[보안칼럼]내부 보안, 결국은 사람이다

과거 통합보안관리(ESM) 시스템은 조직 보안 강화를 위해 유행처럼 도입됐다. ESM은 시간이 지나면서 보안정보이벤트관리(SIEM), 보안오케스트레이션자동화대응(SOAR)이라는 개념으로 진화해 왔다. 많은 기업과 기관이 통합보안 플랫폼을 구축했지만 보안사고는 여전히 일어난다.

많은 시장조사에서 알 수 있듯 보안 위협은 급증하고 다양한 방법으로 진화하고 있다. 보안 제품은 대부분 해킹과 같은 외부 위협에 대응하기 위해 만들어졌다. 해킹, 해커, 크래커, 침입자, 위협 등 단어가 정보기술(IT) 분야에서 큰 이슈로 되면서 외부 공격을 막아야 한다는 개념이 작용했다.

그런데 보안사고 대부분은 내부에서 발생한다. 내부 위협은 사람에서부터 시작한다. 최근에는 조직 내부까지 보안 범위를 확장하며 투자가 이뤄지고 있지만 현실적으로 내부에 존재하는 위협 탐지에는 부족한 부분이 많다. ESM 또는 통합보안이라고 말하지만 우리는 존재하는 내부 위협을 잘 탐지하지 못한다.

그동안 외부 위협 탐지는 보안 시스템에서 발생하는 이벤트를 모니터링하고 분석하는 것이 대부분이었다. 이 방식은 외부 위협 탐지에는 용이하지만 내부에 적용하면 실제 존재하는 내부 위협 탐지에는 미흡하다. 내부 보안은 조직에 속한 사람 중심으로 분석해야 한다. 사람을 근간으로 위협을 정확하게 설정하고 내부 프로세스와 정책을 설정해야 한다.

코로나19 팬데믹으로 재택·원격 근무가 적극적으로 시행되면서 내외부 경계가 모호해지고, 원격근무를 위한 시스템이 도입되면서 내부 위협을 탐지하기 위한 리스크가 더욱 증가하고 있다. 기업과 기관 IT 인프라는 최첨단으로 진화하는데 내부 위협 분석 방식은 과거 보안 시스템 이벤트 중심에서 크게 벗어나지 못하고 있다.

조직 대부분은 내부 위협을 관리하기 위해 내부정보유출관리(DLP), 문서암호화(DRM), 접근제어, 데이터베이스(DB) 보안 등을 도입한다. 내부 보안을 위해 전용 보안 제품과 접속 애플리케이션(앱)이 발생하는 로그 데이터를 통계화하고 리스트화하는 방식으로 구현한다. 그러나 이런 이벤트 중심 데이터 결과물은 내부 위협을 실질적으로 관리하기에 몹시 파편화돼 있어 내부 위협을 제대로 탐지하기에는 한계가 있다.

해외 내부 보안 강화 사례를 살펴보면 한국과 크게 다르다는 것을 알 수 있다. '휴먼 포인트'라는 슬로건을 내세우는 글로벌 기업은 내부 위협 분석과 모니터링 제품을 개발해 주요 공공기관과 금융권에 공급했다. 이 솔루션은 조직에 속한 모든 사람에 대한 위험도를 측정하고 분석해서 대시보드에 위험한 사람 순위를 나타내 준다. 가장 큰 포인트를 사람에 두는 것이다. 보안 시스템 이벤트를 나열하는 국내 사례와는 많이 다르다. 내부 위협 관리는 반드시 사람부터 시작해야 한다.

그렇다면 사람을 시작으로 어떻게 관리해야 할까. 가장 먼저 기업이 보유하고 있는 인적·물적·기밀정보 자산에 정의를 내리고 DB화하는 것이 필요하다. 이 데이터를 기반으로 발생 가능한 내부 위협 시나리오를 작성, 알려진 내부 위협을 탐지해야 한다. 이와 함께 인공지능(AI) 기술을 적용해 개인별·부서별 학습을 거쳐 수집되는 로그 데이터와 비교 분석해서 알려지지 않은 위협에도 대비해야 한다. 개인 과거 행위, 부서 현재 행위와 현재 이뤄지는 이상 행위를 분석해서 내부 보안 위험도를 관리하는 것이다. 많은 글로벌 기업은 이런 기법으로 내부에 존재하는 위협을 탐지하고 관리한다.

내부 정보보호는 새로운 솔루션을 계속 도입하고 차단한다고 해서 해결되지 않는다. 외부 침해를 분석하는 이벤트 중심 분석 방법에서 사람 중심으로 정책과 프로세스를 명확하게 세워 관리하는 방식으로 발전시켜야 한다. 새로운 관점의 ESM, 사람 중심 분석이 이뤄져야 한다. 결국은 사람이다.

박준형 앤서 대표 jh@ianswer.co.kr