해고 통보 받자마자 분 단위로 정부 DB 96개를 지운 쌍둥이 형제 이야기

요즘 보안 업계에서 “외부 해커보다 무서운 게 내부자다"라는 말이 다시 회자되고 있습니다. 이유가 있습니다. 해고 통보를 받은 IT 직원 형제가 회사 시스템에 남아 있던 자기 계정으로 들어가, 정부 데이터베이스 96개를 분 단위로 지워버린 사건이 알려졌기 때문인데요. 영화 같은 이야기지만, 모든 조직이 한 번쯤 마주칠 수 있는 현실적인 위협입니다.

무슨 일이 벌어졌나

사건의 골자는 단순합니다. 정부 기관의 IT 운영을 맡고 있던 쌍둥이 형제가 해고 통보를 받았고, 그 직후 시스템에 접근해 96개의 데이터베이스를 차례로 삭제했습니다. 그것도 거의 분 단위로 말이죠.

문제는 이들이 “외부 해커"가 아니라는 점입니다. 정상적인 권한, 정상적인 자격 증명, 정상적인 접근 경로를 가진 합법적 사용자였습니다. 보안 시스템 입장에서 보면 평소와 다를 게 없는 로그인이었던 거죠.

왜 96개나 지울 수 있었을까

이 사건이 단순한 “나쁜 직원” 이야기로 끝나지 않는 이유는, 조직의 절차가 어디서 무너졌는지를 적나라하게 보여주기 때문입니다.

첫째, 오프보딩(offboarding) 절차의 부재입니다. 해고와 동시에 계정 비활성화, VPN 차단, 관리자 권한 회수가 이뤄져야 했지만, 그 사이에 시간이 있었습니다. 보안 업계에서 “골든 윈도우"라고 부르는, 가장 위험한 시간대입니다.

둘째, 권한 분리(separation of duties)의 실패입니다. 한 사람, 혹은 한 팀이 96개 DB를 모두 만지고 모두 지울 수 있다는 건, 권한이 지나치게 집중돼 있었다는 뜻입니다.

셋째, 실시간 이상 행동 탐지가 없었습니다. 분 단위로 DB가 사라지는데도 알람이 울리지 않았다면, 행위 기반 모니터링 자체가 작동하지 않았던 겁니다.

내부자 위협이 가장 비싼 보안 사고인 이유

해마다 발표되는 보안 보고서들이 공통적으로 지적하는 사실이 있습니다. 내부자에 의한 사고의 평균 피해액이 외부 공격보다 훨씬 크다는 점입니다. 이유는 명확합니다.

내부자는 어디에 무엇이 있는지를 압니다. 외부 해커가 며칠을 들여 정찰해야 하는 자산 지도가, 내부자에게는 이미 머릿속에 있죠. 그래서 한 번의 행동으로 회복 불가능한 피해를 줄 수 있습니다.

게다가 데이터베이스 삭제는 단순한 파일 손실이 아닙니다. 정부 시스템이라면 시민 서비스 중단, 행정 마비, 재구축 비용, 그리고 대중의 신뢰 붕괴까지 따라옵니다. 백업이 있더라도 96개를 모두 복구하고 일관성을 맞추는 데는 수개월이 걸릴 수 있습니다.

조직이 당장 점검해야 할 것들

이 사건은 보안 부서만의 문제가 아닙니다. HR, IT, 법무가 함께 움직여야 막을 수 있는 종류의 위협인데요.

• 해고 결정 전 권한 회수 계획을 미리 짜둘 것. 통보 시점과 차단 시점의 갭을 최소화해야 합니다.
• 관리자 계정의 다중 승인. 한 사람이 단독으로 대량 삭제를 할 수 없도록 구조 자체를 바꿔야 합니다.
• 변경 이력의 불변 로그(immutable log). 삭제 행위를 되돌릴 수는 없어도, 누가 언제 무엇을 했는지는 반드시 남겨야 합니다.
• 이상 행동 기반 알림. “정상 계정의 비정상 행동"을 잡아내는 UEBA(User and Entity Behavior Analytics)가 필요한 이유입니다.

결국 신뢰의 문제

기술적인 방어막은 결국 사람을 전제로 합니다. “이 직원은 믿을 만하니까"라는 가정이 깨지는 순간, 모든 보안 모델은 다시 짜야 합니다. 그렇다고 모두를 잠재적 범죄자로 보자는 얘기는 아닙니다. 다만, 신뢰는 권한과 분리되어야 한다는 원칙을 시스템에 새겨두자는 거죠.

여러분의 조직은 오늘 누군가 해고 통보를 받았을 때, 몇 분 안에 모든 접근을 차단할 수 있나요? 그 답이 “아마도…“라면, 이 사건은 남의 일이 아닐지도 모릅니다.