IT 사보타주(Sabotage)

 

 

유형 분석
IT 사보타주는 “내부자가 IT 기술을 이용하여 조직이나 개인에게 직접적인 위해를 가하는 행위”를 의미한다. 이 유형의 특징은 기술적으로 전문지식을 가지고 있는 “시스템 관리자”, “프로그래머”에 의해서 수행된다는 점이다. 예를 들면, 내부자가 미리 만들어 놓은 백도어 계정(Backdoor account) 이나 특정 조건에 실행되는 논리폭탄(Logic Bomb) , 원격에서 접속 가능한 사설 VPN 토큰(Token) 생성이 여기에 해당한다. 는 CERT Insider Threat Center에 보고된 IT 사보타주 공격의 주요 영향을 정리한 것이다. 내용에서 보듯이 IT 사보타주 공격은 사회 기반 시설의 전 분야에 영향을 미친다는 것을 알 수 있다.

 

<표 19> IT 사보타주 공격 영향

IT 사보타주 공격 영향

- 미국 특정지역의 전력망 운영 중단 - 5만명의 고객 기록 손실 - 3만부 신문 재인쇄 - 회사의 도메인네임을 안티 스팸 블랙리스트에 등재 - 중요 데이터 손실과 회사의 폐업 (중복 사례) - 회사 네트워크 사용 불가 - 몇 시간부터 몇 달간 지속 (중복 사례) - 회사 음성 메일 시스템을 포르노 전화 서비스로 연결 - 모든 관리자 패스워드 변경, 시스템 파일 삭제, 대금 청구 시스템 파괴, - 회사 국제 전자상거래 사이트 사용 불능 (중복 사례) - 백업 데이터 복구 및 수작업 입력 (중복 사례) - 회사 웹사이트 콘텐츠 변조

* 출처: Cappelli, Dawn M, Andrew P Moore, and Randall F Trzeciak (2012), The CERT Guide to Insider Threats, Addison-Wesley.

 

CERT Insider Threat Center에 따르면 IT 사보타주는 다음과 같은 특성을 가지고 있다.

 

- 직무 분야: 전문적인 기술을 보유하고 접근권한을 가지고 있는 시스템 관리자(System Administrator), 데이터베이스 관리자(DBA: Database Administrator), 프로그래머 등
- 전·현직 구분: 퇴사하였거나, 계약기간이 종료된 전직 직원 (Former Employee)
- 직원 구분: 정규직원 75%, 계약직원 25%
- 연령: 17세부터 65세
- 성별: 남성
- 목표: 시스템, 네트워크, 데이터베이스
- 접근권한: 비 인가된 접근
- 공격 장소: 원격 접속
- 공격 시간: 업무시간 이전 혹은 이후

이러한 IT 사보타주 공격은 “기술적인 전문지식”을 가지고 있는 내부자에 의해서 “공격을 수행하고 공격 활동을 은닉”하기 때문에 이러한 공격을 예방하기에는 상당히 어렵다. CERT Insider Threat Center에서 “123건의 IT 사보타주 공격을 분석한 결과 해당 공격의 재정적 영향은 평균 1.7백만 달러에 이르며, 재정적 손실에 끼치는 영향은 무제한이고 비즈니스에는 엄청난 영향을 끼치는 것”으로 드러났다. 

2) 원인 분석
IT 사보타주의 원인은 다음의 다섯 가지 원인으로 첫 번째는 “개인적 성향(Personal Predispositions)”, 두 번째는 “불만과 충족되지 않는 기대치(Disgruntlement & Unmet Expectations)”, 세 번째는 “행동 요소(Behavioral Precursors)”, 네 번째는 “스트레스가 많은 사건(Stressful Events)”, 다섯 번째는 “기술적 요소와 접근 경로(Technical Precursors & Access Paths)”이다. 

① 개인적 성향(Personal Predispositions)
개인적 성향은 “악의적인 내부자 행동을 나타내는 성향과 연관된 특징”을 의미한다. 개인적 성향은 내부자의 IT 사보타주 공격을 설명하는 데 있어서 가장 설득력 있는 원인이다. 왜냐하면, 같은 직장 내에서 근무하는 동료들은 같은 사건과 상태에 놓여있지만, 개인적 성향은 모든 내부자가 다른 성향을 가지고 있기 때문이다. CERT에서 발표한 개인적 성향은 다음과 같다.  

- 직장 동료와의 갈등
- 직장 동료의 협박과 괴롭힘
- 수줍음으로 인하여 상사에게 정당한 업무 관련 불만을 조장하는 것을 거부
- 심각한 성격 차이
- 전문가답지 않은 행동
- 규칙을 준수하지 못하는 능력 (구속, 해킹 , 보안 위반, 공식적 제재나 불만에 대한 갈등, 시간·출장·비용의 잘못된 사용에 대한 기록 보유)
- 부적절한 성격으로 분노를 자제하는데 어려움

② 불만과 충족되지 않는 기대치(Disgruntlement & Unmet Expectations)
충족되지 않는 기대치란 “조직 행동이나 사건이 발생하거나 상태가 존재하는 것에 대한 개인의 불만족스러운 추정”을 의미한다. 예를 들면, 성공적인 프로젝트로 인하여 승진을 기대하였으나 다른 사람이 승진하는 경우나 본인은 탁월한 업무 성과로 인하여 보너스를 기대하였으나 조직이 내리는 평가는 본인의 기대치와 달라서 보너스를 받을 수 없을 때 등이 이 경우에 해당한다. CERT에서 발표한 충족되지 않는 기대치는 다음과 같다.

- 연봉, 보너스
- 승진
- 온라인 작업의 자유
- 노동 윤리
- 프로젝트 요구사항 (기한, 일정)
- 과대평가 된 능력
- 고용 종료 후에 회사 정보에 접근
- 회사 리소스 사용
- 작업 불만
- 상관의 요구
- 직장 동료와의 관계
- 책임 

③ 행동 요소(Behavioral Precursors)
행동 요소란 “악의적인 내부자 활동과 관련되고 개인 혹은 대인 행동과 연관된 개인의 행동, 사건, 상태”를 의미한다. 이러한 행동 요소는 내부자에 의한 IT 사보타주 공격이 발생하기 이전에는 조직 내의 동료나 직장 상사에 의해서 쉽게 무시될 수 있다. 그러므로, 이러한 “부적절하거나 우려되는 행동을 인식하고 대응할 수 있도록 직장 상사를 교육”하는 것이 중요하다. CERT에서 발표한 행동 요소는 다음과 같다.  

- 직장 동료 혹은 상사와의 갈등
- 결근, 이른 출근, 늦은 귀가의 반복
- 업무 능력의 갑작스러운 저하
- 약물 복용
- 공격적이고 난폭한 행동
- 감정의 기복
- 기이한 행동
- 성희롱
- 불결한 위생 

④ 스트레스가 많은 사건(Stressful Events)
스트레스가 많은 사건이란 “악의적인 행동 성향이 있는 개개인들의 우려되는 행동을 야기시키는 사건”을 의미하며 “조직의 제재를 포함한 대부분의 스트레스가 많은 사건은 내부자에 의한 IT 사보타주 공격 가능성에 영향”을 준다. 또한, “IT 사보타주 공격을 시도한 내부자는 공격 이전에 제재나 다른 부정적인 업무와 관련된 사건을 포함한 한 가지 이상의 스트레스가 많은 사건을 경험한다”. CERT에서 발표한 스트레스가 많은 사건은 다음과 같다.  

- 낮은 성과 평가
- 용납할 수 없는 행동에 대한 질책
- 과도한 잦은 결근에 대한 정직
- 부진한 성과에 의한 좌천
- 제한된 책임
- 연봉 혹은 보너스에 대한 의견 차이
- 부족한 퇴직금
- 승진 제외
- 새로운 상사 

또한, 제재와 관련된 사건은 다음과 같다.

- 좌천
- 질책
- 정직
- 프로젝트에서 면직
- 인터넷 접근 금지

⑤ 기술적 요소와 접근 경로(Technical Precursors & Access Paths)
기술적 요소란 “악의적인 내부자 활동과 관련되고 컴퓨터 혹은 전자 미디어와 연관된 개인의 행동, 사건, 상태”를 의미한다. 그리고, 접근 경로란 “중요 시스템에 연결할 수 있는 한 가지 이상의 접근 포인트의 순서”를 의미한다. 일반적으로 “내부자는 공격을 준비하거나 행동 혹은 신분을 숨기기 위해 알려지지 않은 접근 경로를 만들고 사용”한다. CERT에서 발표한 알려지지 않은 접근 경로를 생성하는 방법은 다음과 같다.  

- 고용 종료 이전 혹은 고용 종료를 통보받은 후에 백도어(Backdoor) 생성
- 고용 종료 후에 접근하기 위한 모뎀(Modem) 설치
- PC의 안티바이러스(Anti-virus) 프로그램을 사용하지 않도록 설정
- 네트워크 프로 빙 (Network Probing)
- 원격 네트워크 관리 툴 설치
- 악성코드(Malicious Code) 나 툴 설치 혹은 다운로드
- 채용 중에 논리폭탄(Logic Bomb) 계획 

또한, 내부자가 공격을 수행하거나 신분 및 행동을 감추기 위해서 다음의 기술적 요소를 사용한다.

- 퇴사 이전에 모든 패스워드 권한 변경
- 시스템 로그(System Logs)를 사용하지 않도록 설정
- 히스토리 파일(History files) 제거
- 필요한 백업 생성 실패
- 필요한 문서 관리시스템 혹은 소프트웨어의 장애
- 고객 시스템의 무단 접근
- 부하에게 암호를 묻거나 다른 사람과 암호 공유
- 물리적 접근을 기록하는 장치에 신분증 인증 거부
- 제한적 사용 정책(Acceptable Use Policy)에서 금지한 웹사이트 접근
- 고용 종료 시에 PC 반환 거부