내부위협에 대한 내부통제 강화 필요성

 

 

내부자에 의한 보안사고가 매년 증가함에 따라 전체 기술 유출 사고의 80% 이상이 내부자 소행으로 알려져 있다. 또한 중요 권한을 가지고 있는 내부자 위협에 대해서 적절한 통제를 수행하지 않는 문제점으로 인하여, 산업기밀 유출 피해 규모는 최근 5년간 50조원 이상의 피해가 발생한 것으로 조사되었고, 개인정보 침해는 대형 개인정보 유출로 인하여 사회적 문제로 확대되고 있다. 이러한 내부자 위협에 적절하게 대처하기 위해서는 관리적, 물리적, 기술적 보안 관점에서 접근뿐만 아니라 효과적인 내부통제 강화 전략을 수립할 필요가 있다. 
본 연구의 궁극적인 목적은 내부자 위협의 현황을 살펴보고, 내부자 위협의 유형분석과 원인분석 그리고 사례분석을 통하여 내부자 위협에 대한 내부통제 강화 전략을 수립하는데 연구의 주안점을 두고 있다. 
본 연구에서는 내부자를 ‘협의의 내부자’와 ‘광의의 내부자’로 정의하고 이에 따른 내부자 위협의 개념과 대상을 기술하였으며, 내부자 위협의 현황을 ‘산업기술 유출 현황’과 ‘개인정보 침해 현황’으로 분류하여 내부자 위협 현황을 파악하였다. 또한 내부자와 관련된 국내 및 해외 관련 법규를 ‘산업보안 보호 관련 법률’과 ‘정보보안 및 개인정보보호 관련 법률’로 분류하여 살펴봄으로써 내부자 위협의 대응 방안 및 중요성을 법적으로 제고하였다. 

 

 

내부자 위협 유형은 Carnegie-Mellon 대학교의 CERT에서 분류한 ‘IT 사보타주(Sabotage)’, ‘지식재산 절취(Theft of Intellectual Property)’, ‘부정(Fraud)’의 세 가지 유형으로 분류하였다. ‘IT 사보타주(Sabotage)’는 내부자가 IT 기술을 이용하여 조직이나 개인에게 직접적인 위해를 가하는 행위를 의미한다. ‘지식재산 절취(Theft of Intellectual Property)’는 내부자가 IT 기술을 이용하여 조직의 중요 지적 재산을 절취하는 행위를 의미하며 ‘부정(Fraud)’은 내부자가 IT 기술을 이용하여 개인의 이득을 위해 조직의 데이터를 무단으로 삭제하거나 위·변조 또는 절취하는 행위를 의미한다. 이에 따른 내부자 위협의 유형 분석을 통하여 유형별 내부자 위협의 주요 영향 및 특성을 파악하였으며 내부자 위협의 원인 분석을 통하여 내부자의 불만 사항을 정리하고 내부자 위협의 근본적인 발생 이유를 분석하였다. 또한 내부자 보안사고 사례 분석을 통하여 유형별 보안사고를 정리하고 ‘사건 개요’, ‘사건 경위’, ‘범행 동기’, ‘침해 방법’, ‘피해 규모’, ‘적용 법률’ 등을 파악하였다.
내부자 위협에 대한 내부통제 강화 전략은 프로세스 단계별로 적절한 통제를 파악하고 기존 연구의 통제 프로세스를 분석하였다. 기존의 연구들이 ‘예방’, ‘탐지’, ‘교정’ 3단계의 통제 프로세스를 제시한 데 반하여 본 연구에서는 ‘억제이론(Deterrence Theory)’을 바탕으로 통제 프로세스를 ‘억제(Deterrence)’, ‘예방(Prevention)’, ‘탐지(Detection)’, ‘교정(Remedies)’의 4단계로 제시하였다. 또한 기존의 정보보호 관리체계를 구성하는 제반 통제항목에 대해 살펴보고 내부자 위협에 적합한 내부통제 항목을 수립하는 것을 목표로 방송통신위원회의 ‘정보보호 관리체계 인증제도(K-ISMS)’의 정보보호 대책 13개 통제 분야 92개 통제항목을 바탕으로 산업통상자원부의 ‘중소기업의 기술 보호를 위한 세부 보안 통제 실행 지침서’의 11개 통제 분야 39개 통제항목과 국제표준화기구(ISO) 및 국제전기기술위원회(IEC)에서 제정한 ISMS 국제표인 ‘ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls’의 14개 통제 분야 114개 통제항목, 그리고 미국 표준기술연구소(NIST)에서 제정한 ‘NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations’의 17개 통제 분야의 통제항목을 기반으로 내부자 위협에 대한 주요 통제항목을 선정하고 단계별로 내부통제 항목을 구체적으로 제시하였으며, 조직의 규모에 따라 내부통제 항목을 달리 제시함으로써 대기업, 중기업, 소기업 별로 적절한 내부통제를 구현할 수 있도록 유도하였다.
최근에 내부자 소행에 따른 보안사 고가 증가하는 추세이다. 산업기밀보호센터의 조사에 따르면 전체 기술 유출 사고의 80% 이상이 내부자 소행으로 알려져 있다. 하지만 보안 방안은 대부분 외부의 침해에 대한 관리적, 기술적, 물리적 보안에 치우쳐 있다. 이러한 중요 권한을 가지고 있는 내부자 위협에 대해서 적절한 통제를 수행하지 않는 문제점으로 인하여, 산업기밀 유출 피해 규모는 최근 5년간 총 202건에 50조원 이상의 피해가 발생한 것으로 조사되었고, 개인정보 침해는 대형 개인정보 유출로 인하여 사회적 문제로 확대되고 있다. 그러므로 내부자 위협에 적절하게 대처하기 위해서는 관리적, 물리적, 기술적 보안 관점에서 접근뿐만 아니라 효과적인 내부통제 강화 전략이 수립되어야 한다. 
본 연구는 내부자 위협의 현황을 살펴보고, 내부자 위협의 유형분석과 원인분석 그리고 사례분석을 통하여 내부자 위협에 대한 내부통제 강화 전략 수립을 목적으로 삼고 있다.