내부자 위협의 정의
미국의 Carnegie Mellon 대학의 CERT 프로그램에서 내부자 위협을 다음과 같이 정의하고 있다.
“내부자 위협이란 조직 내의 시스템, 네트워크, 데이터 등에 접근 권한을 가졌거나 혹은 가지고 있으면서 접근권한을 고의로 오남용하여 조직 내의 정보 혹은 정보시스템의 기밀성(confidentiality), 무결성(integrity), 가용성(availability)에 부정적인 영향을 주는 정규직원, 계약직원, 비즈니스 파트너를 말한다” 여기서 정규직원, 계약직원, 비즈니스 파트너를 위협의 주체인 내부자로 언급하였다.
CERT 내부자 위협 센터(CERT Insider Threat Center)에서는 내부자 위협을 기존의 “전·현직 정규직원”뿐만 아니라 “외부자와의 공모”, “비즈니스 파트너”, “인수·합병”, “문화적 차이”, “국외 문제” 등 추가적인 5가지 측면에 주목하고 있다. 즉, 기존의 내부자 의미에 한정하지 않고 내부자에 영향을 미칠 수 있는 범위까지 확대하여 해석함을 알 수 있다.
내부자의 사전적인 의미는 “어떤 조직의 안에 속해 있는 사람”이다. 즉, 조직 내부에서 합법적인 권한을 가지고 중요 자원에 접근할 수 있는 사람을 의미하며, 이러한 사람들을 협의의 내부자로 정의할 수 있다. 협의의 내부자는 전·현직 정규직원, 계약직원, 조직의 내부에 상주하는 협력 업체 직원(아웃소싱) 등이 해당한다. 광의의 내부자는 협의의 내부자 외에 기업의 내부정보를 열람하거나 변경할 수 있는 고용인과 법률이나 규정에 근거하여 업무를 수행하면서 내부정보 열람하는 자를 추가로 포함할 수 있다. 여기에는 인수·합병 담당자, 공동·위탁 연구자, 조직으로부터 권한의 일부를 위임·위탁받아 업무 수행자, 관련 공무원 등이 포함된다.
| 분류 | 내부자 | 설명 |
| 협의의 내부자 | 전·현직 정규직원 | “기간을 정하지 아니하고 정년까지의 고용이 보장되며 전일제로 일하는”[1] 내부자로서 조직 내의 자원에 접근할 수 있는 자 |
| 계약직원 | “일정한 근로 기간 및 방식, 임금 따위 계약을 통하여 약정하고 그 기간 내에만 고용이 지속되는” 내부자로서 조직 내의 자원에 접근할 수 있는 자 | |
| 조직의 내부에 상주하는 협력 업체 직원 (아웃소싱) | 조직의 업무 일부를 제3자의 책임과 권한으로 조직의 내부에 상주하면서 수행하는 자로서 조직 내의 자원에 접근할 수 있는 자 | |
| 광의의 내부자 | 양도·양수, 합병 담당자 | 기업의 양도·양수, 합병에 참여하는 담당자로서 양도·양수, 합병 과정에서 조직 내의 자원에 접근할 수 있는 자 |
| 공동·위탁 연구자 | 공동의 목표를 가지고 특정 연구에 대해서 공동으로 연구하거나 연구 의뢰 기관으로부터 연구 용역 업무를 위탁받아 연구하는 자로써 조직 내의 자원에 접근할 수 있는 자 | |
| 조직으로부터 권한의 일부를 위임·위탁받아 업무 수행자 | 조직의 업무와 직·간접적으로 관련된 업무의 일부를 제3자의 책임과 권한으로 수행하는 자로써 조직 내의 자원에 접근할 수 있는 자 | |
| 법률이나 규정에 근거하여 업무를 수행하면서 내부정보를 열람하는 자 | 규정에 따라 행정업무를 수행하는 자, 상담업무, 실태조사 종사자, 분쟁 조정업무 수행자 및 관련 공무원 |
내부자 위협의 대상
| 분류 | 구분 | 대상 | 설명 |
| 중요 정보 | 개인 | 개인정보 | “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보” |
| 금융 | 금융정보 | “금융회사가 보관하고 있는 전자적으로 처리할 수 있는 정보” (계좌번호, 신용카드번호, 거래일자, 거래금액, 잔고 등) | |
| 신용정보 | “금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보” | ||
| 산업 | 국가 핵심기술 | “국내외 시장에서 차지하는 기술적·경제적 가치가 높거나 관련 산업의 성장잠재력이 높아 해외로 유출될 경우에 국가의 안전보장 및 국민경제의 발전에 중대한 악영향을 줄 우려가 있는 기술” | |
| 산업기술 | “제품 또는 용역의 개발·생산·보급 및 사용에 필요한 제반 방법 내지 기술상의 정보” | ||
| 영업비밀 | “공공연히 알려졌지 아니하고 독립된 경제적 가치를 가지는 것으로서, 상당한 노력으로 비밀로 유지된 생산방법, 판매 방법, 그 밖에 영업활동에 유용한 기술상 또는 경영상의 정보” | ||
| 기술자료 | “물품 등의 제조 방법, 생산 방법, 그 밖에 영업활동에 유용하고 독립된 경제적 가치가 있는 것”(특허권, 실용신안권, 디자인권, 저작권과 기술상 또는 영업상의 정보) | ||
| 지식재산 | “인간의 창조적 활동 또는 경험 등에 의하여 창출되거나 발견된 지식·정보·기술, 사상이나 감정의 표현, 영업이나 물건의 표시, 생물의 품종이나 유전자원(遺傳資源), 그 밖에 무형적인 것으로서 재산적 가치가 실현될 수 있는 것” | ||
| 공공 | 행정정보 | “행정기관 등이 직무상 작성하거나 취득하여 관리하는 자료로서 전자적 방식으로 처리되어 부호, 문자, 음성, 음향, 영상 등으로 표현된 것” | |
| 공익사업정보 | “공중의 일상생활과 밀접한 관련이 있거나 국민경제에 미치는 영향이 큰 사업”(수도, 전기, 가스, 의료, 방송, 통신 등)으로 이와 관련된 정보 | ||
| 국방 | 군사기밀 | “일반인에게 알려지지 아니한 것으로서 그 내용이 누설되면 국가안전보장에 명백한 위험을 초래할 우려가 있는 군(軍) 관련 문서, 도화(圖畵), 전자기록 등 특수매체기록 또는 물건” | |
| 중요 자원 | 조직 내 | 데이터, 시스템, 네트워크 | 내부자가 접근하여 유출, 조작, 파괴 등이 가능한 전산 자원 |
'보안(Security)' 카테고리의 다른 글
| 산업기술 보호 관련 법률 - 부정경쟁방지 및 영업비밀보호에 관한 법률, 산업기술혁신 촉진법, 방위사업법, 발명진흥법 (0) | 2022.07.09 |
|---|---|
| 산업기술 보호 관련 법률 - 산업기술의 유출방지 및 보호에 관한 법률 (1) | 2022.07.09 |
| 내부자 위협 현황 - 개인정보 침해 현황 (0) | 2022.07.08 |
| 내부자 위협 현황 - 산업기술 유출 현황 (0) | 2022.07.08 |
| 내부위협에 대한 내부통제 강화 필요성 (0) | 2022.07.08 |
댓글