기업 내부서 새는 정보, 이렇게 막아라

기업 내부서 새는 정보, 이렇게 막아라

물 샐 틈 없는 ‘정보유출 방지 시스템’ 구축 how-to

얼마 전 폭로전문 웹사이트 위키리크스는 미국 등의 군사기밀, 외교안보기밀 등 수십만 건의 국가기밀을 세상에 공개하였고, 미공개 자료 중 절반이 민간기업의 자료라고 발표했다. 이를 둘러싼 세계 각국의 관심과 네티즌의 반응은 끝내 ‘세계정부 VS 네티즌전쟁’을 불러일으키고 있다. 도대체 이런 기밀 중 기밀 수십만 건을 어떻게 위키리크스라는 일개 웹사이트 하나가 확보할 수 있었을까? (편집자주)

애플의 아이폰을 선두로 스마트폰이 급속도로 확대되고 있다. 모바일 환경에 대한 국민들의 관심과 적극성으로 인해 2000년대 인터넷 환경의 확대와는 비교할 수 없을 정도로 빠르게 진행되고 있다. 빠르게 변화하는 시대의 흐름에 보안시장도 함께 요동치고 있다. 그런데 인터넷의 보급과 모바일 환경의 확대는 다양한 사이버 위협 및 보안이슈를 동반하고 있다. 해킹, 좀비PC, DDoS공격, 윔바이러스 등 외부로부터의 각종 사이버 위협이 도사리고 있다. TV, 신문, 인터넷 등을 보면 연일 보안사고들이 주요 뉴스로 보도되고 있고, 개인정보보호법 제정 등 법제도의 정비작업이 국가 주도로 진행되면서 국내 보안에 대한 사회적 인식 수준은 나날이 높아지고 있다. 정부부처, 공공기업, 민간기업, 학계 등 보안관리체계 구축의 필요성이 부각되고, 그에 걸맞은 대책이 마련되고 있다.   위키리크스 사건, 강 건너 불 아닐 수도 하지만 적은 외부에만 존재하는 것은 아니다. 외부 위협에 대한 보안은 보안체계구축, 보안솔루션 도입 및 상시 모니터링 등을 통해 이전부터 지속적으로 진행해왔다. 다만, 그 환경이 모바일로 확대되고 있는 것이다. 이전부터, 그리고 앞으로도 사이버 환경에 대한 보안 수요는 지속적으로 발생할 것이다. 그렇다면, 보안의 또 다른 적인 내부의 위협, 정확히 말하면 내부의 중요한 정보가 유출되어 국가나 기업, 조직 등의 심각한 타격을 입히는 것에 대한 대책은 어떻게 준비해야 하는가? 위키리스크 사건, 이는 내부자에 의한 정보유출이 아니면, 불가능한 이야기이다. 군사기밀의 유출은 나라의 안보와 직결된 것으로, 특히 우리나라와 같은 상황에서는 곧바로 국가적 위협으로 돌아올 수 있다. 또한, 기업기밀의 유출은 그 기업의 생존과 직결되기 때문에, 어떠한 경우라도 외부로 유출되어서는 안 된다. 위키리크스 사건은 단지 외부의 위협에 대한 보안대책이 전부가 아니라는 것을 말하고 있다. 외부의 적만큼 내부의 적이 얼마나 무서운지를 여실히 보여주고 있다. 우리 기업이라고 해서 위키리스크와 같은 사건을 겪지 않으리라는 보장은 없다. 그렇다면 어떻게 해야 할까?   내부정보의 유통, 전 과정을 모니터링하라 내부정보유출방지체계란 내부의 중요정보에 대한 명확한 분류체계를 기반으로 중요정보의 유통과정 전반 즉, 누가 언제 무엇을 보았는지, 중요정보가 안전하게 유통되고 있는지에 대한 전 과정을 모니터링 하는 것이다. 이는 중요정보라 분류가 되는 모든 정보에 대한 추적성, 정합성 및 안정성을 보장해야 한다. 외부자와 조직 내 내부자에 대한 탐지 및 추적으로 내부의 보안의식에 대한 마인드 강화가 동시에 진행되어야 한다. 내부정보 유출 방지를 위해서는 PC단부터 서버, 네트워크, 어플리케이션 및 물리적 부분까지 중요정보의 생성부터 유통, 삭제까지의 라이프사이클 전반에 대한 보안체계 구축이 필요하다. 지엽적 단위 보안시스템 도입으로 해결될 수 없다. 따라서, 기존의 보안시스템을 통합하여 하나의 플랫폼으로 분석할 수 있어야 한다. 중요정보를 명확히 분류하여 보호대상을 선택하고 집중적으로 관리하여 내부자에 의한 불필요한 유출사고를 사전에 막아야 한다. 또한, 중요정보를 취급하던 퇴직자의 모니터링을 통해 유출사고의 사후추적도 가능해야 한다. 무엇보다 중요한 것은 중요정보에 대한 명확한 권한부여체계와 신뢰할 수 있는 인증수단의 도입, 정보접근에 대해 추적이 가능한 로그생성, 유통되는 과정 내 암호화를 통한 의도하지 않은 유출사고 방지, 전 과정의 유통모니터링시스템 및 로그분석시스템을 통한 정합성 확보 등 일련의 플랫폼이 필요하다. 또한, 전산자료에서 출력된 문서의 추적성 및 물리적 시설의 접근로그까지 포함하여 내부정보유출방지체계를 구축해야 한다.   중요 정보가 있는 시스템은 IAM 구축으로 관리하라 구체적으로 살펴보면, 중요정보를 가지고 있는 시스템(서버, DB, 어플리케이션 등)에 대한 권한관리체계는 IAM(Identify Access Management) 구축을 통해 일괄 관리해야 한다. IAM은 인증 (Authentication), 권한(Authorization), 관리(Administration), 권한설정 (Provisioning)을 포함하는 포괄적인 개념의 보안 솔루션을 말한다. 이를 통해 사용자 계정의 생성부터 폐기까지의 사용로그를 보관, 관리 및 정합성 체크를 통해 정보접근의 남용을 막아야 한다. 이 권한관리체계 기반 하에서는 사용자가 안전한 방법으로 접근할 수 있는 인증수단이 필요하다.  이는 이메일을 통한 카드명세서 확인에 사용되는 PKI (공개키기반구조), 스마트카드, 지문 정보와 같은 생체인식 등 다양한 인증수단을 사용할 수 있다. 인증 수준은 정보접근 권한에 따라 높일 수 있다. 단순 ID/PW 방식의 인증과 PKI를 사용하거나, PKI+스마트카드, PKI+생체인식 등의 복합적 인증수단으로 차별적으로 중요정보 접근 허용해야 한다.   PC 수준에서도 적절한 보안 수준을 유지하라 또한, 일반사용자의 최초 접속 포인트인 PC는 PC보안솔루션을 통한 해킹툴을 감시하고, 바이러스감염여부를 확인하는 절차가 필요하다 또한 IP(Internet Protocok : 네트워크 상의 컴퓨터 고유주소) / MAC 주소(Mac address : ethernet의 물리적인 주소) / HDD 시리얼 넘버 (하드디스크 제조번호) 체킹을 통해 인증된 PC인지 여부를 확인하는 절차를 거치게 해야 한다. 기업에 등록되지 않은 컴퓨터로 기업 서버에 접근했을 때 바로 확인 가능하도록 조치해야 한다. 이로써 내부자료를 외부로 유출하려는 시도를 잡아낼 수 있다. DRM(문서보안시스템)의 적용여부 확인과 더불어 원천적으로 PC 내부에 문서 저장을 허용하지 않는 SBC(Server Based Computing: 서버기반컴퓨팅)나 EDMS(전자문서관리시스템) 도입을 통한 문서보관체계 구축도 함께 적용하면 좀 더 높은 수준의 보안체계를 구축할 수도 있다   모든 사람의 정보 접속 기록을 수집 분석하라 안전한 정보 접근을 위한 시스템 구축 이후에는 사용자의 네트워크 및 어플리케이션 접속기록을 모두 수집, 보관 및 분석하여 사용자가 언제, 무엇을, 어떻게 사용하고 있는지 한눈에 볼 수 있도록 통합로그분석시스템을 통해 모니터링하여야 한다. 이는 동일사용자의 다중접속, 근무시간 외 접속, 중요문서 접근건수의 급증 등 중요정보 오남용을 빠르게 탐지, 차단하고 이상징후 사전파악을 통해 대응할 수 있도록 만들어준다. 내부정보유출방지는 유출 후 사후처리보다 유출 전 사전차단이 더 중요하기 때문에, 정합성을 체크할 수 있는 다양한 로그 즉, 프린터출력로그, 팩스전송로그, 출입카드로그 등 물리적 보안로그도 함께 수집, 분석하여야 한다. 이런 물리적 보안로그는 각각 시큐어프린터, 복합기제어시스템, 보안팩스, 출입관리시스템 등 단위 보안시스템으로 이미 시장에 도입되어 있다. 이미 적용되어 있다면, 통합로그분석시스템과의 연결을 통해 효율적인 물리적 보안체계로도 활용이 가능하다. 외부의 적보다 내부의 적이 무서운 것은 내부의 적은 보고자 하는 것, 필요한 것만을 골라서 볼 수 있다는 것이다. 또한, 그 행동에 대한 추적 및 적격 여부의 판단이 불가능하기 때문에 책임을 부여하기도 힘들다는 것이다. 따라서, 내부정보유출방지는 완벽한 보안체계구축과 더불어 보안의식을 향상을 위한 교육 등이 반드시 병행되어야 성공할 수 있다.   고객이 소중하다면 고객정보도 소중히 한편, 내부 정보 중에는 양날의 검이라 할 수 있는 것도 있다. 홈쇼핑이나 통신사, 포털, 병원 등이 보유한 고객 정보가 그것이다. 기업은 고객정보를 이용해 광고를 함으로써 매출 상승 효과를 거둘 수 있다. 그러나 고객 정보가 외부에 유출되면 기업의 신뢰가 실추되고 기업이 집단 소송에 휘말리거나 최악의 경우 회사 문을 닫아야 하는 경우도 생긴다. 최근 2,3년 동안 발생한 개인정보사고 중 소송금액이 천문학적이었던 경우는 옥션과 GS칼텍스 사건이었다. 옥션 같은 경우에는 1,570억 원의 배상소송이 걸렸었다.  만약, 이 소송에서 옥션이 패했더라면 더 이상 회사를 유지 운영할 수 없는 타격을 받으리라는 것은 누가 보아도 자명하다. 결국 정보를 유출시킨 회사는 존재하고 피해 입은 개인은 존재하지만 손해를 배상해야 하는 주체는 없는 모호한 경우가 되고 말았다. 하지만 앞으로도 이 경우처럼 회사에 유리하게 판결되리라 예상할 수는 없다.  그 이유는 그 동안 초미의 관심사였던 개인정보보호법이 지난 2010년 9월 30일, 발의된 지 2년 만에 국회 법안심사소위원회(이하 법사위)를 통과했기 때문이다. 법사위는 심사된 13개의 법안 대신 행정안전위원회의 대안을 제안하기로 했고 지난 10월7일 ‘개인정보보호법안(대안)’이 발표되었다. 현재 법 제정을 위한 작업이 진행되고 있으며, 2011년 내에는 개인정보보호법이 발효될 것으로 보인다. 개인정보보호법이 발효가 되고 나면 개인정보관련 소송이 활발하게 일어나 결국 배상 관련 소송이 일상화되어 지금 보다는 개인이 배상을 받아내는 데 다소 유리한 환경이 구축될 것이다. 끊임없이 터져 나오는 개인정보의 유출 사고 소식은 개인에게 “내 개인정보”에 대한 불안감을 높였고 개인정보보호에 대해서 그 어느 나라 국민보다 지대한 관심을 가지게 하는 촉매가 되었다.   도표에서 볼 수 있듯이 개인정보 유•노출 사고에 대한 민원이 ‘06년부터 급증하고 있으며, 그 중 많은 내용이 개인정보, 사생활 침해나 주민번호 도용에 대해 문의한 것을 알 수 있다. 기업은 더 이상 고객정보와 관련 과거와 같은 안일한 마인드를 가질 수 없게 됐고 만약 변화하지 않는다면 더 많은 민원에 시달리고 더 많은 소송을 당할 수 밖에 없다.  앞으로 기업이 고객정보에 대해서 가져야 할 자세는 명확하다. 고객에게 광고를 하고 이를 통해 이익을 얻은 만큼 고객정보의 유•노출 사고 방지에 많은 힘을 기울여야 한다. 말로만 고객이 소중하다는 것이 아니라 고객정보에 대해서도 소중하게 보관하고 있다는 사실을 명확하게 알리고 투자를 지속적으로 해야 한다. 그것이 개인정보보호법이 발표되는 현 시점에서 기업이 생존할 수 있는 기반임을 기업 경영자부터 몸 깊숙이 체득해야 한다. 그렇지 않다면 개인정보호법 또한 공염불이 될 가능성이 높다. 기업에서는 개인정보 책임자와 전문조직을 운영하고, 개인정보에 대한 영향평가 등을 자체적으로  실시하여야 한다. 또한 개인정보가 보관되어 있는 DB 및 활용하는 업무 시스템의 취약점 유무를 주기적으로 점검해야 한다. 이런 활동 후 새롭게 도입되는 PIMS(개인정보보호관리체계) 인증을 받는 것이 공식적인 보호체계 수립을 가지고 있고 기업의 의지를 천명하는 데 도움을 줄 수 있다. 현재도 많은 개인들은 “내 소중한 정보”를 가지고 있는 기업들에게 보이지 않는 목소리로 계속 외치고 있다. “고객이 소중하다면 제 정보도 소중하게 보호해 주세요. 그건 제 소유랍니다!” 최호용은… 안철수연구소 컨설팅팀 선임 컨설턴트로 관리적 컨설팅을 담당하고 있으며, 정보보호 및 개인정보보호 전반에 대한 관리적, 기술적 보호대책, 정보보안 정보화전략기획(ISP), 전사 위험관리체계 수립업무를 맡고 있다. 구형모는… 안철수연구소 컨설팅팀 선임 컨설턴트로 관리적 컨설팅을 담당하고 있으며, 경영정보 전반에 관란 위험 관리, 보안 부문의 측정 지표 개발, 정보보안인식 변화관리, 침해대응 프로세스 수립업무를 맡고 있다.