[넋두리] 13. 믿는 도끼에 찍히면 더 아프다

아는 사람이 더 무서운 법이다

이병헌과 조승우가 주연을 맡은 영화 <내부자들(2015)>은 700만 관객을 끌어 모으며 흥행을 기록했다. 주인공은 스스로 나라를 뒤흔드는 비리의 권력조직에 잠입해 증거를 확보, 부패자들을 일망타진해 꽉 막힌 국민들의 속을 시원하게 만들어 주었다.

해외에서는 미국 정부가 전 세계를 대상으로 불법 정보수집과 감시를 해 온 기밀을 폭로했다는 이유로 전 세계 수배 대상 1순위가 되어 러시아에서 임시 망명자로 살고 있던 '에드워드 스노든'의 일대기를 그린 영화가 화제가 된 적이 있다.

두 영화의 공통점은 조직에 속해 있던 내부자에 의해 비리가 폭로되어 진실이 드러났다는 점이다. 이렇듯 내부의 상황을 잘 알고 있는 내부자에 의한 고발은 강력한 증거가 된다.

정보보호의 영역에서 내부자는 전혀 다른 의미를 가지게 된다. 통계에 따르면 기업 정보유출 사고의 52%가 내부자에 의해 발생하고 있다고 한다. 한때 우리나라는 데이터 유출, 침해 1위 국가로 발표된 적이 있을 정도로 정보유출 상황이 심각하다.

해외 유명 사이트인 <CEO 온라인 홈페이지>가 기업정보보호에 가장 위험한 10명의 '리스트(적)'를 조사하여 공개한 적이 있다. 그런데 그 한 명 한 명을 확인하는 순간 보안전문가들조차 당황할 수밖에 없었다. 그 10명이 모두 내부자였기 때문이다.

CEO, 비서, 보안 컨설턴트, 퇴사 직원, 신입 IT팀장, 홍보담당자, 외주인력, 임시직원, 클라우드 컴퓨팅 담당자, 기부 담당자가 바로 그 10명이다. 공통적인 특징이 있다. 업무상 반드시 필요하거나, 누군가의 필요에 의해서 너무 많거나 적은 권한이 주어지는 대상이라는 점이다. 

권한이 많은 경우 그 자체로 정보유출을 시도할 수 있어 위험하다. 권한이 너무 적은 경우는 적다는 이유로 주요 관심대상의 밖에 위치하여 누구의 관심도 받지 않는다. 따라서, 제대로 관리되지 않아 악의적 해커의 목표가 되기 쉽다.

현재 국내 대부분 기업들의 보안은 외부에서의 침입을 막는데 집중되어 있다. 악의적 해커의 침입을 통한 정보유출 차단에 집중되어 있는 것이다. 그러나 기업에게 가장 위협적인 적은 항상 내부에 있다. 인간은 피륙의 상처로는 쉽게 죽지 않는다. 그러나 보이지 않는 내부의 병마는 서서히 죽음이라는 치명적인 결과를 맞이하도록 만든다.

기업이나 기관도 마찬가지다. 국가나 기업이 외부의 공격을 당하게 되면 상처를 입지만, 고난을 극복하면 이를 계기로 더욱 단단히 결집하게 되는 계기가 될 수 있다. 그러나, 내부에서 분열되고 공격당하면 여지없이 무너질 수밖에 없다. 기업의 경영진들과 보안책임자들은 이점을 명심 또 명심해야 한다.