회사 입장에서는 지적 재산...규정 위에 있는 임원진들, 보안 구멍 만들어
[보안뉴스 문가용 기자] 보안 예산을 아무리 늘려도, 고차원적인 신기술을 아무리 도입해도 데이터를 훔치는 CEO를 막을 수 없다는 재미있는 연구 보고서가 발표됐다. 아무리 규정과 표준으로 막아도, 마음만 먹으면 얼마든지 데이터를 남용할 수 있는 CEO들이 데이터 보안의 새로운 위협이라는 지적이 있었다.
[이미지 = iclickart]
이러한 조사를 실시한 건 보안 업체 코드42(Code42)로, IT 분야의 임원급(CSO, CTO, CISO, CIO 등) 1034명과 600명의 CEO를 상대로 설문을 실시했고, 그 결과 지도자들 사이에서 ‘입으로 하는 보안’과 ‘몸으로 하는 보안’에 심각한 차이가 발견할 수 있었다고 한다.
CEO의 78%와 경영진의 74%는 기업 내 가장 중요한 정보가 지적 재산이라고 답했다. 그런데 CEO들 중 72%가 이 지적 재산을 이전 근무지로부터 가져온 적이 있는 것으로 나타났다. 게다가 경영진의 절반과 CMO의 71% 역시 비슷한 행위를 저지른 바 있다고 답했다.
코드42의 CISO인 제이디 핸슨(Jadee Hanson)은 “누구나 회사를 나갈 때 정보를 쥐고 나간다는 사실을 우린 다 알고 있다”고 말한다. “다만 C레벨급 임원들조차도 이전 회사에서부터 정보를 가지고 나온다는 건 조금 충격적입니다.”
이건 보안의 문제다. 이번 조사에 참여한 CISO 중 78%가 “정책과 규정을 무시하고 자신의 일을 하는 사람들이 가장 큰 보안 구멍”이라고 답했다. 또한 이런 사람들을 설득해서 행동을 바꾸게 하는 것은 불가능에 가까울 정도로 힘들다고 말하기도 했다.
하지만 CEO들 중 3/4는 그러한 행위가 잘못임을 인지하지 못하고 있기도 했다. “회사 데이터이기도 하지만 제가 지휘하고 제가 생각해낸 저의 작업 결과물이기도 합니다.” ‘회사 소유의 정보’라기보다 ‘내 정보’라고 느끼는 사람이 많다는 것인데, 이는 많은 사업 경영진들 사이에서 발견되는 감정이기도 하다. 93%의 CEO가 작업물의 복사본을 보관하고 있다고 밝히기도 했다. “그래서 정보를 ‘훔치는 것’이라고 느끼지 못합니다.”
일견 이해가 가는 바이기도 하지만, 회사 입장에서는 무척 위험한 일이라는 건 분명하다. 3/4의 CEO들은 “직원들이 데이터 복사본을 여기 저기 저장하고 있다는 걸 알고는 있지만 어찌할 도리가 없다”고 답했으며, 86%의 IT 및 보안 책임자들은 이러한 무분별한 데이터 저장 행위가 기업의 리스크를 높인다고 답했다.
뿐만 아니라 사업 경영진들과 CEO의 63%는 “누르면 안 되는 줄 알고도 링크를 클릭한 적 있다”고 답했다. 또한 34%는 그 결과로 비밀번호를 바꿔야만 했다고 답했으며, 1/4은 계정에 대한 권한을 손실했고, 25%는 랜섬웨어에 걸려 돈을 지불해야만 했다고 말했다.
물론 사고는 발생하고 누구나 실수는 하기 마련이다. 문제는 사고를 일으킨 후 대처법이다. 14%의 CEO들과 36%의 경영진이 “스스로 해결할 수 있다고 생각하고 회사에 보고하지 않았다”고 답했다. 또한 별거 아니라고 생각해서 알리지 않은 CEO가 20%, 경영진이 24%였고, 벌을 받을까봐 무서워서 숨겼다는 CEO가 26%, 경영진이 23%였다. 그러면서 아무 일도 일어나지 않길 바랐다고 답한 CEO는 27%, 경영진은 22%였다.
한편 CEO의 60% 가까운 수가 보안 점검을 마치지 않은 채 소프트웨어를 다운로드 받았다고 답하기도 했다. 여기에는 금지된 줄 알고도 다운로드 받은 CEO도 포함되어 있다. 이렇게 위험할 수 있는 다운로드 행위를 한 CEO들 중 77%는 “보안 문제가 생길 수도 있음을 인지하고 있었다”고 한다.
더 심각한 건 경영진이나 일반 직원들이나 별반 다르지 않다는 것이다. 70%의 CISO들과 62%의 CIO들은 “모든 임직원들이 허가되지 않은 소프트웨어를 다운로드 받는다”고 확신한다. 이렇게 위험을 무릅쓰고 소프트웨어를 다운로드 받는 이유는 여러 가지다. 1) 개인적으로 써본 경험이 있어서, 2) 그런 소프트웨어가 있으면 작업이 더 쉬워져서, 3) 회사가 권장하는 소프트웨어는 별로 좋지 않아서 등이다.
또한 CISO의 64%와 CEO의 56%는 “내년 안에 회사에 공격이 한 번쯤은 있을 것으로 보고 있다”고 답했다. 랜섬웨어가 공격 가능성이 가장 높은 사이버 위협 유형으로 꼽혔으며, 그 다음은 순서대로 APT, 피싱, 악성 내부자였다.