IT보안. 회사 보안팀은 당신이 뭘 하는지 다 본다.

- 설마 나까지 보겠어? 응 다 봐 -

오늘 구독자 100명이 됐다. 숫자가 크진 않지만 나름 감사한 일이다.

원래 주 1회 발행을 목표로 하고 있는데, 오늘은 그 기념으로 중간에 한 편 더 끼워 넣는다.

구독자 목록을 보니 IT업종 종사자보다 일반 회사원분들도 꽤 많다는 걸 알았다. 그래서 이번엔 IT보안 직무랑 상관없이, 그냥 회사 다니는 사람이라면 한 번쯤 궁금했을 이야기를 써보려 한다.

IT보안 일을 한다고 하면 술자리에서 꼭 나오는 질문들이 있다.

동창회든, 동호회든, 길드 정모든. 업종 불문이다.

"나 몰래 게임하는 거 회사에서 알아?"

"내가 어디 접속하는지까지 보는 거야?"

"이직 준비를 회사 PC로 해도 돼?"

매번 비슷한 질문이 나온다. 그리고 매번 비슷하게 분위기가 흘러간다.

Google Gemini가 생성한 이미지

오늘은 그 답을 제대로 써보려 한다.

단, 오늘 얘기할 건 대표적인 것들만이다. 실제 보안 장비는 이것보다 훨씬 많다. 그리고 모든 보안 장비가 사용자를 들여다보는 것도 아니다. 다 적으면 이 글이 교과서가 되니까.

---

프록시 로그, 당신이 어디 갔는지 다 안다

프록시가 뭔지 몰라도 괜찮다. 이런 게 있다는 것만 알면 충분하다.

쉽게 말하면 회사 인터넷 출입구에 달린 CCTV 같은 거다. 회사 네트워크로 인터넷에 접속하는 순간, 전부 이 출입구를 거치고 거기서 기록이 쌓인다.

누가, 언제, 어디에 접속했는지.

유튜브 봤는지, 채용 사이트 들어갔는지, 점심시간에 부동산 앱 열어봤는지. 도메인 단위로 다 찍힌다.

물론 보안팀이 매일 들여다보진 않는다. 솔직히 그럴 인력도 없다. 하루에도 수백, 수천 명이 쏟아내는 로그를 일일이 들여다보고 있을 여유가 있는 보안팀은 없다.

근데 누군가 이슈가 생기는 순간, 그 사람 로그를 뽑아보면 지난 몇 달치가 한 번에 펼쳐진다.

이게 바로 사후 추적이다. 실시간 감시가 아니라, 필요한 순간에 과거를 통째로 꺼내보는 방식. 그 순간엔 숨길 게 없다.

실제로 이런 케이스도 있었다. 연구직 직원 한 명이 업무상 외부 클라우드 접근이 허용된 상태였는데, 주말마다 데이터를 꾸준히 업로드하는 패턴이 잡혔다. 2달 추적 끝에 결론이 났다.

그 뒤 어떻게 됐는지는 여기서 더 적기가 곤란하다.

DLP까지 깔리면 얘기가 달라진다

프록시가 '어디 갔냐'를 본다면, DLP(Data Loss Prevention)는 '뭘 했냐'까지 본다.

PC에 어떤 프로그램을 설치했는지, 어떤 파일을 USB에 꽂았는지, 어떤 문서를 외부로 전송했는지.

PC나 서버(유식한 말로 엔드포인트라고 한다) 단에서 행위 자체를 들여다보는 방식이다.

개인 핸드폰 충전하려고 USB 꽂았더니 DLP 알람 뜬 경우도 있다. 보안팀 입장에선 그냥 알람 하나지만, 당사자 입장에선 황당한 거다. 충전인지 데이터 전송인지 장비는 구분을 못 하니까.

회사 노트북에 개인 프로그램 설치하는 것도 마찬가지다. 깔았다는 이력이 남는다. 나중에 문제가 생겼을 때 그게 꼬투리가 되는 경우, 솔직히 한두 번 본 게 아니다.

단, 못 보는 것도 있다. 아니. 정확히는 안 보는 거다

암호화 인터넷 구간(=HTTPS), 그러니까 계좌번호 입력하거나 비밀번호 치는 그 순간.

사실 인터넷 암호를 풀 수 있는 장비(=SSL 복호화 장비)가 있는 회사라면 기술적으로는 볼 수 있다. 근데 그게 목적이 아니다. 악성코드 탐지하고 정보 유출 막으려고 트래픽 들여다보는 거지, 당신 인터넷뱅킹 비밀번호가 궁금한 게 아니니까. 거기다 개인정보보호법, 통신비밀보호법. 괜히 건드렸다가 회사가 더 곤란해진다.

정확히는 "다 본다"가 아니라 "볼 수 있지만, 볼 이유가 없는 것들은 안 본다"가 맞다.

개인 핸드폰 핫스팟 쓰면 되지 않나

맞다. 회사 네트워크를 안 쓰면 프록시 로그엔 안 찍힌다.

근데 DLP가 깔린 노트북이라면 얘기가 다르다. 네트워크랑 상관없이 그 PC에서 일어난 행위는 기록된다. 노트북이 회사 소유인 이상, 어떤 네트워크를 쓰든 엔드포인트 로그는 남는다.

그리고 핫스팟 쓰다가 발각되는 것 자체가 또 다른 이슈가 되기도 한다. 왜 굳이 개인 망을 썼냐는 거다.

그래서 보안팀이 이걸 왜 하는가

감시가 목적이 아니다. 진짜로.

내부 정보 유출 막고, 악성코드 경로 추적하고, 사고 났을 때 원인 파악하는 게 목적이다.

예전에 SIEM(각종 보안 장비 로그를 한 곳에 모아서 분석하는 통합관제 시스템이다)에서 알람이 하나 떴다. 대용량 파일이 USB에서 PC로 이동했다는 내용이었다.

열어봤더니 야동이었다.

가볍게 주의만 줬다. 음란물 배포나 소지는 보안 정책 위반일 수 있으나, 단순 유입 자체는 정보 유출과는 궤가 다르다. 그건 인사팀 소관이지 우리 소관이 아니니까.

보안팀은 인사팀이 아니다. 우리의 목적은 딱 두 가지다. 외부 공격 차단, 내부 데이터 유출 방지. 그게 전부다. 한 가지 더 덧붙이자면, 보안팀도 여러분의 사생활을 보고 싶지 않다. 보는 순간 그게 우리한테도 업무가 되고 책임이 된다. 봤으면 기록해야 하고, 기록했으면 보고해야 하고. 솔직히 귀찮다.

근데 그 과정에서 필요 이상의 것들이 보이는 건 사실이다. 보안 사고 조사하다가 당사자 로그 뽑았는데, 사고랑 상관없는 채용 사이트 접속 기록이 몇 달치 나온 적이 있다. 그 사람 이직 준비를 그렇게 먼저 알게 됐다. 보고서엔 안 썼다. 근데 그 뒤로 서로 묘하게 어색했다.

이게 감시냐 보안이냐의 경계. 솔직히 아직도 이 바닥에서 정답이 없는 질문이다.

---

그럼 우리 회사는 과연 나를 얼마나 감시(?) 하고 있을까?

이쯤 되면 이런 생각이 들 수 있다. 솔직히 이 글을 읽고 있는 당신이 다니고 있는 회사가 대기업이나 상장사라면 맘 편하게 보안 장비가 어느 정도 갖춰져 있다고 가정하면 된다.

문제는 우리나라 기업의 99%를 차지하는 중소기업이다.

중소기업이라고 보안 솔루션이 아예 없는 건 아니다. 업종에 따라 인증 때문에 의무적으로 보안 장비를 적용하는 곳도 있고. 혹은 보안 마인드가 강한 사장님이 "우리가 규모는 작아도 기본 보안은 해야지"라거나, 솔직히 말하면 "우리 직원들 업무시간에 뻘짓 안 하고 일 잘하는지 볼까?" 하는 생각에 나도 모르게 운영되고 있을 수도 있으니.

그런 분들을 위해 간단한 테스트를 준비했다.

우리 회사 보안 수준 간단 테스트

1. PC 오른쪽 하단에 V3 혹은 알약 회사 정품이 돌아가고 있다 → 1점
2. 회사 네트워크에서 성인사이트 접속하면 차단된다 → 3점
3. 개인 USB를 꽂으면 차단된다 → 5점
---
0점 — 오늘 글 아무것도 신경 안 써도 된다. 백신도 없는 회사가 프록시를 운영할 리 만무하니.
1점 — 그래도 크게 신경 쓸 필요는 없다.
3점 이상 — 어느 정도 회사에서 당신을 지켜보고 있다.
8점 이상 — 회사에서 뻘짓 안 하는 게 좋다. 진심으로. 그리고 혹시 이 글, 회사 PC로 읽고 있는 거 아니시죠? 그렇다고 이 글이 뻘글이라는 의미는 아니고...

---

회사 네트워크와 회사 장비. 이 두 가지가 겹치는 순간, 당신이 하는 것들은 기록된다.

지금 당장 누가 들여다보고 있냐의 문제가 아니다. 필요하면 언제든 꺼내볼 수 있다는 게 핵심이다.

게임도, 이직 준비도, 유튜브도. 회사 장비로 회사 네트워크에서 하는 이상 흔적은 남는다.

개인적인 건 개인 장비로. 이게 이 바닥 18년 차의 현실적인 조언이다.

Google Gemini가 생성한 이미지

사족.

사실 이 글 쓰면서 어디까지 써야 하나 고민을 꽤 했다. 같은 업을 하는 분들한테 실례가 되는 건 아닌가 싶기도 하고. 마술사가 마술 원리를 까발리는 것까진 아니더라도, 비슷한 느낌이 드는 건 사실이다.

그래서 오늘은 맛만 봤다. 근데 맛만 봐도 대부분의 궁금증은 풀리지 않았나 싶다.