[아이티투데이 성상훈 기자]정보 보안을 위해서 다양한 솔루션과 방법론이 있지만 그 전에 챙겨야할 것이 바로 '사람'이다. 견고한 보안 정책은 내부자 정보 유출 방지책에서부터 시작된다.  

내부자 정보유출 사례는 쉽게 찾아 볼 수 있다. ▲2007년 하나로텔레콤 600만건 유출 ▲2008년 GS 칼텍스 1125건 유출 ▲2011년 삼성카드 47만건 유출 ▲2013년 메리츠 화재 16만건 유출 및 ▲씨티은행 SC은행 13만건 유출 ▲2013년 대리운전 운행정보업체 420만건 유출 ▲2014년 국민카드, 롯데카드, 농협카드 1억400만건 유출 등이 순수 내부자 소행으로 인한 정보 유출 사례다.

내부로부터 이뤄지는 정보 유출은 막기가 더 어렵다. 겹겹이 쌓여 있는 외부 공격 대비 보안 솔루션이 사실상 의미가 없다. 권한이 높은 내부자일 경우 보안솔루션을 우회하거나 일시적으로 차단한 뒤 정보를 유출하면 그만이기 때문이다.

지난해 12월 발생한 한국스탠다드차타드(SC)은행, 한국씨티은행 유출 사례를 살펴보자. 당시 유출된 고객정보 13만건은 한국씨티은행에 근무하던 박 모 차장이 회사 전산망에 저장된 대출 채무자 정보를 A4용지를 통해 '직접인쇄'로 유출시켰다. USB 보안솔루션을 피하기 위해서다. 대출 채무자들의 정보는 A4용지 1100장에 일일이 인쇄해서 브로커에 전달됐다.

가장 최근에 일어났던 신용카드 3사(KB카드, 롯데카드, NH농협카드)의 사례를 분석해보면 더욱 심각하다.

개인신용정보 평가회사 코리아크레딧뷰(KCB)직원 박 모씨는 KCB내에서 카드 도난 및 분실, 위변조 탐지 시스템(FDS 시스템)개발 프로젝트 총괄 매니저였다. 외주 인력이지만 프로젝트 총괄 매니저였기 때문에 고객정보에 접근할 수 있는 권한은 갖고 있었다.

박 씨는 USB 스토리지를 통해 외부로 정보를 유출했다. 보안 프로그램은 박 씨에 의해 모두 해제된 상태였다. 롯데카드는 USB매체제어솔루션을 비롯해 내부 유출 방지를 위한 보안 솔루션이 갖춰져 있었지만 아무 소용 없었다.

NH농협은 FDS 개발 당시 박 씨의 개인 PC가 사용됐고, 정보 유출 방지를 위해 포맷 과정을 거친 뒤 외부로 반출됐다. 하지만 이는 외부에서 모두 복원됐다.

박 씨는 USB를 통한 유출이 가능한지 여부까지 꼼꼼히 조사했고 이 과정에서도 NH농협카드 정보는 일부 유출됐다.

카드사 정보 유출로 2차 피해 발생

지난해 언론사와 금융권이 공격당한 3·20 사이버테러와 청와대, 정당, 언론사 등 16개 기관이 당한 6·25 사이버테러는 외부 공격에 의한 것이다. 그러나 실질적인 피해가 발생한 것은 신용카드 정보 유출 사건이다.

지난 9일 카드 정보 유출로 인한 2차 피해 사례가 실제로 발생했다. 이날 한국SC은행 및 한국 씨티은행에서 유출된 13만건의 고객정보와 지난 1월 롯데·농협·국민카드로부터 유출된 1억여건의 개인정보로 대출 사기를 벌이던 조직이 경찰에 검거됐다.

이미 막대한 수의 카드 정보가 유출된 뒤라 또 다른 피해 사례가 나올 확률도 적지 않다. 사정이 이렇다보니 금융권을 비롯 많은 기업들이 콘텐츠 및 내부보안 솔루션에 관심을 기울이고 있다.

아직까지 이렇다할 도입 사례는 없지만 문서보안(DRM), 정보유출방지(DLP), 네트워크 접근제어(NAC), DB보안 등 콘텐츠 및 내부보안 솔루션에 대한 문의는 전년 대비 최대 30% 가까이 늘었다.

내부 유출 방지 시스템은 이미 보안에서 가장 중요한 위치를 차지하고 있다 <자료=워터월시스템즈>

사실 IT담당자들의 고민도 어제 오늘 일은 아니다. 내부자 위협에 대한 위험은 이미 꾸준히 제기되어 왔다.

암호화 및 키관리 업체 보메트릭이 지난해 700명의 IT관리자를 대상으로 실시한 설문조사에 따르면 IT 담당자의 63%가 내부자의 권한남용을 가장 고민하고 있으며, 절반 이상의 기업이 24개월 전 보다 보안체계가 취약하다고 느낀다.

암호화 및 키관리 업체 보메트릭이 지난해 700명의 IT관리자를 대상으로 실시한 설문조사에 따르면 IT 담당자의 63%가 내부자의 권한남용을 가장 고민하고 있으며, 절반 이상의 기업이 24개월 전 보다 보안체계가 취약하다고 느낀다.

중견 및 엔터프라이즈 기업의 54%가 내부자 공격을 탐지 및 차단하는 것이 2년 전인 2011 년도보다 까다로워졌다고 답하기도 했다. 기업의 46%가 기존 보안 기술, 자원, 프로세스 및 기술에도 불구하고 내부자 위협 공격에 대비한 보안 조치는 미흡한 상황이다.

이는 현재까지 크게 달라지지 않았다. 올해 설문 조사에서는 유럽 기업의 9%, 미국 기업의 3%만이 내부자 위협에 안전하다고 답했기 때문이다. 국내 상황도 크게 다르지 않다. 이미 수많은 사례가 이를 증명하고 있다.

보안 솔루션-보안 프로세스의 조화 필요해

보안전문가들은 IT 담당자들에게 기술(솔루션)과 보안 프로세스의 조화가 이뤄져야 한다고 강조한다. 내부보안 솔루션도 사람이 콘트롤 하는 만큼 보안 프로세스가 얼마나 잘 꾸려져 있느냐가 내부보안의 가장 우선 순위라는 의미다.

이글루시큐리티 연구소장 이용균 부사장(CTO)은 "보안 프로세스는 아무리 강조해도 지나치지 않다"며 "많은 보안전문가들이 일본과 우리나라의 보안시스템을 비교한다. 그 이유는 일본은 보안 프로세스(대응 매뉴얼)를 확실히 갖추고 있기 때문"이라고 말했다.

일본의 기업 문화는 최신 보안 솔루션 도입이 조금 늦더라도 확실한 대응 매뉴얼을 통해 보안 사고가 나도 수습이 빠르다고 한다. 우리나라는 이를 기술, 즉 최신 솔루션으로 매꾸려 하는 경향이 크다고 이 부사장은 지적했다.

결국 최신 보안 솔루션과 더불어 탄탄한 보안 프로세스를 마련하는 것이 내부자로 인한 유출을 방지하는 최선책일 것이다. 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사