[데이터넷] 경제 불확실성은 보안위협을 높인다. 경기를 예측할 수 없는 기업이 신규 채용을 줄이면 기존 인력이 과로하게 되고, 퇴사로 이어진다. 퇴사자로 인한 데이터 유출 사고가 늘어나고 기업 신뢰가 하락한다. 이러한 악순환을 막기 위해서는 내부자 보안을 강화해 보안위협을 낮춰야 한다. 강력한 통제 중심 보안이 아니라 사람들의 행위를 분석하고 이해해 정책위반을 줄이는 한편, 데이터가 유출된다 해도 비즈니스를 보호할 수 있는 방법이 필요하다.<편집자>

국내 주요 기업에서 잇달아 산업기밀 유출 사고가 발생하고 있다. 글로벌 반도체 기업 엔지니어가 핵심 기술이 포함된 중요 자료 수십건을 외부 개인메일로 발송한 사실이 드러났으며, 해외 기업 이직을 준비하던 엔지니어는 재택근무 중 대외비 자료를 사진촬영했다가 발각됐다.

산업기술의 유출방지 및 보호에 관한 법률(산업기술보호법) 상 국가핵심기술을 외국이 쓸 수 있도록 빼돌리다 적발되면 3년 이상 징역, 15억원 이하 벌금에 처할 수 있다. 산업기술의 경우 15년 이하 징역 또는 15억원 이하 벌금을 매긴다.

이처럼 강력한 처벌 규제가 있는데도 내부자에 의한 기밀유출 사고는 끊이지 않는다. 권한있는 내부자가 자신의 권한 내에서 수행하는 이상행위를 감지하는 것이 쉽지 않기 때문이다. 일례로, 미국 소비자 금융 보호국(CFPB)에서 전직 직원이 개인 이메일로 25만6000건의 소비자 계정을 유출하는 사고가 발생했는데, 파일에 액세스할 수 있는 권한이 있는 직원에 의해 일어난 사고였다.

개인 이메일 주소로 전송된 문서 중 금융 기관의 계좌와 관련된 이름과 계좌 번호가 포함돼 있었다. 이 번호는 기관에서 내부적으로 사용된 것으로, CFPB는 고객 계정에 액세스하는 데 사용할 수 없다고 밝혔지만, 유출된 데이터에는 다른 기관의 데이터도 포함된 것으로 알려진다. 한 기관과 관련된 이메일 첨부 문서 중 하나에는 140개의 대출번호가 있었는데, 이름과 기타 정보는 포함되지 않았다고 CFPB는 설명했다.

기업 65%, 내부자 데이터 유출 겪어

경제 불확실성이 가중되면서 퇴직률이 늘어나 내부자 보호는 더 어렵게 됐다. 기업·기관은 예산 부족 문제로 퇴직한 직원의 후임 채용에 소극적이며, 기존 직원들은 과중한 업무로 번아웃에 빠져 퇴사한다. 5명 채용하면 7명 나가는 악순환이 이어진다.

인력이 부족한 기업은 책임있는 소수의 인재를 채용하기를 바라며, 직원은 동료들과 함께 자신의 역량을 높일 수 있는 기업을 원한다. 기업이 원하는 인재와 구직자가 바라는 일자리의 갭이 크기 때문에 인력난과 구직난이 동시에 발생한다.

인력이 부족하면 기존 인력은 불안과 불만을 가질 수밖에 없으며, 결국 보안사고로 이어지게 된다. 버라이즌 조사에 따르면 전체 데이터 침해 사고의 20%가 내부직원에 의해 발생한 것이었다. 내부자로 인한 데이터 손실 사고를 당한 기업이 65%에 이르며, 우리나라 직장인 17%는 작년에 이직했고, 그 중 41%가 회사 데이터를 갖고 나갔다고 답했다.

챗GPT로 인해 내부자 위협 수준이 더 높아졌다. 직원들이 챗GPT에 회사 기밀정보, 개인정보, 주요 소스코드를 올리는 일이 비일비재하게 발생한다. 이러한 데이터는 오픈AI 서버에 저장되며, 다른 사람의 질문에 이 정보가 그대로 드러날 수 있다.

내부자 위험관리·데이터 보호 솔루션 연계

내부자에 의한 데이터 유출 유형은 우발적인 실수, 혹은 의도적인 침해에 의한 것이며, 침해 유형은 이메일, 메시지, 클라우드 앱, 디바이스 등을 이용하는 것이 대부분이다. 내부자에 의한 데이터 유출 방지를 위해 DLP가 사용되지만, 전통적인 DLP는 키워드 기반으로 탐지하기 때문에 쉽게 우회할 수 있다. 다양한 종류와 형식의 데이터가 광범위한 협업 환경으로 공유되는 상황에서 정확하게 데이터를 식별하고 보호하기 위해서는 DLP와 다른 보안 기술의 연계가 필요하다.

마이크로소프트는 DLP와 ‘내부자 위험 관리(IRM)’, ‘민감 데이터 보호(MPIP, 구 AIP·MIP)’를 연계해 데이터를 보호한다. 예를 들어 MPIP에서 데이터를 분류하면, IRM을 통해 이에 대한 모니터링을 한다. 이상징후가 발견되면 DLP를 통해 유출을 차단한다.

마이크로소프트는 국내 기업들이 DLP·DRM 한계 극복을 위해 내부자 위협 대응과 데이터 보호 솔루션을 도입하고 있다고 설명한다. DRM을 MPIP와 DLP로 전환해 업무환경을 개선하고 원활한 협업과 클라우드 및 재택근무를 하면서 데이터를 보호할 수 있다고 강조한다.

한국마이크로소프트에서 보안 비즈니스를 총괄하는 박상준 팀장은 “마이크로소프트의 모든 서비스는 개인정보보호 기능을 갖고 있어 사용자 신뢰를 보호한다. 식별 가능한 사용자 세부 정보는 제거해 편향을 제거하며, 머신러닝을 활용해 여러 신호 중에서 가장 심각한 내부자 위험을 식별할 수 있다. 또 적응형 보호를 통해 대응 가능 시간을 줄이고, 대화형 시각적 인사이트로 철저한 조사를 지원한다”며 “내부자관리 솔루션과 DLP, IRM을 통합해 고객 데이터 환경을 보호할 것”이라고 말했다.

사람중심 보안 정책 적용 DLP

에스에스앤씨가 국내에 공급하는 포스포인트는 사람중심 보안 정책을 적용한 DLP로 내부자 위협에 대응한다. 포스포인트 DLP는 사람의 행위를 이해하고 정책을 설계해 보안위협이 단면적인 결과가 아니라 행동 전체를 분석하고 근본 원인을 찾는다.

포스포인트 DLP는 ‘드립DLP’ 기능으로 일정기간 동안의 데이터 전체를 가지고 판단하기 때문에 오랫동안 적고 느리게 유출되는 정보의 누수를 탐지하는 고급 접근 방식을 갖고 있다. 핑거프린팅 기능을 통해 중요한 문서의 일부가 유출되는 것까지 감지할 수 있으며, OCR 기능을 통해 이미지에 첨부된 데이터를 문자로 인식, 이미지를 이용한 정보의 유출도 차단한다.

고도로 훈련된 AI/ML 모델을 활용해 사용중인 데이터를 분류하고 정책을 적용한다. 유사한 비즈니스 문서, 소스코드 등도 식별해 제어하며, 적응형 보호 기능과 사용자 행위분석 기술을 사용해 상황별로 리스크 스코어를 판단하고 위험 수준에 따른 자동화된 정책 구현을 지원한다.

포스포인트는 직원 교육을 강화해 데이터 보호 효과를 높일 수 있게 한다. 사용자 행동을 안내하는 메시지를 사용해 현명한 결정을 내리고, 정책에 대해 직원을 교육하며, 중요한 데이터와 상호작용할 때 사용자의 의도를 검증할 수 있게 한다.

국내기업 시큐다임은 DLP 기능을 강화한 NDR 솔루션 ‘록카드(LocKard)’로 엔터프라이즈와 클라우드, OT 보안 시장을 공략하고 있다. 록카드는 풀 패킷 검사로 네트워크 위협 탐지와 대응, 중요정보 유출방지 기능을 제공하는 솔루션으로, 삼성그룹사를 비롯한 대형 엔터프라이즈 다수에 공급됐다.

기존 네트워크 DLP 제품은 상세분석이 어려워 대책을 세울 수 없었지만, 록카드는 네트워크 풀패킷 검사를 통해 정확한 공격 침입과 유출 경로를 파악하고 대책을 마련할 수 있다. 또한 위협헌팅과 페이로드 기반 콘텐츠 분석, 사고 전후 분석, 머신러닝 기반 사용자 엔티티 행위 분석과 이상행위 분석, 위협 이벤트 대응 등의 기능을 제공해 위협에 선제적으로 대응할 수 있게 한다.