미국 SEC "고객 정보 클라우드에 저장 시 보안 위험"

"충분한 보안 설정·벤더사 감독·데이터 분류 필요"

컴퓨팅입력 :2019/06/17 11:54

미국 증권거래위원회(SEC)가 네트워크로 접속하는 스토리지 솔루션에 고객 정보를 저장하는 금융 기업에 보안상 위험성을 경고했다.

고객 정보를 저장한 네트워크 결합 스토리지(NAS), 데이터베이스(DB) 서버, 클라우드 스토리지 계정 등에 잘못된 보안 설정, 충분치 못한 벤더사 감독, 중요도를 감안하지 않은 데이터 분류 등으로 인해 데이터 유출이 발생할 수 있다는 것이다.

스토리지 솔루션은 데이터 보안을 위해 암호화, 무단 접근 방지 등 기능을 제공하지만, 기업들이 이용할 수 있는 보안 기능을 항시 사용하지 않는다고 지적했다.

미국 지디넷은 SEC 산하 규정준수조사국(OCIE)이 최근 조사 결과에 따라 이같은 내용을 담은 주의문을 지난달 발송했다고 보도했다.

OCIE는 기업이 스토리지의 보안 설정을 잘못 구성해 고객 데이터에 대해 무단 접근할 수 있는 허점을 만들 수 있다고 우려했다.

조사 결과 일부 기업이 스토리지에 올린 데이터에 무단 접근을 막는, 적절한 보안 조치를 구성하지 않았다는 점도 밝혀냈다. 스토리지의 보안에 대한 정책과 절차를 갖추고 있지 않은 경우도 있었다.

기업이 스토리지에 대해 충분한 감독권을 지니지 못한 점도 문제 삼았다. OCIE는 스토리지 벤더사가 제공하는 정책이나 절차, 보안 설정, 계약 조항 등에 대해 기업이 자사 기준에 따라 구성됐는지 확인하지 않은 경우가 있었다고 언급했다.

기업이 스토리지를 활용하는 데 있어 데이터 분류 정책과 절차가 불충분하다는 지적도 나왔다. 조사 기업 중 일부는 데이터의 민감성에 따른 분류와 접근 제어를 설정하지 않았다. 민감한 정보와 그렇지 않은 정보가 함께 개방된 시스템에 저장될 수 있다는 것이다.

OCIE는 기업이 스토리지를 사용할 때 보안 기능, 벤더사에 대한 감독, 데이터 분류에 대한 구성 관리 프로그램을 통해 이런 보안 위험을 줄일 수 있다고 제안했다.

구체적으로는 스토리지 도입 이후 지속적인 유지보수와 정기적인 점검이 이뤄질 수 있도록 정책과 절차를 구성하고, 기본적인 보안 구성과 제어에 대한 표준 지침을 마련할 것을 권장했다.

아울러 벤더사의 소프트웨어 또는 하드웨어 업데이트가 의도치 않은 보안 구성 수정, 약화를 유발하지 않도록 검토하는 것도 당부했다.

미국 지디넷은 "보안 연구자들에 따르면 지난 3~4년간 주요 기업들의 데이터 유출은 대부분 DB와 클라우드 스토리지에 적용된, 잘못된 설정에서 비롯됐다"며 "현명한 기업은 네트워크 스토리지 상에 적절한 보안 구성을 설정하는 것 외 백업 목적으로 오프라인 스토리지 시스템도 사용할 것"이라고 언급했다.

[사진:픽스타(PIXTA)]

SEC이 이번 주의문을 통해 언급한 보안 이슈들은 국내 정부기관에서도 강조하는 사항들이다. 한국의 금융관련 보안규정은 금융사의 클라우드 서비스 이용을 제한해 왔다가 올초 가능한 영역을 넓히는 쪽으로 개정됐다. 운영환경의 감독과 중요도를 감안한 데이터 분류 조치 등을 강조하고 있다.

지난 1월부터 시행된 '금융 분야 클라우드컴퓨팅서비스 이용 가이드'에서는 금융사가 보안, 비상, 백업 대책 등을 수립해 운영하고, 보안 점검을 실시해야 한다고 언급하고 있다.

관련기사

또 클라우드 서비스 이용 계약 체결 시 금융사의 클라우드 서비스 이용 관련 금융당국의 검사, 감독이 원활히 수행될 수 있도록 데이터 처리 위치, 비상·침해사고 대응 훈련, 취약점 분석 평가, 데이터센터 등 현장방문 등에 대해 협조할 의무를 명시하게 했다.

이와 함께 이용 대상 정보처리업무의 중요도 평가를 수행해야 한다고 명시했다. 고유식별정보, 개인신용정보 등 중요정보가 포함되는지를 판단하는 평가다. 중요정보가 포함될 경우 국내 소재 데이터센터에만 이전할 수 있도록 제한하고, 이용 현황에 대한 보고 의무, 계약서 상 법적 책임 명시 의무 등을 의무화했다.