침해사고/위협동향

위협은 내부에 있다…시만텍 “직원에 의한 사내 정보 유출 일상화”

이민형 기자

- 내부 임직원들에 의한 정보유출 문제 기업들의 큰 고민거리로 대두

[디지털데일리 이민형기자] 최근 클라우드 서비스 이용자 증가와 스마트 모바일 오피스 환경이 확산되면서 외부에서의 보안 위협뿐만 아니라 내부 임직원들에 의한 보안 문제가 기업들의 큰 고민거리로 나타났다.

시만텍(www.symantec.co.kr)은 19일 시장조사기관 포네몬 인스티튜트(Ponemon Institute)와 함께 내부자에 의한 기업 핵심정보의 유출 위협을 조사·분석한 글로벌 보고서를 공개했다.

보고서에 의하면 실제로 직원들은 기업의 지적재산을 다양한 방법으로 외부에 유출하고 있었으며, 퇴사한 전 기업의 기밀 정보 사용이 잘못됐다고 생각치 않는 것으로 나타났다. 또한 개발자에게도 지적재산 소유권이 있다고 여겼고, 기업들이 지적재산 보호를 위해 적절한 환경과 조치를 취하지 않고 있다고 지적하기도 했다.

구체적으로 절반이 넘는 응답자(52%)가 업무관련 문서를 개인 이메일 계정으로 송부한다고 밝혔고, 37%는 IT 관리자의 허락 없이 드롭박스 등의 클라우드 파일공유 시스템을 이용하고 있었다. 또한 41%는 개인 소유의 태블릿 PC나 스마트폰으로 회사의 민감한 정보를 다운로드하는 것으로 나타났다.

특히 개인 모바일 기기에 회사 정보를 다운로드한 직원 중 62%는 저장한 자료를 삭제하지 않고 방치해 기기 도난이나 분실시 중요 데이터가 유출될 위험이 큰 것으로 것으로 나타났다. 기업 보안 측면에서 볼 때 내부 직원들은 친구이자 적을 뜻하는 ‘프레너미(Frenemy)’인 셈이다.

이직하는 직원들의 정보 유출 문제도 심각한 것으로 확인됐다. 이번 포네몬 조사에 따르면 퇴사한 지 일년 미만의 직원 중 절반이 전 직장의 기밀자료를 보유하고 있으며, 이 중 40%는 새로운 직장에서 이 자료를 활용할 계획이라고 답했다.

또한 응답자의 60%가 경쟁 관계에 있던 기업에서 이직한 직원이 전 직장의 기밀 정보를 제공한 적이 있다고 답했고, 경쟁업체 퇴사자로부터 기밀 자료를 넘겨받아 사용하는 것이 범죄라고 생각하지 않는다고 답변한 비율도 52%로 절반이 넘었다.

심지어 응답자들은 지적재산 공유가 얼마나 위험한지 자각조차 하지 못하는 것으로 나타났다. 62%의 직원들은 업무 자료를 개인 컴퓨터나 모바일 기기, 클라우드 기반 파일공유 시스템에 옮겨도 된다고 답했다. 그 이유로 절반 이상의 응답자들은 정보 공유가 기업에 해가 되지 않는다거나 기밀 유출에 대한 기업의 강력한 정책이 부재하기 때문이라고 답했다.

지적재산의 소유권에 대한 인식의 차이도 확인됐다. 응답자의 44%는 소프트웨어 개발자가 어느 정도 지적재산의 소유권을 가져야 한다고 답했으며, 42%는 개발자가 다른 회사로 옮기더라도 소스 코드를 재사용하는 것은 범죄가 아니라고 생각하고 있었다. 이러한 조사 결과는 직원들이 지적재산권이 기업에 속한다는 사실을 제대로 인식하지 못하고 있기 때문으로 풀이된다.

문제는 직원들에게만 있는 것이 아니었다. 기업들 역시 자사의 지적재산을 보호하기 위한 적절한 환경을 제공하지 못하고 있었다. 응답자 중 38%만이 기업의 IT 관리자들이 정보 보호를 최우선 과제로 여긴다고 답했으며, 절반 가량은 회사 정책에 반하는 민감한 정보 유출이 발생해도 기업이 아무런 조치를 취하지 않는다고 지적했다. 또한 응답자의 29%는 필요한 정보보다 더 많은 정보에 접근할 수 있다고 밝혔다.

국내 응답자들의 경우 기업 정보를 개인 모바일 기기로 다운로드 한다는 비율은 40%로 세계 평균과 비슷했으나 저장한 정보를 방치해 둔다고 답한 비율은 33%에 머물렀다. 또한 퇴사 직원의 39%만이 전 직장의 기밀 정보를 보유하고 있고 33%가 새 직장을 구하는데 이를 사용할 계획이라고 답했다.

반면, 직원이 전 직장에서 가져온 기밀 자료를 사용하는 것이 범죄라고 생각하지 않는다는 응답자가 61%, 업무 자료를 개인 기기나 클라우드에 공유할 수 있다고 답한 비율은 70%에 달해 전 직장의 기밀 정보 활용 및 업무자료 공유에 대한 인식의 변화가 시급한 것으로 나타났다.

이 회사 윤광택 보안담당 이사는 “내부 직원에 의한 일상적인 정보 유출을 막기 위해 기업들은 ▲정기적인 보안 교육을 통해 정보 유출의 위험성과 위법성을 적극 알리고 ▲기밀유지계약(NDA)을 강화해 향후 기업 정보를 유출할 경우 본인 뿐 아니라 이직하게 될 직장에 불이익이 있을 수 있다는 점을 인지시켜야 한다”며 “또한 데이터유출방지 솔루션(DLP)과 같은 모니터링 기술을 도입해 직원들이 실수나 고의로 부적절한 정보에 접근하거나 유출하는 행위를 관리해야 한다”고 조언했다.


한편 이번 조사는 시만텍 의뢰로 포네몬 인스티튜트가 한국 503명을 포함해 미국, 영국, 프랑스, 브라질, 중국 등 전 세계 6개국 직원 3317명을 대상으로 진행됐다.


<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널