직원 3명 중 1명 이메일 오발송으로 데이터 유출 사고 일으켜
[데이터넷] 단 1%의 사용자가 88%의 데이터 유출 사고 책임이 있는 것으로 나타났다. 이는 프루프포인트의 ‘2024 데이터 손실 동향 보고서’에 따르면 데이터 유출의 가장 큰 원인은 ‘부주의한 사용자’로 나타났다.
이 보고서는 우리나라를 포함한 전 세계 12개국에서 직원 1000명 이상 근무하는 17개 분야 기업 보안 전문가 600명을 대상으로 실시한 설문조사 결과를 분석한 것이다. 프루프포인트는 지난해 인수한 테시안(Tessian)이 보유한 데이터를 참고해 기업들이 직면한 데이터 손실과 내부자 위협 규모를 파악했다.
보고서에서는 한국 기업이 매월 1건 이상 데이터 손실 사고를 경험했으며, 지난해에는 기업당 평균 17건의 사고를 당한 것으로 분석했다. 더불어 한국 내 응답자 중 54%가 인사(HR) 및 재무 전문가 등 민감 데이터에 접근 권한이 있는 직원의 데이터 손실 리스크가 가장 크다고 답했다.
생성형 AI로 인한 중요정보 유출 심각
한국 내 응답자 중 81%가 부주의한 사용자를 주요 원인으로 꼽았으며, 특히 이메일 오발송, 피싱 사이트 방문, 미인증 소프트웨어 설치, 민감 데이터를 개인 이메일 계정으로 발송하는 행위 등으로 인한 사고가 많았다. 이러한 행동은 이메일, 웹 업로드, 파일 동기화, 기타 데이터 유출 방법 등을 대한 데이터 손실 방지 정책·규정 시행을 통해 완화·예방할 수 있다.
특히 이메일 오발송이 매우 큰 사고 원인으로, 테시안 조사에서는 지난해 직원 3명 중 1명꼴로 이메일을 한두 차례 오발송한 적이 있는 것으로 나타났다. 즉 직원 수가 5000명인 사업장이라면 연간 약 3400건의 이메일 오발송이 발생하는 것으로 추산된다.
그래서 EU 개인정보보호법(GDPR)이나 기타 법규에서는 환자 데이터 등 민감한 데이터가 포함된 이메일을 잘못된 수신자에게 발송하면 상당 액수의 벌금을 부과한다.
생성형 AI로 인한 중요정보 유출도 큰 문제다. 생성형 A 도구와 사용자가 늘면서민감 데이터를 입력하여 활용하는 사용자 수도 증가하고 있다. ‘생성형 사이트 검색’이 프루프포인트 정보보호 플랫폼을 도입한 기업들의 5대 DLP 및 내부자 위협 감지 규칙(alert rules)이 되고 있다.
클라우드 데이터 유출 87%, 퇴사직원에 의해 발생
한국 내 응답자 중 23%가 직원이나 협력업체 직원 등 내부자 중 악의적 행동을 하는 이들이 데이터 손실 사고를 일으킨 적이 있다고 응답했다. 조직에 피해를 주고 퇴사하려는 직원의 악의적 행동은 개인적 이익을 목표로 하기 때문에 단순히 부주의한 내부자에 비해 조직에 더 많은 피해를 초래할 수 있다.
퇴사 예정 직원에 의한 데이터 유출도 심각한 상황이다. 특히 퇴사 예정 직원은 자신이 악의적 행동을 하고 있다고 생각하지 않는 경우가 많았으며, 일부는 자신이 재직 중 생성한 데이터에 대해서는 가지고 퇴사해도 된다고 생각한다.
프루프포인트 데이터에 따르면, 9개월 동안 클라우드 테넌트 사이에서 발생한 비정상적인 파일 유출 사고의 87%는 퇴사 직원이 벌인 일로 나타났다. 이는 퇴사 예정자에 대한 보안 점검 절차 등 예방 대책이 반드시 필요하다는 것을 보여준다.
부적절한 DLP 설정으로 데이터 피해 입기도
이러한 결과로 볼 때, 기업은 데이터 분류를 사용하여 비즈니스에 중요한 데이터와 중요 자산(Crown Jewels)를 식별하고 보호하는 모범사례를 우선적으로 고려해야 하며, 중요한 데이터나 관리자 권한에 접근 권한을 가진 사람들을 모니터링해야 할 것이다.
이에 데이터 유출방지(DLP) 프로그램의 필요성을 강조했다. 초기 DLP는 법제도 규정에 따라 도입된 프로그램이 다수였지만, 점차 한국 기업들이 DLP 프로그램을 도입하고 있다. 내부 준수 기준 충족(46%), 지식재산권 보호(42%), 데이터 손실 관련 비용 최소화(40%), 고객 및 직원의 개인정보 보호(36%) 등이 높은 비중을 차지하고 있는 추세다.
그런데 조직이 도입한 DLP 솔루션이 부적절한 경우도 빈번하다. 설문조사에 응한 한국 기업 중 90%가 DLP를 사용하고 있음에도 지난해 데이터 손실 사고를 경험한 것으로 나타났다고 분석했다. 데이터 손실 피해를 입은 기업 대부분은 사업 차질, 매출 손실(피해 기업의 47% 이상), 또는 평판 악화(55%) 등 부정적 영향을 받은 것으로 나타났다. 그러나 프루프포인트 정보보호 플랫폼 데이터에 따르면 글로벌 사용자 중 불과 1%만이 보안 경보(alerts) 88%의 원인이 되고 있다.
라이언 칼렘버(Ryan Kalember) 프루프포인트 최고전략책임자(CSO)는 “이번 연구는 데이터 손실 문제의 핵심을 잘 보여주고 있다”라며 “부주의하고 손상되고 악의적인 사용자들은 지금까지 그랬듯이 앞으로도 데이터 손실 사고의 주원인이 될 것이다. GenAI 도구는 공통 업무를 흡수하고 그 과정 중 보안 데이터에 대한 접근권을 가질 것이다. 기업들은 DLP 전략을 재고하여 데이터 손실의 근본 원인인 사람의 부주의한 행동을 해결할 필요가 있으며, 이를 통해 기업은 클라우드, 엔드포인트, 이메일, 웹 등 직원들이 사용 중인 모든 채널에 걸쳐 있는 보안 위협 요인을 감지, 조사, 대응할 수 있을 것이다”고 말했다.
