를 터트리는 10%가 워낙 눈에 띄고 시끄러워서 그렇지, 조용히 자기 책임을 다 하는 사람들이 더 많았습니다.”
일반적인 보안 전략이나 솔루션들이 지나치게 피싱에 집중돼 있다는 지적도 나왔다. “이메일을 통한 피싱이나 보이스 피싱이 공격의 전부인냥 보안 전략을 마련하는 게 일반 기업들의 현주소입니다. 하지만 현대의 사이버 공격자들은 신원을 훔쳐내거나 접근 권한을 높이거나 취약점을 건드리는 등 다양한 기술을 구사합니다. 직원들이 피싱에 속나 안 속나만 지켜볼 게 아니라, 비밀번호를 안전하게 관리하도록 하고, 전사적으로 패치를 강조하는 등의 능동적 ‘보안 위생’ 관리 문화가 필요합니다.”
그 10%의 직원을 바꾸려면
회사가 겪을 수 있는 위험의 대부분을 야기하는 10%의 문제 직원들을 변화시키려면 어떻게 해야 할까? 교육? 훈련? 보고서는 “교육과 훈련도 당연히 해야 하지만, 그것만으로는 부족하다”고 지적한다. “자꾸 교육하면 어떤 사람이든 바꿀 수 있습니다. 하지만 시간이 오래 걸릴 수 있죠. 그렇기 때문에 회사에서는 교육과 더불어 이들의 위험한 행동을 미리 파악하고 대처할 수 있도록 폭 넓은 가시성을 확보해야 합니다.” 취약한 직원들의 행동들을 한 눈에 꿰고 있어야 한다는 의미다.
실제 일반 기업들은 이 가시성 확보에 있어 아쉬운 점이 많다는 게 이번 조사에서 드러났다. “특히 인적 위험에 대해 기업들은 낮은 가시성 수준을 유지하고 있었습니다. 수많은 위험한 행동들 중 겨우 43%만 기업의 레이더망에 걸리더군요. 보안 교육을 하고 있는 것만으로 충분하다고 여기는 기업들은 12%만 탐지하는 것으로 조사됐습니다.” 결국 ‘이 정도면 됐다’는 섣부른 안심이, 혹은 하나의 해결법에 지나치게 의존하려는 태도가 가장 큰 보안 구멍이 된다는 걸 알 수 있다.
모든 운동의 기초는 달리기, 보안의 기초는 가시성
대다수 운동들은 종목 불문 달리기를 바탕에 깔고 간다. 어떤 종목의 선수들이라도 달리기로 몸을 풀거나, 체중을 맞추거나, 지구력을 쌓는다. 선수 치고 달리기 못하는 사람은 드물다. 정보 보안에서 말하는 ‘가시성’은 운동 선수들의 달리기와 비슷하다. 달릴 수 있어야 공도 차고 높이 도약하는 것처럼, 보여야 위험이 뭔지 알고 대응할 수 있기 때문이다. “디지털 요소들을 하나하나 파악하다보면 취약점도 보이고, 위험 요소도 보입니다. 그래서 보안 담당자는 ‘재고 파악’에 능통해야 하기도 합니다.”
달리기 실력이 꾸준히 늘어가듯, 가시성도 꾸준히 늘어가는 속성을 가지고 있다. 한 번에 조직 내 모든 디지털 자산을 하나의 시야에 넣을 수 없다는 의미다. 그리고 100% 가시성이라는 것이 있을 수 없다는 의미도 된다. “100% 가시성을 향해 꾸준히 나아가야 합니다만, 어떤 조직도 특정 순간에 100%에 도달하지는 못할 겁니다. 현대 사이버 공간에는 늘 새로운 요소들이 나타났다 사라지는 걸 반복하거든요. 새 장비가 연결되기도 하고, 새 소프트웨어가 소리소문 없이 언인스톨되기도 하지요. 그러면서 취약점이 생겼다가 없어지고, 그와 동반된 리스크 역시 막 태어났다 소멸되기도 합니다.”
꾸준히 100%를 추구해야 하기 때문에 ‘가시성 확보’는 ‘섣부른 안심’이라는 보안 최대의 적도 자연스럽게 도태시킨다. 오늘 70% 확보에 성공했어도 다음 날 71%에 도전해야 하고, 조직 상황에 따라 다시 69%로 가라앉기도 하고 갑자기 80%로 뛰기도 하는데, ‘이 정도면 됐다’고 안심할 겨를이 없는 것이다. “보안에서 말하는 대부분의 문제는 ‘가시성이 확보되지 않아 생기는 것’이라고 정리해도 과언이 아닙니다.”
