내부자 위협에 대한 내부통제 강화 전략

 

내부자 위협에 적절하게 대처하기 위해서는 관리적, 물리적, 기술적 보안 관점에서 접근뿐만 아니라 종합적인 측면에서 내부통제 강화 전략을 고려하여야 한다. 또한 체계적인 내부통제를 위해서는 프로세스 단계별로 적절한 통제가 필요하다. 통제 프로세스는 목표를 달성하기 위하여 계획(Plan), 실행(Do), 검증(Check), 개선(Act)을 통하여 보다 발전된 계획(Plan)에 이르는 반복적인 사이클이라고 할 수 있다.
CERT에서는 내부자 위협에 대한 적절한 통제를 위하여 “예방(Prevent)”, “탐지(Detect)”, “대응(Respond)”의 3단계를 제시하였다. NIST에서는 “보안 사고 대응 라이프사이클(Security Incident Response Life Cycle)”에서 “대비(Preparation)”, “탐지와 분석(Detection & Analysis)”, “억제·근절과 복구(Containment Eradication & Recovery)”, “사고 사후 활동(Post-Incident Activity)”의 4단계를 설명하였다. 국제표준화기구 (ISO) 에서는 “악성코드에 대한 통제(Controls against Malicious Code)”에서 “탐지(Detection)”, “예방(Prevention)”, “복구(Recovery)”의 3단계를 제시하였다. 
본 연구에서는 “억제이론(Deterrence Theory)”을 바탕으로 하는 통제 프로세스를 제시하고자 한다. “억제이론(Deterrence Theory)”은 범죄학에서 사용되는 이론으로 “인간은 합리적이고 경제적인 선택을 하는 존재”라는 기본 전제를 바탕으로 “범죄로부터 얻는 이익이 처벌로 인한 손해보다 크면 범죄가 발생하고, 범죄로부터 얻는 이익이 처벌로 인한 손해보다 적으면 범죄가 발생하지 않는다는 이론이다”. 또한 범죄를 예방하기 위한 “억제”는 행위자로 하여금 “특정 행동을 하지 못하도록 하는 소극적인 영향력을 행사하는 것”으로서 “심리적으로 크게 영향”을 미치며, “객관적 진실보다는 무엇을 믿는가가 더 중요”하다. 
Straub & Welke는 <그림 24>에서와 같이 “억제이론”을 바탕으로 “보안 활동 주기(The Security Action Cycle)”의 프로세스를 “억제(Deterrence)”, “예방(Prevention)”, “탐지(Detection)”, “교정(Remedies)”의 4단계로 제시하였다.

 

<그림 1> 보안 활동 주기(The Security Action Cycle)

* 출처: Straub, D W, and R J Welke (1998), “Coping With Systems Risk: Security Planning Models for Management Decision Making,” Mis Quarterly

 

 

 

 

억제(Deterrence)는 적절한 내부통제를 위한 “보안정책”, “보안 가이드라인” 등과 같은 정책, 지침, 절차, 프로세스 등을 수립 및 교육을 통하여 조직 내에 내재하여있는 시스템 남용을 줄이는 단계이다. 예를 들면 보안 정책에 의한 시스템 사용자의 주기적인 패스워드 변경이 시스템 남용의 위험을 억제할 수 있다. 이러한 억제 조치는 “수동적”이며 규정과 가이드라인을 준수하고자 하는 마음가짐에 따라 결과는 달라진다. 사용자와 관리자에 대한 보안 교육 같은 “보안 의식 프로그램”은 억제 조치의 하나의 형태이다. 
예방(Prevention)은 “전산센터 출입 통제”, “패스워드 접근 통제” 등과 같은 규정을 준수하거나 불법적인 사용을 피하고자 하는 내재하여있는 “역량”으로 “능동적인 대책”이라고 할 수 있다.
탐지(Detection)는 의심스러운 행동을 보고하거나 “시스템 감사” 등을 수행하는 것과 같은 주도적인 “보안 대응 조치”이다. 또한 보안 위반에 대한 탐지 업무가 포함된 대응 조치이다. 이러한 탐지 조치의 목적은 오남용에 대한 “증거”를 수집하고 “가해자”를 식별하는 데 있다.
교정(Remedies)은 가해자를 “처벌”하고 오남용 행위의 영향을 “교정”하는 단계이다. 교정 단계에서의 내부 조치는 가해자에 대한 적절한 대응이라고 할 수 있는데 이 경우에는 “경고”, “질책”, “해고” 등이 포함되며 필요한 경우에는 “민사·형사 소송” 같은 법적 조치도 취할 수 있다.
“억제 피드백(Deterrence Feedback)”은 잠재적인 가해자에게 남용의 심각한 결과를 알도록 해주는 과정으로 억제를 강화하는 효과가 있다.  
본 연구에서는 억제, 예방, 탐지, 교정의 4단계의 통제 프로세스로 내부자 위협에 대한 내부통제 강화 전략을 수립하고자 하며, 이러한 단계별 조치는 향후 내부자 위협을 억제하는 후속 효과를 기대할 수 있다. 또한 <표 23>에서 보는 바와 같이, 내부통제 강화 전략의 내부 통제항목은 방송통신위원회의 “정보보호 관리체계 인증제도(K-ISMS)”의 정보 보호 대책 13개 통제 분야 92개 통제항목을 바탕으로 산업통상자원부에서 기술 유출 방지 및 기술 유출 시 대응을 위해 개발한 “중소기업의 기술 보호를 위한 세부 보안 통제 실행 지침서”의 11개 통제 분야 39개 통제항목과 국제표준화기구(ISO ) 및 국제전기기술위원회(IEC )에서 제정한 ISMS 국제표준인 “ISO/IEC 27001 Family”의 “ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls”의 14개 통제 분야 114개 통제항목, 그리고 미국 표준기술연구소(NIST )에서 제정한 “NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations”의 17개 통제 분야의 통제항목을 기반으로 내부자 위협에 대한 주요 통제항목을 선정하였다.

 

<표 23> 내부통제 관련 표준 및 지침

표준 및 지침	통제 영역·항목	주관
정보보호관리체계 인증제도(K-ISMS)	13개 통제분야 92개 통제항목	방송통신위원회
중소기업의 기술보호를 위한 세부 보안통제 실행 지침서	11개 통제분야 39개 통제항목	산업통상자원부
ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls	14개 통제분야 114개 통제항목	국제표준화기구 (ISO) 국제전기기술위원회 (IEC)
NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations	17개 통제분야	미국표준기술연구소 (NIST)