신한성 한국CA e트러스트
프로덕트 마케팅 매니저

평균적으로 인가된 사용자들은 자신의 업무를 수행하기 위해 필요한 정보보다 90% 이상 과다한 정보에 접근할 수 있다. 많은 시스템 관리자들이 먼 외국의 해커들에 대해 염려하고 있지만, 정작 실제 그들이 염려해야 할 위협은 내부로부터 기인한다. 적절하지 않은 사용자 접근 권한과 계정관리 아키텍처의 부재는 내부사용자의 내부네트워크 침해사고를 조장하고 있다. 현재 인터넷을 통해 발달하고 있는 경제와 보안의 관계를 조망하고, 개방적인 기업환경을 유지하면서 어떻게 네트워크 내부나 외부의 사용자로부터 정보를 지키고 조직을 보호할 수 있는 기술과 솔루션을 규정할 수 있는지 알아본다. <편집자>

편의점의 예를 들어보자. 손님이 새우깡 하나 훔치는 것이 쉽겠는가 아니면 아르바이트 직원이 새우깡 한 박스 훔치는 것이 쉽겠는가? 당연히 아르바이트 직원이 한 박스 훔치는 것이 쉽다. 아르바이트 직원은 CCTV 카메라의 위치와 녹화시점 그리고, 어떻게 하면 걸리지 않고 유출시킬 수 있는지 정확히 알고 있다. 또한, 손님의 경우와 가장 다른 점은 편의점 사장의 신뢰를 얻고 있다는 사실이다. IT 환경의 경우도 새우깡이냐 기밀정보냐의 차이가 있을 뿐 이와 유사한 내부 보안의 문제를 안고 있다.

개방화된 기업 IT환경과 내외부 공격 취약점 증가
우리들 대부분은 벤더들이 CSI, 가트너, E&Y, PwC 등을 인용한 수많은 차트와 통계자료를 통해 보안위협이 급증하고 있으며, 내부의 공격이 증가하고 있다는 사실을 알고 있다. 이러한 사실은 인터넷이라는 혁신적인 기술을 통해 전체 IT 인프라가 변화했기 때문에 가능한 일이다.
국내 대기업들은 모두 외부 네트워크와 어떤 식으로든 연결되어 있다. 인터넷, 인트라넷, 왠, VPN 등은 많은 혜택을 제공하고 있지만, 관련된 보안 리스크도 함께 증가하고 있으며 사실 아직까지 밝혀지지 않은 리스크도 많다. 또한, 인터넷 언어인 TCP/IP는 보안에 대한 고려가 없었기 때문에 IPv6 이전에는 근본적인 취약점을 내재하고 있지만, 현재 인터넷의 95%는 TCP/IPv4 기반으로 구성되었기 때문에 인터넷 혁명은 안전하지 않은 인프라에서 운용되고 있는 것이 사실이다. 기업의 보안현실은 어떠한가. 기업 네트워크는 현재 극도로 복잡해져 있으며 이러한 복잡성은 앞으로도 가속화될 것이다.
IT부서가 담당하는 영역도 매우 방대해져서 하드웨어, 네트워크 토폴로지/프로토콜, 운영체제, 소프트웨어, 자체개발 애플리케이션, 직원, 계약직원, 비즈니스 파트너, 고객과의 접점 등에 이르고 있으며, 어려운 경제를 반영하듯 기업 내부의 ROI 요구로 IT부서에도 단순 관리가 아닌 비즈니스 보장을 위한 성격까지 요구되고 있다. 이러한 수많은 요구들을 효율적으로 관리하기 위해 통합이라는 방법을 생각하지만, 개발단계부터 통합이 고려되지 않은 포인트 솔루션들과 프로세스, 정책들을 통합한다는 것은 비용과 시간이라는 면에서 매우 비효율적이다. 또한 당연히 보안의 문제도 등장하게 된다.
보안에 투자되는 금액은 증가하지만, 시스템이 매우 복잡해지기 때문에 같은 금액의 보안투자로 예전과 같은 수준의 보안을 달성하기는 불가능하다. 이는 복잡한 시스템일수록 취약점을 발견하기 힘들고, 발견된 취약점에 대해 대응하는 것도 어렵다는 사실에서 기인한다.

이론적인 1% 위협과 실제적인 99% 위협
대부분의 기업네트워크에는 방화벽이 설치되어 있다. 물론 어떤 방화벽들은 단순히 네트워크 속도를 저하시키는 비싼 솔루션에 불과한 경우도 있지만, 기본적으로 방화벽이라는 개념은 기업경계 보호에 필수적인 보안 툴이다.
그렇다면 네트워크 내부의 트래픽은 어떠한가? 이는 어떻게 보호되고 있는가? 생각해보자. 외부의 해킹과 공격들이 기업 웹 사이트를 바꾸거나 DoD 공격을 통해 몇 개 인터넷기업 웹 사이트를 다운시켰지만, 가장 치명적인 피해를 일으킨 공격은 내부에서 발생했다. 내부직원들은 편안하게 내부시스템에 접속할 권한과 시간을 가지고 있어 매우 쉽게 주식거래 기밀, 연구개발, M&A, HR 정보와 기타 지적 재산의 유출을 시도할 수 있다. 이들은 편의점에서 새우깡 한 봉지 훔치는 것보다 쉽게 기가바이트 이상의 정보를 몇 초 안에 유출시킬 수 있다.
계측기 분야에서 유명한 오메가 엔지니어링이라는 미국회사에서 일했던 직원 팀 로이드는 1996년 수십 기가바이트에 이르는 제품, 엔지니어링, 공정 데이터를 삭제했다. 2004년 지금까지도 오메가는 8년 전에 발생한 이 피해를 복구하지 못했다. 또한 넷서포터(NetSupport)라는 회사의 경우, 영업 관리자가 자사의 고객리스트를 두 경쟁회사에 판매하려 시도했다. 권한의 분할, 주요 정보에 대한 접근통제, 문제직원에 대한 적극적인 대응 등 내부 보안 문제에 소홀한 이들 기업들의 문제는 먼 나라의 이야기가 아니다.
당장 자신이 일하고 있는 기업을 생각해 보자. 마음만 먹는다면 얼마나 쉽게 정보를 유출할 수 있는지. 그리고 중요한 정보에 얼마나 쉽게 접근할 수 있는지. 그렇다면 왜 우리는 이제까지 외부의 공격을 방지하는 데에만 집중해 왔을까?
보안에 대해 관심있는 사람들은 모두 케빈 미트닉에 대해 알고 있다. 전설적인 해커라고 하지만, 케빈 미트닉을 이렇게 유명하게 만든 건 뉴욕타임즈다. 역사이래 전설적인 도둑들은 언론의 도움을 받아 명성을 유지해 왔다. 우리나라의 경우도 마찬가지로 해커와 해킹의 피해는 언론을 통해 과장된 면이 많다. 천재적인 해커라는 말을 많이 사용하지만, 이들은 극소수에 불과할 뿐 대다수의 해커는 다운로드에 능한 네티즌에 불과한 경우가 많다. 이제는 해킹을 어떻게 하느냐 보다는 해킹 프로그램을 어디서 다운받는지 알아내는 것이 해커가 되는 첫걸음이 된 것이다. 이렇게 과장된 해킹과 그 피해에 관심을 기울이는 동안 정작 주요 정보에 쉽게 접근할 수 있는 내부직원 관리에는 소홀했으며, 정보화의 미명하에 구축된 놀라운 기업네트워크를 통해 더욱 손쉽게 정보를 유출할 수 있는 길이 열려 있다. 우리는 이제까지 이론적인 1% 위협에 대응하는데 집중했을 뿐, 실제적인 99% 위협은 인정하지 않았던 것이다.

내부 보안을 위한 접근방법
내부 보안을 위해서는 먼저 보안에 대한 인식부터 수정해야 한다. 이제 많은 시스템관리자들이 깨닫고 있는 사실이지만, 보안은 소프트웨어나 하드웨어를 의미하는 것이 아니다. DB 등 다른 IT 기술분야와 달리 보안은 하나의 솔루션이나 솔루션의 집합으로 완벽하게 해결될 수 있는 문제가 아니다. 모두들 과거와 같이 벤더들이 시장을 만들어 나가고 필요성을 역설하며, 이거면 모두 된다는 식으로 솔루션을 제공했던 벤더 종속적인 시대는 지나갔다고 이야기한다.
이제는 필요성을 알고 있는 기업에서 자사에 적합한 수준의 해결방법을 강구하고 있다. 하지만, 아직까지도 솔루션이라는 말이 의미하듯이 이 솔루션을 도입하면 모든 문제가 해결될 것이라고 생각하는 관리자들이 있다. 외부공격에 대한 보안의 경우 일부 이러한 접근방법이 수용 가능할 수 있지만, 내부 보안의 경우 접근방법을 달리해야 한다.
내부 보안은 솔루션이 아니라 People, Policy, Process로 구성된다. 또한 많은 컴퓨터 공격이 외부에서 발생하지만, 치명적인 피해를 야기하는 것은 내부의 보안침해사고에서 발생한다는 사실을 인식하고 있어야 한다. 대응하는 방법에 있어서도 내부 보안은 외부의 공격을 차단하는 것과 성격이 다르다.
외부 공격의 경우 대부분 차단이라는 개념을 통해 구현되지만, 내부 보안의 경우 관리라는 개념으로 접근해야 한다. 국내에 출시된 기밀유출방지 또는 내부 보안 솔루션들의 경우 이메일 등 네트워크를 통해 기밀정보가 유출되는 것을 방지하고 있다. 하지만 이러한 접근방법은 내부직원이 이미 기밀정보를 취득했다는 것을 전제로 하고 있으며, 이는 대단히 위험하고 비효율적인 발상이다.
이는 흡사 은행직원이 한국은행에서 돈을 훔쳐 세종로 사거리까지 도주하는 것을 방치하고 그제서야 길목을 차단하는 것과 같다. 또한 더욱 중요한 문제는 그 은행직원이 누군지, 어떤 방법으로 금고에서 돈을 빼냈는지 모른다는 사실이다. 먼저 돈을 훔치는 것을 방지해야 하며 금고에 접근하지 못하도록 해야 한다는 것은 어린아이도 알 수 있을 만큼 쉬운 개념이다.
그렇다면 기밀정보에 대한 부적절한 접근을 통제하면서도 기업정보화의 근본취지를 유지할 수 있는 첫걸음이자 핵심은 무엇일까. 그것이 바로 계정 및 접근관리다. 접근관리는 시스템과 호스트에 대한 적절한 수준의 접근을 보장한다. 기업의 사용자와 역할, 시스템들이 복잡해지고 있어 접근통제 또한 매우 세밀한 기능이 요구된다.
예를 들어 특정 기밀정보가 저장된 폴더까지는 물론이고 개별 파일에까지 직원별 또는 업무별 읽기나 쓰기, 실행 등의 권한이 설정되어야 한다. 하지만 소호라면 모를까 일반기업체에서 이렇게 세밀한 통제를 수동으로 구현하기는 사실상 불가능하다. 그렇다고 무턱대고 차단할 수도 없다. 내부 보안의 모든 문제가 그러하듯 정상적인 목적의 접근은 허용해야 하며, 이러한 복잡한 현실적인 요구 때문에 접근통제솔루션이 등장한 것이다.
접근통제솔루션을 구축할 경우 이러한 대부분의 업무가 정책에 기반해 자동으로 구현되므로 강력한 통제가 가능하며 실수로 인한 보안공백 발생을 방지해 보안성이 강화된다. 또한, 수많은 시스템과 애플리케이션, 네트워크에 대한 계정관리 문제도 보안의 문제로 고려해야 한다. 수동으로 이들 계정을 관리할 경우 당연히 퇴사나 보직변경에 따른 휴면계정, 과다계정의 문제가 발생하며, 이들 계정을 통한 부적절한 정보접근의 문제가 발생하는 것이다. 이렇게 중요한 비즈니스 정보에 대한 접근과 계정을 관리한 후 이의 유출을 방지하는 방안을 고려해야 한다.

기밀정보에 대한 접근 관리부터 시작
기밀정보의 위치를 파악하거나 이를 취득하는 것이 어려울 뿐이지, 일단 이들 디지털 정보를 얻었을 경우 유출시키는 것은 매우 쉽다는 것은 모두들 인정할 것이다. DRM, 게이트웨이 필터링, 물리적인 포트 차단 등을 단독으로 사용하는 것은 매우 단편적인 차단방법이며 미봉책에 불과하다. 필자가 만난 기밀정보 유출에 민감한 몇몇 고객사 보안담당자의 고민도 대부분 비슷했다. 문서 자체의 보안을 강화하기 위해 DRM을 도입했고, 이메일로 기밀정보를 유출할까 걱정되어 이메일 필터링 솔루션을 보강했으며, 물리적인 포트도 모두 제거했다.
그렇다면 이제 완벽한가? 나날이 발전하고 있는 기술에 따라 새로운 솔루션을 계속 도입한다고 이러한 문제가 해결되는 것이 아니다. 내부 보안은 기밀정보에 대한 접근을 관리하는 것에서부터 시작되며 이를 보완하는 방법으로 기밀유출방지 솔루션을 고려해야 한다. 그리고 가장 중요한 사실은 보안, 특히 내부 보안의 경우 더 이상 솔루션만으로 해결되는 문제가 아니기 때문에 기업의 최고 자산인 직원, 올바른 내부 보안 정책, 그리고 프로세스 관리를 통해 내부 직원들의 기밀 유출시도와 가능성 자체를 제거해야 한다는 것이다.