#올해 3월, A 그룹사에서 퇴직을 앞둔 직원이 재택근무 중에 수백 건의 회사 기술 자료들에 대한 접근내역이 탐지됐다. 조사결과, 이 직원은 경쟁사 이직에 활용하기 위해 수백 건의 기술 자료들을 카메라로 촬영했다.

#올해 2월 B 제약사의 한 계약직 근무자가 개인 이메일과 USB 등에 천식 항암제 등 20여 종의 신약 기술 정보 파일들을 무려 12년간 22차례에 걸쳐 지속적으로 외부로 빼돌린 사고가 발생했다.

#올해 악명을 떨친 해킹조직 ‘랩서스(LAPSU$)’는 제로데이 공격으로 내부 기업 내부직원의 계정정보를 탈취해 이 접근권한으로 소스코드와 기술 데이터를 유출했다.

제이슨의 김경화 대표는 최근 ‘인공지능(AI)는 비즈니스 현장에서 어떻게 활용되나’를 주제로 진행된 웨비나에서 이같은 내부자에 의한 정보유출 사례를 언급하면서 내부통제시스템 필요성을 강조했다.

김 대표는 “최근의 보안 사고 사례에서 확인할 수 있는 핵심은 바로 내부 직원이든 외부 해커이든 정보 유출은 내부 직원의 권한으로 기밀 자료에 접근해 이뤄지고 있다는 점”이라며 “내부 직원의 계정에 대한 보안 모니터링이 매우 중요하다는 것을 알 수 있다”고 말했다.

그가 강조한 내부통제시스템은 사용자엔터티행위분석(UEBA) 시스템을 말한다. 김 대표는 기업 내에서 사용하는 대표적인 보안 모니터링 시스템을 두가지로 분류, 내부통제시스템을 보안정보이벤트관리(SIEM) 기반의 보안관제시스템과 비교하면서 “SIEM은 외부 해킹 공격으로 인한 침투를 탐지하는 반면에, 내부통제시스템은 사이버공격의 마지막 단계라 할 수 있는 내부정보·데이터 유출을 탐지하고 방어하는데 주요 목적이 있다”고 설명했다.

내부통제시스템이 사용하는 분석 데이터는 시스템 접속 기록, 데이터유출방지(DLP) 솔루션 등 내부 직원(사용자)의 행위 정보이다. 주요 탐지 대상은 사람, 즉 내부 직원의 사용자 아이디(ID)이다. 사내 직원의 이상행위를 탐지하는 보안시스템이기 때문이다. 정보유출 같은 이상행위를 탐지하기 위한 방법은 임계치와 키워드를 활용한 일반 탐지, 즉 단일·상관분석 탐지와 인공지능(AI)을 활용한 탐지 방식이 있다.

김 대표는 “일반 탐지는 AI 탐지를 통해 대체될 수 있다고 생각할 수 있지만 두 가지 탐지 방식은 상호 대체제가 아닌 상호 보완재”라면서 “일반 탐지는 기업 보안 담당자나 외부 보안 전문가에게 이미 알려져 있는 정보 유출 행위를 탐지하는 데 매우 효과적인 반면에, 인공지능 탐지는 알려져 있지 않은 정보 유출 행위를 탐지하는 데 효과적인 방법”이라고 지적했다.

그에 따르면, 일반 탐지는 시스템에 설정된 고정적인 탐지 룰(Rule)에 반영돼 있지 않은 새로운 정보 유출 행위에 대해서는 탐지가 불가능하다. AI 탐지는 내부 직원의 복잡한 행위 데이터를 기계 학습시켜 비정상적인 행위를 탐지하도록 하는 방식이다.

AI 탐지 방식은 사람의 복잡하고 창의적인 행위를 이해하고 탐지하는 데 매우 효과적이어서 새로운 정보 유출과 같은 이상 행위에 대응 가능하다는 것이 장점이다. 단점은 AI가 왜 탐지했는지 원인 설명을 해주지 않는다는 점이다. 최근에는 이를 보완하기 위한 기술인 ‘설명 가능한 인공지능(xAI)’라는 개념이 나오긴 했지만, 아직까지는 품질이 뛰어나지 않아 기술 발전이 더 필요하다는 평가가 나온다. 그 이유로 지향해야 할 내부통제 시스템은 일반 탐지와 AI 탐지 기능이 동시에 구현돼 있어야 한다는 얘기다.

김 대표는 “빅데이터와 AI 기술로 개발된 내부통제시스템은 일차적으로 기업 내 모든 보안 데이터를 빅데이터 엔진에 통합한 형태를 띠게 된다. 이러한 빅데이터 엔진들은 통합된 데이터들을 구글 검색과 같이 검색 조회하는 기능을 제공하게 되며, 이는 정보 유출이 의심되는 사용자 아이디를 통해 여러 보안 시스템들의 로고들을 일목요연하게 검색할 수 있도록 한다”며 “좀 더 복잡한 분석과 조회를 위해서는 다소 어려운 빅데이터 쿼리 언어를 숙지하고 있어야 한다. 많은 내부통제시스템은 복잡한 빅데이터 쿼리 언어를 자동으로 생성하도록 하는 기능을 기본으로 제공한다”고 말했다.

이어 “내부통제시스템은 조회와 검색 기능에서 나아가 데이터에 대한 보다 직관적이고 분석적인 시각화를 대시보드를 제공한다. 바·라인 차트, 테이블 등 다양한 시각화 요소뿐 아니라 주제와 제목의 대시보드를 유연하고 자율적으로 구성할 수 있도록 하는 기능도 제공한다. 2D와 3D 토폴로지형 대시보드도 제공해 논리적 구성도로 데이터를 실시간 표출해 직관성을 극대화한다. 특정 시스템 또는 임직원에게 문제가 발생했다는 경고 알림이 필요한 경우 해당 아이콘을 붉은색이나 노란색으로 표기하거나 해당 아이콘을 클릭 시에는 보다 상세한 데이터를 확인할 수 있도록 하는 기능도 제공한다”고 강조했다.

이밖에도 “내부통제시스템의 핵심 기능 중 하나는 탐지 룰 설정”이라며 “기업의 다양한 환경과 수많은 보안 시스템의 데이터를 수용 가능하도록 유연하게 구성돼야 하고, 단일 탐지와 상관분석 탐지 룰을 동시에 구현할 뿐만 아니라 실시간 고속 탐지를 위한 데이터 사전 필터링, 통계성 데이터를 응용한 복합 분석 탐지도 지원해야 한다. 이밖에도 네트워크 트래픽 기반의 해킹 공격 정밀 탐지, 정보 유출자와 동일한 위협 행동을 하는 직원을 찾아내는 AI 위협 탐지 기능도 제공해야 한다”고 덧붙였다.

제이슨은 안랩의 자회사로, 지난 5년 동안 AI 기반의 이상행위 분석 시스템 ‘제이머신(JMachine)’을 개발·공급하는 등 내부통제시스템 전문기업이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network