HOME 오피니언 칼럼
내부자 위협에 대비한 보안관리 중요류원호의 정보보안 이야기
류원호 국민대학교 법무대학원 겸임교수 | 승인 2020.08.14 11:37

[여성소비자신문]국가 기관과 기업까지 보안을 다루고 있는 곳에서는 정보보안이 첨단화된 시스템과 솔루션으로 외부 위협요소에 대응하는 것도 중요하지만 내부자의 실수로 인한 취약요인과 내부자 공격에 의한 위협이 가장 큰 취약요인으로 나타나고 있어 사람관리가 정보보안의 기본이라는 것은 부정할 수 없다.
 
각 분야별로 차이점은 있겠으나 엔사이퍼시큐리티 의뢰로 포네몬연구소가 작성한 ‘2020 글로벌 암호화 동향 보고서’에 따르면 민감 데이터를 위협하는 가장 큰 요인으로 ‘직원 실수’(54%)가 1위를 차지했다. ‘해커’(29%)나 ‘악의적인 내부자’(20%)에 의한 공격보다 높은 비중이다. 반면 ‘정부 도청’(11%)과 ‘합법적 데이터 요청’(12%)은 덜 위협적인 것으로 나타났다.

최첨단 보안 솔루션을 도입하여 운용한다 해도 기관이나 기업의 보안 담당자 혹은 내부자가 중요 데이터 관리를 소홀히 하거나 정보 접근에 대한 규정된 원칙을 지키지 않는다면 직원(내부자)의 실수에 의한 보안사고가 발생할 수밖에 없는 것이다.

작금은 첨단 공격에 대비하여 다양한 보안 솔루션이 진화하며 존재하고 있다. 방화벽, IDS, IPS, UTM, NAC, Virus Wall, DRM, SSO 등 그렇지만 이와 같은 보안 솔루션 보다 더 우선적으로 강화해야 하는 것이 내부자 보안교육과 관리다. 내부자를 이용한 공격은 실제 해킹에 있어서도 가장 큰 비중을 차지한다.

국가 기관이나 기업별 보안정책을 수립하고 정책에 맞는 시스템을 관리․운영하는 제반 보안조치 행위자 모두 용역업체를 포함한 내부자이며 바이러스에 감염되거나 해킹되는 등 정책적으로 준수해야 될 것을 제대로 하지 않아 부주의에 발생하는 대부분의 보안사고 역시 내부자로 조직에서 내부자는 가장 신뢰를 해야 하면서도 때로는 신뢰성이 떨어지는 위협요소가 될 수도 있다.

가장 빈번하게 발생하고 있는 내부자 위협은 사용자 계정 탈취다. 탈취한 사용자 계정으로 접속하는 공격자를 실시간 식별하거나 방어하는 것은 특별한 보안 솔루션을 활용하지 않고는 매우 어려운 현실이다.

탈취한 계정을 이용해 다른 공격에 사용하기도 하는데 탈취된 계정은 수신자 입장에 서는 정상 계정에서 발송한 것으로 인식하기 때문에 아무런 의심 없이 메일을 열어보며 바이러스에 감염되어 자료를 탈취당하는 보안사고가 발생한다.

내부자 위협은 민간기업 뿐만 아니라 공공분야에서도 많은 문제점으로 대두되고 있다. 퇴직 후 취업을 미끼로 업체에 비밀을 제공하는 것은 언론을 통해 보도된바 있으며, 국방과학연구소(ADD)의 경우는 퇴직자들이 휴대용 저장장치(USB)나 외장하드 등에 국방 기밀자료 다운받아 외부로 유출시켜 문제가 된바 있는데, 한국형 무기체계 및 핵심기술 개발의 산실인 ADD의 보안 관리와 특히 인원보안인 내부자 관리에 큰 허점을 보여준 사례이다.

방위사업청은 ADD의 방위산업기술 보호 실태에 대해 2016년 1월부터 2020년 4월까지 ADD 퇴직자 1079명과 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사를 한바 있는데 수석연구원 2명이 국방 기밀을 빼돌려 외국으로 출국한 상태였고 재직자 중에서도 기밀자료를 무단 복사하거나 USB 사용 흔적을 삭제하는 등 보안규정을 위반한 직원들이 발견되었다.

퇴직 예정자에 대해 보안점검을 하도록 규정이 있음에도 ADD내 보안부서는 지난 3년간 단 한 차례도 실시하지 않았고 자료 무단반출 방지를 위해 도입한 문서암호화체계(Digital Rights Management)는 최신 버전으로 업그레이드하지 않아 제 기능을 못하고 있는 등 총체적 보안관리 문제가 나타나 만약 핵심 기술이 북한에 흘러들어 갔을 수도 있는 것이며 이러니 일각에서는 북한이 우리나라와 유사한 미사일을 개발하고 있다는 주장도 나오고 있다.

앞으로는 국가안보와 직결과는 공공분야 내부자에 의한 보안사고가 발생하지 않도록 관계기관에서도 관심을 가져야 하며 솜방망이 처벌이 아닌 처벌 양정기준도 대폭 강화하여 안보위해자인 간첩수준으로 처벌해야 보안기강이 확립될 것으로 판단된다.

국가정보원이나 경찰청, 국군안보지원사령부에서는 대통령령(제30895호)인 ‘보안업무규정’에 근거하여 공무원 임용 예정자나 비밀취급 인가 예정자 등 대상으로 신원조사를 진행하고 있고 국가보안상 필요하다고 인정되는 사람도 해당이 되고 있어 중요시설에 수시 출입 및 상주하고 있는 용역업체 인원들도 신원조사를 하고 있고 특히 상주인원의 경우 3년 단위로 재조사하고 있다.

그러나 상세조사가 필요한 대상등 대상별로 차이는 있지만 기본적으로 경찰전산망에 기록된 범죄경력 조사만 이뤄지는 상주인원 신원조사의 경우 최초 조사와 3년 단위 조사에 전과 등특이점이 없으면 그대로 인가가 연장되는 절차에 문제점이 있다고 본다.

물론 근무간 보안사고가 발생했을 경우 계약이 취소되어 주요시설에 출입할 수 없는 것은 업체와의 계약조건에 포함되어 있겠으나, 평소에 자신에게 주어진 소관업무 외 분야에 관심이 많은 등 결격사유는 없으나 보안취약 인물에 대해서는 3년 단위 신원조사가 아니라 수시라도 심의회를 통해 인가여부를 재 판단하는 ‘신원조사’규정과 취약인물의 조기식별 방법에 대해서는 세밀한 재검토가 국가정보원 등 관계기관 합동으로 진행되어야 한다.

신원조사 규정은 과거보다 강화된 것이 아니라 개인의 사생활침해 및 인권 등을 고려하여 축소하고 간소화되는 형태로 변경되고 있는 추세이나 정보화 사회 발달로 내부자 위협은 더욱 다양하게 증가할 것으로 보인다.

지난 2016년 국방통합데이터센터(DIDC) 서버에 외부 인터넷망과 국방망(인트라넷)이 함께 연결되어 북한 해커가 국방망 서버에 침투하여 작전계획 등 다량의 군사기밀을 절취한 보안사고가 발생한바 있다. 조사결과 원인은 용역업체 직원이 인터넷망과 국방망을 연결하고 분리하지 않은 것으로 나타났으나 해당 용역업체 직원은 그 뒤 잠적한 상태로, 북한에서 사전부터 치밀하게 계획한 내부자 위협 사례라고 볼 수 있다.

신원조사 절차는 민간 일부기업들도 하고 있다. 기업별로 요구 시 경찰에 범죄경력조회 신청서를 보내 경찰에서 작성한 회보서를 제출하는 형식이지만, 이것 역시 범죄경력만 확인될 뿐 해당 인물에 대한 내면을 볼 수 없는 상황은 마찬가지다.

대부분의 공공기관과 기업들에서 준비한 보안 정책은 현 시대에 맞게 잘 만들어져 있을 것이다. 그러나 아무리 잘 만들어진 보안정책이라 하더라고 직원 개개인에 의해 지켜지지 않거나 보안부서에서만 신경 쓰면 되는 것으로 인식된다면 만들어진 정책은 있으나마나 하는 것이 된다.

보안정책은 수립 만큼 시대의 흐름에 맞게 수시로 보강하고 직원 대상으로 끊임없는 반복 교육과 보안실태 점검으로 실천을 유도하는 것이 가장 중요하다. 아울러 상벌 규정도 명확하게 하여 인센티브나 보안사고부서나 개인에 대한 강력한 처벌과 감봉처리 등을 대폭 강화하는 것도 중요하다.

내부자 위협은 국가기밀 노출로 국익에 문제가 발생할 수 있으며 기업은 경제적 손실포함 상당한 타격이 있을 수 있다. 내부자 관리 솔루션도 다양하게 지속 출시되고 있는데 근무 위치나 시간과 경로 및 관심분야 등 행동징후를 분석해서 이상 징후를 감지하고 보안 사고를 사전 예방하는 것이나, 치밀하게 준비한 자에겐 무용지물일 수 있다.

출처 국가법령정보센터


 

류원호 국민대학교 법무대학원 겸임교수  rwh1127@hanmail.net

<저작권자 © 여성소비자신문, 무단 전재 및 재배포 금지>

icon인기기사
여백
여백
Back to Top