보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

퇴직자나 부서 이동자의 권한 관리, 아직 소홀하다

500명의 임원급 IT 담당자들 중 절반 “권한 가진 퇴직자 알고 있다”

클라우드 사용량과 애플리케이션 사용량 늘어 크게 취약해진 IT 환경

새로운 직장을 찾아 떠나거나, 새로운 부서로 발령을 받아 자리를 비우게 된 직원들의 경우 기존의 데이터 권한을 그대로 가지고 가는 경우가 많다. 그리고 이것 때문에 큰 문제가 발생하기도 한다. 최근 아이덴티티 관리 전문 업체인 원로그인(OneLogin)이 500명의 IT 부서 임원들을 대상으로 연구를 실시한 결과 떠나가는 직원들에 대한 권한 삭제 및 관리를 제대로 하는 곳이 드물다는 사실이 드러났다. 

[이미지 = iclickart]


먼저, 응답자의 20%는 ‘퇴직자의 권한을 제대로 처리하지 않아 데이터 유출 사고가 발생한 적이 있다’고 답했다. 이 중 47%는 데이터 유출 사고의 10%가 바로 이러한 ‘이전 근무자들’로부터 발생했다고 답하기도 했다. 또, 전체 응답자의 절반 가까이가 ‘아직도 기업 애플리케이션 등에 접속 권한을 가지고 있는 퇴사자를 알고 있다’고 답하기도 했으며, 퇴사자의 이전 계정 절반이 하루 이상 살아있다고 했다. 1/4은 이러한 계정을 삭제하는 데에 1주일 이상이 걸리며, 1/4는 얼마나 걸리는지 알지 못한다고 답했다.

보안 업체 마크로직(MarkLogic)의 수석 엔지니어인 톰 토마센(Tom Thomassen)은 “현재 데이터란 데이터는 온갖 위험에 노출되어 있다”고 설명한다. 왜냐하면 클라우드 초기의 의심이 걷혀지고 있어 이제 중요한 정보들도 거침없이 클라우드에 저장하는 기업들이 늘어나고 있기 때문이다. “그런데 클라우드에서의 데이터 보관법에 대해서는 상대적으로 덜 익숙한 상태입니다. 그래서 큰 일이 터지는 것이죠. 그 어느 때보다 자주 말입니다.”

여기다가 서드파티 앱의 도입도 기하급수적으로 불어났다는 것이 문제를 더 심각하게 만든다. 원로그인의 CISO인 알바로 호요스(Alvaro Hoyos)는 “2000년대까지만 하더라도 데스크톱에 직접 설치하는 애플리케이션들이 엄청나게 많았죠. 워드 프로세스나 스프레드 시트 정도는 아직도 그렇고요. 하지만 이제 직접 설치하는 애플리케이션이 줄어들고 있어요. 전부 클라우드를 통해 직접 실행하죠. 기업 내부에서만 사용하는 애플리케이션의 경우 클라우드에서 실행되는 것이 더 많을 정도입니다.”

이러한 현상은 앞으로도 계속될 것이라는 게 중론이다. 즉 ‘남이 만든’ 서드파티 앱을 사용하는 경우가 늘어날 것이라는 뜻이다. 더구나 서드파티 앱의 기능은 점점 세분화되고 있어 하나의 커다란 프로그램 안에 모든 기능이 들어가 있는 형태보다는, 기능별로 서로 다른 앱들이 사용되는 방식으로 근무 환경이 바뀔 것으로 보인다. 즉 여태까지 업무에 4~5개 정도의 앱만 사용했다면, 이제는 30~40개가 충분히 될 것이라고 예상할 수 있다. “애플리케이션의 가짓수가 늘어난다는 건 공격의 표면이 늘어난다는 것과 같습니다.”

퇴직자 혹은 이전 근무자의 경우 기존에 맡았던 역할과 지위에 따라 접근 권한이 다양하다. 영업을 담당했던 자라면 마케팅 분석 자료나 바이어들의 연락처, 경쟁자들 관련 정보에 대한 열람권을 가지고 있었을 것이다. 보통 이러한 사람들의 이메일 계정 등을 없애는 것으로 후속처리를 했다고 생각할 수 있는데, 이러한 정보들이 드롭박스나 기업 내 사용되던 클라우드에 저장되어 있다면, 해당 애플리케이션에 대한 계정들도 역시나 없애야 한다. 

이전 ‘관리자급’ 직원이면 어떨까? 영업 담당자보다 훨씬 많은 애플리케이션이나 IT 인프라에 대한 접근 권한을 가지고 있었을 것이다. 고객 정보와, 내부적으로 진행되는 애플리케이션에 대한 정보까지도 가지고 있었을 가능성이 높다. 엔지니어라면? 개발 공정과 관련된 모든 정보를 접하고 있었을 것이다. 이런 사람들은 계정 권한을 말소시키는 것 자체가 힘든 일이다. 이번 조사에서 응답자들은 권한 취소가 가장 어려운 부류로 운영, 총괄 담당자를 꼽았다(26%). 그 뒤로는 엔지니어와 영업 담당자가 20%를 차지해 2위가 되었고, HR이 18%, 금융 및 고객 지원 직원이 16%, 마케팅이 직원 13%를 차지했다. 

이전 근무자의 권한 박탈 및 계정 정리 등에 걸리는 시간은 근무 당시 애플리케이션을 어느 정도 사용하고 있었느냐에 따라 달라진다고 한다. 근속 기간 역시 이에 영향을 주는 요소다. 호요스는 “해고 자체야 몇 초면 끝이고, 권한 박탈 역시 수분 안에 해결되는 문제”지만 “그 사람이 있던 흔적 자체를 사이버 공간 내에서 모두 지워낸다는 건 조금은 다른 문제”라고 말한다. 

토마센은 “내부자 위협을 줄이기 위해서 할 수 있는 일은 크게 세 가지”라며 “접근 통제, 모니터링, 탐지”를 꼽았다. “접근 통제의 측면에 있어서는, 전문가들이 각종 칼럼을 통해 소개하거나 산업 표준 기구들이 권장하는 걸 하면 대부분 좋습니다. LDAP, PKI, 2중인증 등이 대표적이죠.” 모니터링의 경우는 일일이 접근 및 사용 현황을 파악하는 게 쉬운 일은 아니라며 “서버 측에서의 행위, 사용자 로그인 기록, 네트워크 접근 기록 등 방대한 데이터를 통해 유출 및 불법 접근을 파악하고 탐지하는 게 관건”이라고 설명한다. “사실 이 부분이 어렵기 때문에 오늘날 데이터 유출 사고가 자주 일어나는 것이라고 볼 수 있습니다.”

그렇지만 내부자 위협은 정말 보안 담당자 입장에서 까다롭고 골치 아픈 문제는 맞다고 토마센은 말한다. “버라이즌의 데이터 유출 수사 보고서만 봐도 유출 사고의 60%가 내부자의 실수나 범죄로부터 발생하죠. 그만큼 이게 잡기 어려운 문제라는 겁니다. 지금 클라우드의 데이터 노출 사고도 대부분 직원들의 실수로 인해 발생하죠. 하지만 퇴직자 문제의 경우 조금만 더 신경 쓰면 분명히 해결이 가능한 부분입니다.”