데이터 유출 원인 파악 먼저
데이터가 도처에 존재하는 지금, 기업이 기밀 정보를 보호하는 일은 갈수록 어려워지고 있으며, 복잡한 이기종 IT 환경에서 데이터를 보호하고 위협 요소에 대처하기는 쉽지 않다. 더구나 끊임없이 발생하는 데이터 유출의 폐해는 지속적으로 강조되고 있으나 데이터 유출이 발생하는 이유 및 이를 방지하기 위한 조치에 관해서는 이해가 부족한 상황이다.
따라서 데이터 유출을 방지하려면 먼저 데이터 유출이 발생하는 원인을 규명할 필요가 있다. 데이터가 유출되는 근본 원인은 크게 선의의 내부자, 대상 지정 공격 및 악의적인 내부자 세 가지 유형으로 나눌 수 있는데, 대부분의 경우 이러한 요인들이 합쳐진 결과 데이터 유출이 발생한다. 특히 과거에 보안은 외부의 해커나 악의적인 의도를 가진 내부자에 초점을 맞췄지만 최근에는 악의적인 의도는 없지만 보안 정책을 준수하지 않거나 부주의한 행동으로 중요 정보를 유출시키는 이른바 ‘선의의 내부자’로 인한 정보 유출 위험에 더 주의를 기울여야 한다.
선의의 내부자로 인한 데이터 유출은 ▲데이터 보안정책을 숙지하지 못한 내부자가 암호화되지 않은 기밀 데이터를 저장, 전송하거나 복사하고 이를 해커가 포착하는 경우 ▲랩톱 분실 및 도난 ▲개인 이메일 계정으로 기밀 데이터를 전송하거나 주말에 작업하기 위해 USB 메모리 또는 CD/DVD로 복사 ▲써드파티 및 파트너에 의한 데이터 손실 사고 ▲오래된 비즈니스 프로세스로 인한 기밀 데이터 자동 배포 등을 통해 발생한다.
특정 기업을 겨냥한 표적 공격도 정보 유출의 대표적인 방법이다. 표적 공격은 기업의 핵심 정보에 접근할 수 있는 특정인들을 속여서 감염된 이메일이나 다른 메시지들을 열도록 하는 정교한 사회 공학적 기법을 이용한다. 이러한 표적 공격은 일반적인 해킹과 달리 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계돼 대량의 개인정보 유출을 수반하는 대규모 데이터 침해사고에서 발견되고 있다.
최근에는 전세계 에너지 회사들을 대상으로 한 표적 공격용 웜 바이러스가 발견돼 충격을 주기도 했다. ‘스턱스넷(Stuxnet)’으로 명명된 이 바이러스는 폐쇄망으로 운용되는 원자력, 전기, 철강 등 기간산업의 제어시스템에 침투해 작동 교란을 유도하는 명령코드를 입력, 시스템을 마비시키는 악성코드로 주로 기업이나 국가와 같은 산업제어시스템을 공격한다. ‘다이하드4’의 영화속 시나리오가 이제는 더 이상 허구가 아닌 현실로 다가온 셈이다.
이 같은 표적 공격은 기존의 시그니처 기반 악성 코드 탐지기술을 피하도록 설계돼 있어 공격을 방어하기가 어렵다. 전통적인 보안 솔루션은 보호기능을 제공하기 위해 사전에 해당 악성 코드를 포착해 분석해야 하기 때문이다.
이러한 표적 공격은 최근 사이버 공격이 보이는 뚜렷한 경향으로 나타나고 있다. 시만텍이 1억대 이상의 고객 컴퓨터 정보와 시만텍 ‘글로벌 인텔리전스 네트워크(Global Intelligence Network)’가 제공하는 정보를 기반으로 분석한 바에 따르면, 75% 이상의 악성 코드가 50명도 채 안되는 사용자들을 공격하고 있다. 이는 사이버 위협이 국지적 형태의 표적 공격 형태로 진행되고 있으며, 이러한 악성 코드 공격에 대비하기 위해서는 기존 시그니처, 휴리스틱 및 행위 기반 보안기술을 보완해주는 평판(Reputation) 기반의 보안 접근법이 필요함을 시사한다.
악의적인 내부자로 인한 데이터 유출 사고도 크게 늘고 있다. 시장조사기관인 포네몬 인스티튜트에 따르면, 직원의 부주의로 인한 데이터 유출은 레코드당 199달러의 비용손실을 발생시키는 데 비해 악의적 행동에서 비롯된 유출은 레코드당 225달러의 비용손실을 발생시키는 것으로 나타났다. 즉 악의적 유출은 더욱 큰 피해를 일으킬 수 있어 더욱 철저한 예방이 요구되는 것이다.
정보를 도용할 목적으로 악의적인 내부자가 저지르는 데이터 유출 유형은 크게 ▲범죄 조직에 연루된 직원이 고의로 데이터를 훔치는 경우 ▲경제 위기로 해고가 늘어나면서 불만을 품은 퇴사자가 데이터를 유출하는 경우 ▲직원이 향후 경력 기회에 활용하고자 회사 데이터를 홈 시스템에 저장하는 경우 ▲불만을 품거나 실적이 좋지 않은 직원이 경쟁사로 이직하기 위해 본인의 작업 파일을 경쟁사에 전달하는 경우 등 4가지로 나눌 수 있으며, 이를 통해 신제품 정보, 마케팅 계획, 고객 목록 및 재무 데이터 등이 유출될 수 있다.
선제적 대응 시스템 마련 방법
데이터 유출 가능성 및 위험성을 줄이기 위한 방안으로 기업들은 먼저 선제적인 정보보호 시스템을 마련할 필요가 있다. 현재의 네트워크 환경에서는 더 이상 주변부 방어만으로는 충분하지 않기 때문이다.
이제는 가장 중요한 정보가 어디에 저장 또는 전송되거나 사용되든지 간에 그 정보를 정확하게 파악하고 사전에 보호해야 한다. 전사적으로 서버, 네트워크 및 엔드포인트 전반에 걸쳐 통합 데이터 보호 정책을 시행함으로써 데이터 유출의 위험성을 점진적으로 줄일 수 있다. DLP(Data Loss Prevention) 솔루션은 이러한 통합적인 방식을 실현시킬 수 있는 데이터손실방지 솔루션이다.
두 번째로 중요한 데이터에 대한 접근 권한 설정을 자동화해야 한다. 데이터 유출은 주로 악성코드를 이용하여 기밀 데이터를 찾아내고 외부로 빼돌리는 표적공격으로 발생한다. 또한 부적절한 인증 정보 사용은 그러한 공격을 가능하게 하는 대표적인 원인이다. 따라서 기밀 정보에 대한 암호화 및 기타 권한 설정을 정기적으로 자동 점검함으로써 그러한 유출의 위험성을 줄일 수 있다. 뿐만 아니라 퇴사하는 직원의 권한을 적시에 해제하지 못하는 것도 악의적 내부자에 의한 데이터 유출을 일으키는 대표적인 원인이다. 액세스 권한 검토 과정을 자동화한다면 그러한 유출을 사전에 방지할 수 있다.
세 번째로 실시간 알림과 ‘글로벌 보안 인텔리전스’를 연계해 위협 요소를 미리 파악해야 한다. 보안 공격 위협요소를 식별하고 대처하기 위해 보안 정보 및 이벤트 관리 시스템에서 의심스러운 네트워크 활동을 조사 대상으로 지정할 수 있다. 그러한 실시간 알림은 특히 해당 정보가 실제로 알려진 위협 요소와 연계될 때 더욱 진가를 발휘한다.
네 번째로 표적 공격에 의한 침투를 차단해야 한다. 해커들이 회사 네트워크 침투에 가장 많이 이용하는 세 가지 방법은 기본 암호해독, SQL 인젝션 및 악성코드를 통함 표적공격이다. 이 같은 침투를 방지하려면 기업 정보 자산을 노리는 각각의 수법을 효과적으로 차단해야 한다. 제어 평가 자동화, 핵심 시스템 보호 및 메시징 보안 솔루션을 결합해 활용한다면 표적공격을 막을 수 있다. 또 엔드포인트를 중앙에서 관리하면서 보안 정책, 암호화 기능 및 정보 액세스를 일관성있게 배포해야 한다.
다섯 번째는 해커의 침투가 성공했더라도 네트워크 소프트웨어에서 기밀 데이터 추출을 탐지해 이를 차단한다면 데이터 유출을 방지할 수 있으며, 내부자의 유출도 파악해 차단할 수 있다. DLP와 보안 이벤트 관리 솔루션을 결합할 경우, 외부 전송 단계에서 데이터 유출을 방지할 수 있는 효과적인 체계를 마련할 수 있게 된다.
여섯 번째는 예방 및 대응 전략을 통합해 보안 운영에 적용하는 것이다. 데이터 유출을 방지하려면 보안 팀의 일상 업무에 유출 방지 및 대응 계획을 통합시켜야 한다. 보안 팀은 정보 모니터링 및 보호 기술을 활용하면서 끊임없이 계획을 업그레이드하고, 지속적으로 확장되는 위협 요소 및 취약점 관련 지식 기반에 기초하여 점진적으로 리스크를 줄일 수 있어야 한다.
데이터 유출을 예방하고 대응 계획을 수립하기 위해서는 먼저 보호해야 할 기밀 데이터의 유형을 파악하고 그 정보를 바탕으로 보안 리스크를 평가해야 한다. 무엇보다 기업과 사용자들의 보안 의식 강화가 선행돼야 한다. 사용자를 속이는 기술이 그 어느 때보다도 정교해지는 만큼, 기업 및 사용자의 철저한 보안 의식만이 소중한 디지털 정보자산을 지켜낼 수 있다.
