외주업체 직원을 통한 정보유출 사고가 끊이지 않는다. 사회 문제로까지 비화될 조짐이다.
이에 따라 아이디(ID), 비밀번호 등을 통한 관리자 인증 뿐 아니라 시스템 관리에 사용되는 PC를 보다 정교하게 관리하고 정보감사를 통해 정보유출을 막기 위한 프로세스가 제대로 돌아가는지 점검해야 한다는 목소리가 높다.
최근 발생한 KB국민카드, NH농협, 롯데카드 개인정보 유출사고도 외주인력의 부도덕성이 원인이었다. 예전과 마찬가지로 3개 카드사 역시 시스템 내부 사정에 밝은 외주업체 직원을 제대로 다루지 못해 큰일을 겪었다.
이에 따라 내부자 정유 유출에 대한 우려가 점점 고조되는 분위기다. 지난 2011년 농협 전산망 마비 사태 이후에도 기업/기관들의 허술한 관리는 크게 달라지지 않았다는 지적도 쏟아진다.■해킹보다 무서운 내부자 유출
보안전문가들에 따르면 외부에서 해킹을 통해 정보를 빼내거나 시스템을 마비시키려면 방화벽, IPS/IDS, 백신 등 몇 단계 보안장치를 뚫어내야 하는 어려움이 있다.
반면 외주업체직원을 포함한 내부자들은 여러 단계를 거치지 않고서도 보다 쉽게 정보를 유출할 수 있는 환경에 있다. 그런만큼 돈이 왔다갔다는 달콤한 유혹을 뿌리치기가 상대적으로 어렵다.
농협 전산망 마비 이후 한국인터넷진흥원(KISA)에서는 2011년 12월 'IT외주인력 보안통제 안내서'를 발간하고 사고 유형별 대응방안을 제시했다.
안내서에 따르면 해킹 등 외부자 공격대응 위주 대책 및 투자로 외주용역 직원을 포함한 내부자에 대한 보안위협 예방, 대응 관련 인프라 투자는 매우 미흡한 실정이다.
보메트릭이 글로벌 대기업 IT 관리자 700명을 대상으로 조사한 결과에 따르면 전체 응답자 중 27%만이 권한을 가진 사용자의 데이터 접근을 막기 위한 내부자 공격 대응 방법을 활용하고 있었다. 글로벌 기업들 사이에서도 내부자 관리는 쉽지 않은 셈이다.
■PC 관리 훨씬 디테일해져야
외주인력단말관리솔루션 'J-톱스'를 공급하고 있는 좋을 김영혁 상무는 기존 기업/기관들이 서버나 네트워크에는 굉장히 신경을 쓰고 있으나 PC는 제대로 관리하지 못하는 경우가 많다며 대개는 인증만으로 내부자를 관리하고 있다고 전했다.
예를 들어 사내 시스템에 접속할 수 있는 시스템 관리자, 일반 직원, 외주업체 직원 등을 ID, 비밀번호로만 관리한다는 것이다. 실제로 직원들이 어떤 시스템에 접속해 어떤 행동을 했는지 등에 대한 모니터링을 제대로 이뤄지지 않고 있다는 설명이다.
국내 기업들은 내부 전산시스템 개발, 관리 등의 업무를 외주업체에 맡기는 경우가 대부분이다. 최근 문제가 된 금융사 역시 직원을 채용해 시스템을 개발/관리하는 것보다는 외주업체에 맡기는 것이 비용절감차원에서 유리하다고 판단하고 있는 탓이다.
김 상무는 카드사 사건과 같은 외주업체직원을 통한 정보유출을 막기 위해 PC를 지금보다 훨씬 세부적으로 모니터링해야 한다고 강조했다.
그는 카드사 사건에서는 USB를 통해 유출된 것으로 확인된 만큼 누가 USB접근권한을 줬는지, 정보를 유출시킨 외주업체직원이 풀었다면 어떤 경로로 그렇게 된 것인지 등에 대해 알아야 한다고 말했다.
더구나 기업들이 IT시스템을 구축하기 위해 외주업체 직원에 대한 의존도가 높다는 점도 지속적인 문제가 되고 있다. 관행적으로 시스템을 구축한 담당자(외주업체직원)가 가장 잘 알 테니 그 사람에게 믿고 맡길 뿐, 오히려 내부 시스템에 대해 해당 회사 직원이 모르는 경우가 태반이라는 지적이다.
김 상무는 나름의 대안도 제시했다.
예를 들어 USB를 꼽지 말라는 정책을 내렸는데 세 번 연속으로 꼽으면 PC를 꺼지게 한다던가, 서버에 접속해 시스템 개발/관리 업무를 수행하는 직원이 파일 다운로드를 위해 FTP 전송 프로그램을 실행하면서 회사와는 관계없는 다른 외부 IP주소로 접속을 시도한다는 등의 행위를 모니터링해야 한다는 것이다.
김 상무는 현재까지 시스템을 마음대로 조작할 수 있는 관리자 계정에 대해서도 디테일을 봐야한다고 설명했다. 이런 권한을 갖고 있는 사람들을 지켜보고 관리해야하는데 이러한 체계 역시 제대로 갖춰지지 못한 경우가 많다는 것이다.
■회계감사 말고, 정보감사도 필수
외주업체직원을 포함한 내부자를 통한 정보유출을 막기 위해서는 해당 기업/기관들이 제대로 관리통제를 하고 있는지를 점검해 볼 필요가 있다.
이찬우 더존정보보호서비스 대표는 외주업체직원의 경우 그 사람이 언제, 어떻게 데이터를 들고 가는지 하나하나 기록을 남겨두고 실시간으로 모니터링해야 한다고 말했다.
이 대표는 코리아크레딧뷰로(KCB) 직원을 통해 정보가 유출됐다는 사실은 사건이 터지고 나서 거꾸로 추적해서 알게 된 경우인데 카드사에서 어떻게 갖고 나왔는지에 대해서는 여전히 구체적인 증거들이 나오고 있지 않다고 밝혔다. 카드사 고객정보가 어떻게 흘러다니고 있는지에 대해 정보감사가 필요하다는 설명이다.
관련기사
- 애플 사용자 정보도 유출?…진실 게임2014.01.17
- POS 단말기통한 고객정보 유출 조심하라2014.01.17
- 금융위, 카드사 정보유출 방지 대책 협의2014.01.17
- 카드 정보 유출 국민 '끙끙'…책임은 어떻게?2014.01.17
내부 보안 체계 점검, 개인정보 라이프사이클(생성, 보관, 이용, 파기), 외주업체관리체계 등에 대한 체계적인 정보감사가 필요하다는 지적이다.
이 대표는 또 정보감사를 통해 운영체제 이력을 확인해 하드디스크 교체 유무, 허가되지 않은 USB사용여부, 디지털포렌식을 통한 정보추적을 방해하는 '안티 포렌식' 행위 등도 모니터링 해야한다고 강조했다.