娇色导航

최근 다양한 산업에 걸쳐 확산되는 기술 인력 해고는 이러한 현상을 더욱 심화시킬 가능성이 높다. 기업을 대상으로 파트너 에코시스템 리스크 관리 서비스를 제공하는 사이버GRX(CyberGRX)의 CTO인 프랭크 프라이스는 “대규모 조직의 경우, 부실하게 검증되고 앙심을 품은 단 한 명의 직원으로도 엄청난 피해를 입을 수 있다”라고 설명했다. 

내부인의 사보타주는 해고 전에 시작될 수 있다. 회사가 구조조정을 단행할 것이라는 소문만으로도 패닉 및 혼란을 야기할 수 있으며, 이로 인해 일부 직원이 해로운 방식으로 반응할 수 있다. 위드시큐어(WithSecure)의 주요 위험 및 기술 연구원인 톰 반 더 위엘은 “적절히 관리되지 않을 경우 회사를 떠나는 직원이 앙심을 품을 것인가의 여부를 결정하는 3가지 요소는 접근성, 동기, 기회다”라고 지적했다. 

데이터에 따르면, 직원 해고는 브랜드 손상, 평판 손상 혹은 재정적 손실로 이어질 수 있다. 디텍스 시스템(DTEX Systems)의 ‘’에 의하면, 직원의 12%가 조직을 떠나며 민감한 지적 재산을 가져간다. 여기에는 종종 고객 데이터, 의료 기록, 판매 계약 및 기타 중요 문서가 포함된다. 선을 넘을 가능성이 특히 큰 이들은 부업을 하고 있거나 아마도 경쟁사에서 새로운 커리어 기회를 찾는 사람들일 것이다. 

이 모두가 조직의 입장에서는 심각한 우려 사항이지만 다행이도 이러한 상황은 방지 가능하다. 해고 과정 중 발생하는 부정적 결과를 완화하기 위해 취할 수 있는 몇 가지 단계는 다음과 같다. 

공감하고 존중하는 모습을 보인다
해고는 거의 언제나 감정적인 경험으로 직원들에게 다가온다. 디텍스 시스템에서의 내부자 위협 대응을 위한 보안 및 비즈니스 인텔리전스 책임자인 알만 마바드는 “모든 이가 존중 및 세심한 관심을 받을 자격이 있다는 사실을 기업들은 깨달을 필요가 있다. 결과가 긍정적이든 부정적이든 공감능력은 상당한 도움이 될 수 있다”라고 언급했다. 

힘든 시기에 공정성을 보장하기 위해 조직은 투명성, 직접성 및 리더십의 진실성을 우선시해야 한다. 프라이스에 따르면, “고-무결성 프로세스(high-integrity process)를 실행할 경우 해고 대상 직원들은 존중을 받고 조직이 직원 감축이라는 어려운 결정을 내리는 이유에 대한 일반적인 추론을 할 수 있는 기회를 얻게 되어 고통을 훨씬 더 수월하게 관리할 수 있다.”

비욘드 아이덴티티(Beyond Identity)의 보안 및 인프라 담당 부사장인 밥 버크는 상담 혹은 커리어 코칭 서비스와 같은 실질적 지원을 제공할 경우, 해고의 영향을 최소화하고 부주의하거나 의도적인 보안 침해 가능성을 줄이는 데 도움이 될 수 있다고 전했다.

또한 공감 및 존경은 해고 대상 직원뿐만 아니라 모든 직원들에게 확대되어야 한다. 반 더 위엘은 “귀를 기울이고 행동함으로써 직원들을 행복하게 하는 노력은 단순히 조직을 위해 일하고 자신의 업무를 수행하는 이와 최선의 의도로 회사의 비전을 위해 일하는 이의 차이를 만드는 핵심이다.”

모든 직원의 웰빙을 우선시하고 공감 및 존중의 문화를 조성함으로써 조직은 힘든 시기에도 긍정적이고 지원적인 업무 환경을 증진시킬 수 있다. 

여러 부서에 걸친 협업은 내부자 위협을 방지할 수 있다
인사 부서, 재무 전문가, 내부 IT, CISO 및 기타 이해 관계자가 협력할 경우, 퇴사 절차는 훨씬 더 원활히 진행된다. CISO는 조직의 전반적인 보안에 필수적인 역할을 하므로 특히 중요하다. 

프라이스는 “주요 보안 직원이 대규모 해고 시 결정자군에 속해야 하며, 모든 조치에 대한 계획을 수립하도록 하라”라고 조언했다. CISO를 계획을 수립하는 그룹에 속해 있다면, 불만을 가진 엔지니어 혹은 영업 사원이 깃허브 혹은 세일즈포스에 로그인할 수 있어 피해를 초래할 수 있다는 사실을 뒤늦게 깨닫는 상황을 방지할 수 있다. 해고된 많은 직원들이 활용 가능한 암호, 소프트웨어 및 시스템에 대한 액세스 권한은 물론 내부자 정보까지 보유하고 있으므로 이러한 상황은 특히 흔하다. 

프라이스는 “적절한 액세스 제어가 없을 경우, 악의적인 권한 상승은 알아차리기가 상당히 어려울 것이다. 충분한 시간, 리소스 및 프로토콜을 모두 구현 및 준수한다면 잘 처리될 수 있으나 대규모 해고의 경우 이 프로세스는 종종 더 혼란스럽다”라고 설명했다. 

데이터 및 코드 손실 방지
직원이 갑자기 회사를 그만둘 경우, 데이터 혹은 코드 손실 가능성은 조직의 보안 태세에 상당한 영향을 미칠 수 있다. 대부분의 직원들은 자신을 사이버보안 리스크로 생각하지 않는다는 점을 디텍스 시스템의 연구가 보여주고 있다. 

디텍스 시스템에 따르면, ‘모든 조직의 직원 중 약 50%’는 자신이 기여한 프로젝트의 기밀 지적 재산을 저장하고 있다. 이들은 회사를 떠날 때를 대비해 이같이 한다고 마바드는 언급한다. 더욱 우려스러운 것은 이러한 직원의 12%가 자신이 작업조차 하지 않은 프로젝트에서 데이터를 가지고 나간다는 점이다. 

“기업은 실제 리스크가 자체 방화벽 내부에서 있다는 점을 깨달어야 한다. 데이터 손실 방지 및 보호의 미래는 데이터 중심이 아닌 인간 중심이다”라고 마바드는 이야기했다. 

기업은 데이터 손실 활동을 모니터링하고 조직 내외부의 불필요한 데이터 이동을 제한하는 정책을 실행해야 한다. 여기에는 개인 웹메일, 파일 공유 사이트 혹은 USB 포트에 파일 업로드 시 장치 잠금을 적용해 특히 해고로 인해 발생하는 성공적인 데이터 유출 이벤트를 방지하는 것이 포함될 수 있다. 

이러한 접근방식은 ‘동료를 통한 요청’ 리스크를 해결하는 데에도 기여할 수 있다. 팔로알토 네트웍스의 영국 법인시스템 엔지니어링 책임자인 아미트 테일러는 “불만이 있는 악의적인 직원의 경우, 데이터에 대한 추가 액세스를 위해 해고 사실을 알지 못하는 직원을 이용할 수 있다”라고 설명했다. 그는 이는 디지털 액세스 및 물리적 액세스 모두에 적용된다고 덧붙인다. 

그는 “이전 직원들은 사무실 배치 및 물리적 시설에 대한 액세스 방법이 익숙할 것이다. 어떤 경우에 이들은 리셉션 및 보안 직원들도 아는 친숙한 인물일 수 있다”라고 지적했다. 

휴면 계정에 주의
해커들은 종종 구조조정으로 어려움을 겪은 기업을 공격한다. 프라이스는 “이들은 아직 중단되지 않은 휴면 계정을 손상시키거나 회사 본사로 전송 중인 하드웨어를 가로채고자 할 수 있다. 이러한 이유로 모든 기기의 인벤토리를 작성하고, 구계정을 모니터링 및 적절히 보관하며, 모든 액세스, 장비 및 기타 공격 표면 영역이 완전히 해결되었는지 검증하는 데 많은 노력을 쏟는 것이 상당히 중요하다”라고 말했다. 

조직이 회사 자산에 대한 액세스를 즉시 쉽게 취소할 수 있는 경우, 계정 및 장치 도난의 리스크를 줄일 수 있다. 단일 ID 시스템을 보유하면 계정 및 모든 기업 리소스의 일관적인 단일 취소 및 비활성화가 가능해질 것이라고 테일러는 설명했다.

모든 서비스에 걸친 싱글 사인온(single sign-on, SSO)의 완전한 채택은 ‘최우선 순위’가 되어야 한다고 앤도르 랩(Endor Labs)의 CTO이자 공동 설립자인 드미트리 스틸리아디스는 덧붙였다. 그는 ‘싱글 사인온 메커니즘을 사용해 취소할 수 없는 정적 자격증명(Static credentials) 및 권한 있는 액세스(privileged access)가 가장 큰 리스크일 것이다”라고 언급했다. 

또한 그는 소프트웨어 공급망 보안과 관련해 “SSO와 SCM(공급망 관리) 도구 및 CI/CD 파이프라인과 같은 개발 서비스와의 적절한 통합은 필수적인 안전장치”라고 강조했다. 

기존의 보안 공백에 주의
스트레스를 받는 시기의 경우 해고된 직원들뿐만 아니라 모두가 실수를 저지를 수 있다. 마바드는 “불확실성 및 스트레스는 평소대로 부지런히 업무를 수행하는 것을 방해해 의도치 않은 부주의로 인한 보안 공백을 발생시킬 수 있다”라고 설명했다. 

조직의 가장 취약한 보안 포인트가 무엇인가를 파악하고 위험으로 이어질 수 있는 잠재적 방식에 관해 생각하며 선제적으로 해결할 경우 늘 도움이 된다. 인식 제고, 교육 및 정책 변화는 이러한 리스크 해결에 기여할 수 있다. 

비즈니스 연속성을 최우선 순위로 설정
보안 리더는 비즈니스 연속성에 대한 모든 대화에 관여해야 한다. 뿐만 아니라 이러한 대화를 주도해야 한다. 프라이스는 “이러한 비즈니스 연속성 계획에는 해고 전 검토해야 할 단일 장애 지점 및 기타 연관 정보의 식별이 포함되어야 한다”라고 지적했다.

직원이 예기치 못하게 회사를 떠날 경우, 비즈니스 연속성을 위한 적절한 프로세스의 부재는 데이터 혹은 시스템 가용성 손실 등으로 이어질 수 있다. 

단계적 해고를 고려
때때로 단계적인 퇴사 접근방식이 사용된다. 이는 해고된 직원 및 조직 모두에게 이익이 될 수 있다. 인사팀은 사람들이 상황에 대처할 수 있도록 돕기 위해 더 많은 시간을 확보할 수 있으며, 동시에 비즈니스 영속성은 더욱 잘 보존된다. 해고된 직원들은 업무를 완료 및 인계하며, 주요 정보를 전달할 수 있다.   

버크는 “또한 이를 통해 보안팀은 모든 액세스를 검토하고 가능할 경우 취소할 수 있는 시간을 더 많이 확보할 수 있다”라고 이야기했다. 

그러나 단계적 오프로드 프로세스가 얼마나 원활한가와는 관계없이 중요한 지식 혹은 전문지식은 늘 손실된다. 버크에 따르면, 중복성을 생성하고 사일로를 줄이기 위한 일반적인 관행으로서 가능한 부분에서 직원을 교차 훈련시키는 한편, 중요한 지식에 모두가 쉽게 액세스할 수 있도록 팀에 프로세스에 대한 최신 문서 및 런북(runbooks)을 제공하기를 요청함으로써 이러한 문제를 완화시킬 수 있다.  

가능한 경우 정보에 대한 액세스 권한을 식별 및 위임
시스템 혹은 비즈니스 기능을 한 사람에게 의존하는 것은 좋은 생각은 아니다. 테일러는 “직원이 조직을 떠날 때 비즈니스의 부분으로 남아 모든 정보, 시스템 및 데이터에 액세스할 수 있는 지정된 사람이 있어야 한다. 어떤 경우에는 한 명 이상의 사람이 될 수 있고 민감도 혹은 기능에 따라 액세스가 분할될 수도 있다”라고 언급했다. 물론 중요 정보에 대한 액세스 권한을 적절치 않은 직급의 직원에게 부여할 경우 잠재적인 리스크는 더욱 심화될 수 있다. dl-ciokorea@foundryco.com