기업에서 중요 정보가 유출되는 사고가 발생될 수 있는 경우야 여러 가지가 있겠지만 주요 원인은 손에 꼽히는 몇 가지에 해당된다. 첫째, 해커에 의한 정보 유출. 둘째, 내부자의 고의에 의한 정보 유출. 셋째, 내부자의 실수에 의한 정보 유출. 넷째, 협력사(공급망)에 의한 정보 유출. 모든 정보유출 사고는 이 네 가지 경우 중 하나에 해당된다고 보면 된다.
많은 사람들이 첫째, 해커에 의한 정보 유출과 관련된 사례와 피해 등을 뉴스와 기사로 자주 접하고 있어 가장 익숙하겠지만 사실 위의 세 가지 경우 중 기업에게 가장 치명적인 손해를 안겨주는 것은 둘째, 내부자의 고의에 의한 정보 유출이다.
여러 통계자료에서 유출사고의 70%가량이내부자에 의한 경우라고 보고된 자료가있을 정도로 사고의 수가 많기도 하지만 더 중요한 이유는 따로 있다. 내부자가 범죄자로 낙인찍힐 위험을 무릅쓰고라도 훔쳐낼 정도의 가치가 있는 정보라는 뜻이기 때문이다. 예를 들자면 가끔 뉴스에서도 볼 수 있는 S전자의 주요 부품 설계도 탈취사고와 같은 경우 말이다. 한 장의 종이(또는 파일)가 가진 가치가 수십억에서 수천억 간혹 그 이상의 가치를 가지기도 하며, 유출로 인한 피해가 국가경제에 영향을 주는 경우도 있다.
그런 전차로 기업들은 각종 보안설루션을 도입해 PC 및 중요 서버들에 설치하거나 문서를 유출하지 못하도록 암호화하는 등 여러방법을 통해 관찰하고 감시하고 보호하려고 시도한다. 그러나 안타깝게도사람에 의한 유출시도를 100% 적발하기는 어렵다. 알 수 없는 무언가의 이유로 확실한 동기부여가 되어 내부자가 유출하기로 마음먹은 이상 수단방법을 가리지 않고 가능한 여러 방법을 동원할 것이 분명하며, 대부분의 경우 내부자가 상당한 직급과 권한을 가지고 있으면서 각종 예외처리의 대상인 경우가 많다. 혼자가 아니라 다른 내부자와 함께 가담해 조직적으로 움직이는 경우라면 더더욱 적발이 어렵다. 기업의 내부 절차를 충실히 따르면서 유출을 시도하기 때문에 관찰과 감시의 대상에서 벗어나기 용이하기 때문이다.
기업 입장에서는 관찰도 하고 감시도 하고 암호화까지 해가며 나름 많은 예산을 투자했는데 아직도 구멍이 있어 정보유출이 가능하다고 하고 실제 사고도 발생하고 있으니 난감한 일이다. 그렇다고 무턱대고 예산을 들여 추가 보안제품을 도입하기도 꺼려지는 것이 문제가 해결된다는 보장이 없기 때문이다.
이의 해결을 위해서는 사고방식을 바꿔야 할 필요가 있다. 어떻게(How)든 보호하겠다고 대책들을 적용했음에도 해결되지 못하는 영역에 대해서는 왜(Why)그런지를 이해하고 접근할 필요가 있다."어떻게"가 여러 기술들을 활용한 접근이었다면 "왜"는 내부자 즉 사람의 관점에서 접근해야만 한다. 결국 사람인 것이다.
그리고 사람을 대상으로 한 접근에서 가장 중요한 것은 바로 "엄정(嚴正)"이다. 기업 구성원 전체에게 평등하게 적용되는 보안의 엄정함 말이다. 그러나 아쉽게도 기업에는 이 엄정함이 적용되지 않는 두 가지경우가 존재하고 있다.
보안정책 예외자들
기업에는 여러 보안정책들이 존재한다. 최고경영진의 결재를 통해 전 직원들이 지키도록 엄정하게 강조하는 기업 내부의 법이다. 하지만 대부분의 임직원들은 충실히 따르고 있는 이 정책의 적용대상에서 벗어난 예외자들이 있다. 안타깝게도 이들 예외자들의 상당 수가 직원들에게 보안정책을 지키라고 지시하는 최고경영진이다.
예외자 중 상당 수가 최고경영진이라는 것은 보안조직을 힘들게 만든다. 엄정하게 정책을 적용하고 싶어도 뜻을 펴기 어렵다. 계급이 깡패라는 말도 있듯이 기업에서 보안조직의 처지와 위상으로는 예외처리가 이루어지는 것을 그저 눈뜨고 바라봐야 하기 때문이다.
어찌 보면 이것은 일종의 특권의식이고 다른 사람들은 지켜도 난 지키지 않아도 된다는 우월감이기도 하다. 그런 힘이 있고 권한도 있음을 기업 내외부에 표출하는 것이다. 그리고 많은 경우 중요정보 유출의 원인은 그런 예외자들 중에서 나온다. 힘이 있고 권한도 있으면서 정책에서 벗어난 예외자들 말이다.
처벌의 가벼움
보안설루션에서 수집한 여러 정보들을 관찰하다 보면 종종 내부정책을 위반한 사례가 적발된다. 기업에서 하지 말라고 금지한 행동을 한 것이다. 고의로 한 것일 수도 실수로 한 것일 수도 뭘 했는지 모를 수도 있다. 정작 중요한 것은 그다음이다. 대부분의 기업에서 보안정책 위반이 적발되면 인사위원회 회의를 거쳐 위반의 심각도에 따라 징계할 수 있다고 되어 있다. 그러나 실제 징계로까지 이어지는 경우는 보기 힘들다. 나름 오랫동안 보안분야에서 근무했지만 보안정책 위반으로 인사위원회가 개최되는 경우를 거의 보지 못했다. 빠른 업무처리를 위해서, 협력사(고객사)의 요청이어서, 경영진의 지시로 부득이하게 등 이런저런 이유로 대부분 빠져나간다.
다른 물리적 금전적 위반 사고들처럼 당장의 피해가 가시적으로 보이고 몸으로 체감된다면 모를까 보안정책 위반은 즉각적인 피해로는 이어지지 않으므로, 최고경영진의 입장에서는 상대적으로 덜 심각하다고 느껴지는 것이 아닌가 짐작된다.
위반이 적발돼도 적절한 징계가 이어지지 않는 상황은 보안조직의 의욕을 상실되게 만든다. 기껏 관찰을 통해 위반사례를 발견하고 내부에 신고했음에도 아무런 후속조치가 이루어지지 않음으로써 애써서 도입하고 구축한 관찰(및 감시) 시스템의 의미가 퇴색되기 때문이다. 의미가 없다면 굳이 힘들게 관찰을 해야 할 동기도 사라지게 된다.
위반이 적발돼도 징계가 되지 않는 상황은 임직원들의 의식을 해이하게 만든다. 내부 보안정책 위반을 통보받았는데 아무런 조치도 없이 유야무야 넘어가는 것을 한두 번 경험하면 또 위반해도 된다는 생각이 고착된다. "바늘도둑이 소도둑 된다"고 작은 위반이 어느 순간 큰 위반사고로 이어지게 된다. 호미로 막을 걸 가래로 막게 생긴 것이다. 만약 첫 적발 시 엄정한 처벌이 이루어진다면 이후의 위반은 없을 것이고, 다른 직원들에게도 경각심을 심어주는 계기가 될 것이다.
일벌백계(一罰百戒)라고 했다. 한 사람을 벌주어 백 사람을 경계한다는 뜻으로, 다른 이에게 경각심을 불러일으키기 위하여 본보기로 중한 처벌을 내리는 것을 말한다. 기업들이 되새겨야 할 문구다.
기업 보안의 최종 완성은 결국 사람이다. 기업은 사람들이 모여 꾸려나가는 단체이고 문제도 사람이 일으킨다. 사람의 문제를 단순히 기술로만 접근해서는 해결책이 나올 수 없다. 원인이 사람이니 방안도 사람에게서 찾아야 한다.
누군가는 내부의 법을 지키고 누군가는 예외자가 되어 지키지 않아도 되는 모습. 임직원이 법을 위반해도 좋은 게 좋은 거라고 처벌받지 않거나 솜방망이 처벌에 그치는 모습. 모두 기업을 위험하게 만드는 모습이다. 사람에 대한 엄정한 정책의 적용. 기업 정보보안이 변화하기 위해 필요한 FSNMS 방법론의 마지막 방법이다.
