기업보안 기본 원칙, “최소한의 권한 부여”

[디지털데일리 최민지기자] 최근 숙박앱 여기어때의 고객정보 유출로 인해 접근 권한의 중요성이 다시 상기되고 있다. 접근통제와 내부자에 대한 최소한의 권한 부여는 기업보안의 기본원칙으로 꼽힌다.

기업은 내,외부에서 다양한 보안위협에 직면해 있다. 특히, 모바일,사물인터넷(IoT),클라우드가 활성화되면서 외부의 공격만 막는다고 보안수준을 강화하기 어려워졌다. 경계선 방어뿐 아니라 집안단속까지 실시해야 하는 상황이다.

기본적으로 기업들은 내부자에 대해 각 업무에 맞는 최소한의 접근권한만 부여하고, 식별된 사용자만 관련 정보에 접근할 수 있도록 통제해야 한다. 임직원들은 허용된 범위에서만 IT 자원 접근이 가능해야 한다.

이는 외부의 사이버공격자들이 내부자를 노리고 있는 것과도 연관돼 있다. 보통 해커들은 내부자를 통해 중요 정보에 접근할 수 있는 권한을 획득하고 있다.

이번 여기어때 고객정보유출 사건만 봐도 알 수 있다. 여기어때를 운영하는 위드이노베이션은 고객센터 상담직원들에게 개인정보처리시스템 파일 다운로드 권한을 부여했다. 해커는 상담사 유모씨의 권한을 도용했고, 이를 발판삼아 직원 김모씨의 최고관리자 권한까지 접근했다. 인사이동이 있었으나, 접근권한 변경은 사고 이후에야 변경됐다.

접근통제를 제대로 관리하지 못해 해커에게 대문을 열어준 것이다. 이처럼 불필요한 권한을 유지하고 퇴사 및 인사 때 즉각적인 권한을 변경하지 않는 등 허술한 계정 및 접근권한 관리는 기업의 보안수준을 저하시킨다.

보안업계 관계자는 '필요 이상의 권한을 부여하지않아야 오남용할 수 있는 부분을 줄일 수 있다'며 '보안의 가장 기본은 최소한의 권한이며, 꼭 필요한 데이터에만 접근할 수 있도록 해야 한다'고 말했다.

이어 '표적 공격의 경우, 처음부터 데이터베이스(DB)를 바로 공격해 탈취할 수 없으니 기업 내 누군가를 통한 침투를 시도하기 마련'이라며 '일례로, 인사 담당자에게 악성코드가 담긴 이력서를 보내는 등의 행위를 통해 측면 공격을 시도하는 것'이라고 덧붙였다.

이에 기업들은 최소한의 권한부여뿐 아니라 직원들의 보안의식 개선 및 교육 강화를 함께 진행해야 한다.

포스포인트에 따르면 지난해 해킹으로 인한 보안사고는 전체의 9.7%에 불과했다. 내부자 위협의 경우 22%만 의도적 내부자에 의한 사건이었다. 대부분 보안규정을 제대로 준수하지 않아 실수로 내부에서 보안위협을 발생시키고 있다. 이러한 우발적 내부자 위협으로 인해 기업들은 연간 2200만달러 비용손실을 겪고 있다.

이 관계자는 '필요한 부분만 연동시키고 권한을 부여하는 한편, 직원들의 교육을 실시해야 한다'며 '같은 기업 내에서도 다른 부서에서 요청하는 정보에 대해 과도하게 제공하는 경우가 있는데, 이 정보가 꼭 필요한지 따져봐야 한다'고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -