많은 경영진이 외부 공격자를 가장 큰 위협으로 꼽지만, 실제로 가장 심각한 피해는 내부에서 발생하는 경우가 적지 않다.

내부 위협의 본질은 ‘신뢰’ 그 자체가 아니라 ‘검증 없이 이루어진 신뢰’에 있다는 사실을 필자는 수많은 사례를 통해 확인해 왔다. 오늘날 보안은 기술의 문제가 아니라, 신뢰를 어떻게 관리하고 시스템화하느냐의 문제라고 생각한다.

신뢰는 필요하지만 검증은 필수다

필자가 과거 컨설팅했던 한 기업에서는 오랜 기간 신뢰받던 회계 담당자가 회사 자금을 부정하게 사용하고 장부를 조작해 이를 숨기려 한 사실이 드러난 적이 있다. 회사는 그를 해고 대신 경고하는 방식으로 대응했지만, 문제는 반복되었고 결국 조직은 감당하기 어려운 타격을 받았다. 이 사례는 내부 인력에 대한 신뢰가 필요하지만, 그 신뢰가 검증을 대신할 수 없다는 점을 명확히 보여준다. 필자는 이와 같은 상황을 여러 차례 목격하며, 신뢰의 관리가 기업 보안의 핵심임을 확신하게 되었다.

외부 위협 역시 만만치 않다. 최근 우리 회사의 실제 도메인과 거의 동일한 형태의 가짜 웹사이트가 생성된 사건이 있었다. 공격자는 정상적인 트래픽을 가로채 악성 행위를 시도하려 했다. 다행히 보안팀이 이를 신속히 발견해 세계지식재산권기구(WIPO)를 통해 해당 도메인의 통제권을 회수했고 즉시 폐쇄했다.

이 사건은 외부 공격이 점점 더 정교해지고 있다는 점, 그리고 작은 방심이 기업 전체의 위험으로 이어질 수 있다는 점을 다시 한번 상기시켰다. 내부 통제와 문화가 허술한 조직일수록 이런 외부 공격에도 취약하다.

기업들은 내부와 외부 위협 모두를 줄이기 위해 몇 가지 실천적 원칙이 필요하다. 첫째, 재정과 업무 관련 프로세스에서 적절한 통제 절차와 분리 체계를 갖춰야 한다. 둘째, 단순한 인적 감독만으로는 위험을 탐지하기 어렵기 때문에 자동화된 모니터링 시스템이 필수적이다. 셋째, 검증 절차를 불신이 아닌 조직의 기본 운영 원칙으로 인식하는 문화가 필요하다. 마지막으로 부정 행위나 정책 위반이 적발되면 단호하게 조치해야 한다. 관용은 조직의 보안 수준을 약화시키는 가장 빠른 길이다.

외부 위협에 대비하기 위해서는 경험 있는 보안 파트너와 협력하는 것이 중요하다. 정기적인 보안 점검과 취약점 검사는 공격이 발생하기 전에 위험 요소를 제거하는 효과적인 방법이다. 직원 교육 또한 필수적이다. 피싱, 도메인 스푸핑, 소셜 엔지니어링의 징후를 인식하는 직원은 기업 보안에서 가장 강력한 방어선이 된다. 필자는 기술만으로는 모든 위협을 막을 수 없으며, 결국 사람과 기술이 함께 작동할 때 비로소 조직이 안전해질 수 있다고 믿는다.

필자가 강조하고 싶은 핵심은 단순하다. 보안은 ‘신뢰하되 반드시 검증하는 것’에서 시작된다. 내부 위협과 외부 공격은 모두 기업을 마비시키는 심각한 결과를 초래할 수 있으며, 이를 통제하는 가장 효과적인 방법은 신뢰를 절차로 관리하는 것이다.

경험 많은 보안 파트너와의 협력, 일상적인 검증 절차, 그리고 사람 중심의 보안 문화가 결합될 때 기업은 비로소 지속 가능한 보안 체계를 구축할 수 있다. 필자는 검증이 불신이 아니라 조직을 지키기 위한 가장 실용적인 생존 전략이라고 확신한다.

(*이 기고문은 GTT KOREA의 편집 방향과 다를 수 있습니다.)