"퇴사 전 데이터 유출? 내부자 위협 관리 솔루션에 딱 걸린다"

지난해 말 미국 제약회사 화이자는 백신 개발 관련 기밀 데이터를 훔친 것으로 의심되는 내부 직원을 고소했다. 고소 당한 사람은 화이자에서 15년간 근무한 이사급 직원으로, 다른 제약사로 이직을 준비하고 있는 상태였다.

화이자가 기밀 유출 행위를 잡아 낼 수 있었던 건 같은 해 도입한 프루프포인트의 '내부자 위협 관리(ITM) 솔루션 덕이 크다. 이 직원은 회사 중역으로 모니터링 대상이었고, 그가 회사 노트북에서 1만2천개의 파일을 개인 클라우드로 옮기자 시스템이 위협 행위로 탐지한 것이다. 이 직원이 파일을 옮기는 모습은 시스템에 녹화됐는데, 이 화면은 재판에서 증거 자료로도 활용됐다. 결국 소송은 화이자의 승리로 끝났다.

최근 서울 삼성동 프루프포인트코리아 사무실에서 만나 이석호 대표은 화이자 사례를 소개하며 "사람 중심의 보안 접근법이 필요한 이유"라고 강조했다.

올해 창립 20주년을 맞은 프루프포인트는 연간 10억 달러 규모의 매출액 올리는 미국 기반 대형 사이버보안 업체다. 최근 아시아태평양지역으로 사세를 확장하며, 지난해 11월 한국지사를 설립했다.

프루프포인트는 '사람 중심 보안(People-Centric Security)'이라는 독특한 접근법을 제시하고 있다. 이 대표는 "직원이 외부 공격의 타깃이 되기도 하고, 직원에 의해 기업 주요 정보가 외부에 유출될 수도 있기 때문에 사람을 중심에 놓고 보안 전략을 짜야 한다는 시각"이라고 설명했다.

내부 직원의 위협 행위를 관리할 수 있게 해주는 대표 솔루션이 ITM이다. 직원의 행위를 초단위 프레임으로 스냅샷을 찍어 녹화해준다. 위협 행위에 대한 룰셋을 만들어 놓으면, 트리거가 발생했을 때 관리자에 알람이 간다.

이 대표는 "예컨대 영업직원들이 쓰는 솔루션인 세일즈포스에서 갑자기 엄청나게 많은 파일을 다운로드 받는다거나, 다운받은 파일의 확장자를 변경해 개인 클라우드에 업로드하면 이상 행위로 볼 수 있다"며 "룰셋은 기업마다 다르게 설정할 수 있다"고 설명했다.

직원의 이상 행위가 녹화되기 때문에 감사 증적툴(audit trail)로 활용될 수 있다. "화이자의 경우 유출을 시도한 직원이 가짜 노트북을 제출하면서 수사에 혼란을 줬지만, 증적이 남아 있어서 승소하는 데 큰 도움이 됐다"고 이 대표는 말했다.

프루프포인트는 ITM을 기존 데이터유출방지(DLP) 솔루션의 보완재로 포지셔닝하고 있다.

DLP는 기업 정책에 위반된 데이터 유출 행위를 못하게 막아주는 솔루션이다. 중요한 내부 정보를 USB에 옮기거나 출력하려는 행위 등을 막아준다. 하지만 너무 강하게 정책을 설정할 경우 업무 생산성이 떨어지기 때문에, 정책을 유연하게 조정하다 보면 구멍이 생길 수 밖에 없다.

ITM은 정책이 다소 느슨하더라도, 직원이 의도적으로 유출 행위를 했는지 녹화 기록을 통해 확인할 수 있기 때문에 생산성을 해치지 않으면서도 유출 위험을 낮출 수 있다는 설명이다.

이 대표는 "프루프포인트가 내세우는 가장 큰 장점은 '사용자 경험'이 좋다는 것"이라며 "우리 솔루션 내에서 사용성과 보안성은 트레이드오프 관계가 아니다"고 강조했다. 또 "고객의 서비스 갱신율이 90% 이상이라는 수치가 높은 만족도를 보여주는 증거"라고 덧붙였다.

'비즈니스 이메일 사기(BEC)' 공격 차단 솔루션은 프루프포인트가 주력하고 있는 또 다른 분야다. 이 대표는 "동료나 거래처를 사칭한 이메일에 직원들이 속아 거액을 송금하는 사건이 종종 발생한다"며 "이런 BEC 공격이 타깃하는 내부 직원에 대한 보호가 필요하다"고 설명했다.

이어 "이메일 도메인 위조(스푸핑)나 유사 도메인을 이용한 사기가 많은데, 우리 솔루션은 5가지 모듈을 통해 이메일 도메인 주소가 변조되지 않았는지 체크해 준다"고 덧붙였다.