[아이티데일리] 기업에 치명적인 손해를 야기할 수 있는 ‘데이터 손실’은 사람과 기계의 상호작용에서 비롯되는 문제다. 특히 시스템 침투나 오설정 등보다는 ‘부주의한 사용자’ 때문에 데이터 손실 피해 사례를 야기할 가능성이 더욱 높은 것으로 조사됐다.

20일 글로벌 사이버 보안 및 컴플라이언스 기업 프루프포인트(Proofpoint)는 첫 데이터 손실 동향 보고서(Data Loss Landscape report)를 발표하며 이 같이 밝혔다. 보고서는 데이터손실방지(DLP) 및 내부자 위협에 관한 현행 접근 방식이 데이터 확산과 지능형 위협 행위자, 생성형 인공지능(GenAI) 등 거시적 현안 과제에 어떻게 대응하고 있는지를 분석했다. 

이번 보고서는 DLP 솔루션에 투자하고 있는 기업들이 증가하고 있는 반면 적용한 솔루션이 부적절한 경우도 빈번하다고 지적했다. 또한 설문조사에 응한 한국 기업 중 90%가 지난해 데이터 손실 사고를 경험한 것으로 나타났다고 분석했다. 데이터 손실 피해를 입은 기업 대부분은 사업 차질, 매출 손실(피해 기업의 47% 이상), 또는 평판 악화(55%) 등 부정적 영향을 받은 것으로 나타났다. 그러나 놀랍게도 프루프포인트 정보보호(Information Protection) 플랫폼 데이터에 따르면, 보안 경보(alerts) 88%의 원인이 되고 있는 것은 글로벌 사용자의 불과 1%에 해당하는 극소수의 문제 인원들이었다. 

프루프포인트 라이언 칼렘버(Ryan Kalember) 최고전략책임자(CSO)는 “이번 연구는 데이터 손실 문제의 핵심을 잘 보여주고 있다”며 “부주의하고 손상되고 악의적인 사용자들은 지금까지 그랬듯이 앞으로도 데이터 손실 사고의 주원인이 될 것이다. 생성형 인공지능(GenAI) 도구는 공통 업무를 흡수하고 그 과정 중 보안 데이터에 대한 접근권을 가질 것이다. 기업들은 DLP 전략을 재고해 데이터 손실의 근본 원인인 사람의 부주의한 행동을 해결할 필요가 있으며, 이를 통해 기업은 클라우드, 엔드포인트, 이메일, 웹 등 직원들이 사용 중인 모든 채널에 걸쳐 있는 보안 위협 요인을 감지, 조사, 대응할 수 있을 것이다”라고 말했다.

프루프포인트코리아 최태용 수석 시스템 엔지니어(Senior Systems Engineer)는 “직장 내 클라우드 등 다양한 플랫폼을 통해 기업 민감 정보를 열람하고 다양한  AI 도구를 활용해 내부 문서를 작성하는 경우가 늘어가는 추세”라며 “각 기업은 직원들이 사내 또는 외부에 공유하는 각 데이터의 유출 위험도를 분석하고 데이터 유출 경로를 선제적으로 차단할 수 있는 사내 보안 시스템을 강화하는 것이 중요하다”고 말했다.

이번 2024 데이터 손실 동향 보고서는 전 세계 12개국의 직원 수 1,000명 이상인 17개 분야 기업의 보안 전문가 600명을 대상으로 실시한 서드파티 설문조사 결과를 분석했다. 여기서 도출한 인사이트는 프루프포인트 정보보호 플랫폼 및 프루프포인트가 지난해 가을 인수한 기업 테시안(Tessian)이 보유한 데이터를 상호 보완해 기업들이 직면한 데이터 손실 및 내부자 위협 규모를 정확히 파악함으로써 도출됐다.

이 보고서의 한국 시장에 대한 핵심 내용을 살펴보면, 먼저 흔하지만 예방할 수 있는 데이터 손실 사고에 대한 내용이다. 보고서에 따르면 한국 기업들은 매월 1건 이상의 데이터 손실 사고(지난해 기업당 평균 17건)를 경험했고, 한국 내 응답자 중 81%가 부주의한 사용자를 주요 원인으로 꼽았다. 여기서 부주의는 이메일 오발송, 피싱 사이트 방문, 미인증 소프트웨어 설치, 민감 데이터를 개인 이메일 계정으로 발송하는 행위 등을 포함한다. 이러한 행동들은 이메일, 웹 업로드, 파일 동기화, 기타 데이터 유출 방법 등을 대한 데이터 손실 방지 정책·규정 시행을 통해 완화·예방할 수 있다. 

또한 보고서는 악의적 행동들이 막대한 비용 피해를 야기할 수 있다고 경고했다. 한국 내 응답자 중 23%가 “직원이나 협력업체 직원 등 내부자 중 악의적 행동을 하는 이들이 데이터 손실 사고를 일으킨 적이 있다”고 응답한 것으로 나타났다. 조직에 피해를 주고 퇴사하려는 직원의 악의적 행동은 개인적 이익을 목표로 하기 때문에, 단순히 부주의한 내부자에 비해 조직에 더 많은 피해를 초래할 수 있다는 게 보고서의 분석이다.

보고서에서는 한국 내 응답자들이 ‘퇴사 예정자’를 특히 위험 사용자로 꼽았다는 사실도 확인할 수 있다. 퇴사 예정 직원들은 자신이 악의적 행동을 하고 있다고 생각하지 않는 경우가 많다. 이들 일부는 자신이 재직 중 생성한 데이터를 갖고 퇴사해도 된다고 생각한다. 프루프포인트 데이터에 따르면, 9개월 동안 클라우드 테넌트 사이에서 발생한 비정상적인 파일 유출(anomalous file exfiltration) 사고의 87%를 퇴사 직원이 벌인 것으로 나타났다. 이는 퇴사 예정자에 대한 보안 점검 절차 등 예방 대책이 반드시 필요하다는 사실을 보여주는 대목이다.

또한 보고서는 ‘권한계정’ 사용자의 리스크가 가장 크다고 지적했다. 한국 내 응답자 중 54%가 “인사(HR) 및 재무 전문가 등 민감 데이터에 접근 권한이 있는 직원들의 데이터 손실 리스크가 가장 크다”고 답했다. 프루프포인트 데이터에 따르면, 전체 사용자의 1%가 데이터 손실 사고 88%에 대한 책임이 있는 것으로 나타났다. 이러한 결과로 볼 때, 기업은 데이터 분류를 사용해 비즈니스에 중요한 데이터와 중요 자산(Crown Jewels)을 식별하고 보호하는 모범사례를 우선적으로 고려해야 하며, 중요한 데이터나 관리자 권한에 접근 권한을 가진 사람들을 모니터링해야 할 것이라고 보고서는 조언했다.

기업 데이터 손실 방지 프로그램이 시장에 정착하고 있다는 분석도 담겼다. 초기에는 법제도 규정에 따라 도입된 프로그램이 다수였지만, 한국 기업들도 DLP 프로그램을 점차 도입하고 있는 것으로 나타났다. 그 요인으로는 △내부 준수 기준 충족(46%) △지식재산권 보호(42%) △데이터 손실 관련 비용 최소화(40%) △고객 및 직원의 개인정보 보호(36%) 등이 높은 비중을 차지하고 있는 추세인 것으로 나타났다.

보고서는 또한 글로벌 시장에 대한 분석도 함께 담았다. 먼저 데이터 손실의 주요 원인 중 하나인 오발송 이메일에 대한 내용을 확인할 수 있다. 테시안이 보유한 2023년 데이터에 따르면, 기업 직원 3명 중 1명꼴로 이메일을 한두 차례 오발송한 적이 있는 것으로 나타났다. 즉 직원 수가 5,000명인 사업장이라면 연간 약 3,400건의 이메일 오발송이 발생하는 것으로 추산된다. 직원, 고객, 환자 데이터가 포함된 이메일을 잘못된 수신자에게 발송하면 EU 개인정보보호법(GDPR) 및 기타 법규에 따라 상당 액수의 벌금을 부과 받을 수 있다.

또한 생성형 인공지능(GenAI)이 최대 위협 요인으로 부상 중이라는 내용도 강조됐다. 최근 챗GPT, 그래머리(Grammarly), 빙챗(Bing Chat), 구글 제머나이(Google Gemini) 등 AI 도구 보급이 확대되면서 민감 데이터를 입력하여 활용하는 사용자 수도 증가하고 있다. 프루프포인트는 ‘생성형AI 사이트 검색’이 자사의 정보보호 플랫폼을 도입한 기업들의 5대 DLP 및 내부자 위협 감지 규칙(alert rules)이 되고 있다고 분위기를 전했다.

프루프포인트 라이언 칼렘버(Ryan Kalember) 최고전략책임자(CSO)는 “새로운 데이터 손실 경로가 빠르게 생겨나면서 사용자 행동도 변화하고 있어 정기적인 DLP 프로그램 점검의 중요성이 커지고 있다”며 “목적별 DLP 플랫폼 적용 등의 전략이 있으면 보안팀이 모든 사고에 대한 사용자 및 데이터에 관한 가시성을 전적으로 확보하고 사람 중심 데이터 손실 시나리오를 완전히 파악할 수 있어 보안 프로그램을 향상시킬 수 있다. 데이터 보안에서 매우 중요한 변수는 바로 사람이며, 데이터 손실 방지 프로그램에서도 이를 반드시 고려해야 한다”고 덧붙였다.