"해커뿐 아니라 내부자에 의한 개인정보 유출도 적지 않게 발생한다. USB, 출력물, 네트워크, 노트북, 스마트폰을 통한 내부자의 무단 반출 혹은 유출 방지 투자도 공공기관 공공기관 중심으로 더 확대돼야 한다."
임환철 소만사 상무는 25일 서울 코엑스에서 열린 '디지털 플랫폼 정부진단 및 추진방향 컨퍼런스' 발표자로 나서 이같이 말했다.
임환철 상무는 최근 개인정보 유출 사고를 살펴보면, 랜섬웨어를 통한 데이터 위·변조와 함께 개인정보 유출까지 병행하는 이중 협박 사례가 증가하고 있다고 지적했다. 랜섬웨어와 같은 해킹 공격뿐 아니라, 내부자 실수로 인한 개인정보 오·남용도 증가하는 상황이다.
외부자에 의한 해킹의 경우 주로 악성 링크가 담긴 이메일을 유포해 내부자 권한을 확보하고, 이를 토대로 서버 데이터를 외부에 전송하는 단계를 거친다. 임 상무는 "해커의 데이터 유출 경로는 오직 웹"이라며 "PC에서 인터넷으로 데이터를 옮기든, 웹서비스 망에서 옮기든 최후의 마지노선인 웹에 대한 보안을 반드시 사수해야 한다"고 강조했다.
임 상무는 해커의 내부 정보 유출을 통제하기 위한 다양한 보안 솔루션을 사용할 수 있다고 했다. ▲침투 단계를 저지하는 이메일 보안, 웹 유해 사이트 접속 차단, 망분리 제품 ▲해커가 내부 권한을 획득하지 못하게 하는 백신과 엔드포인트 탐지 및 대응(EDR) 제품 ▲데이터를 보호하는 데이터베이스(DB)접근통제 및 암호화, 개인정보 처리 시스템 접속 관리 ▲웹 데이터유출방지(DLP) 등을 언급했다.
해킹 공격을 막는 다양한 보안 솔루션이 있는 반면, 내부자의 정보 유출에 대해서는 체계적인 전략을 수립하기 어려운 편이다. 유출 채널이 USB, 프린터, 블루투스, SNS, 와이파이 등 매우 다양해 데이터 통제가 쉽지 않기 때문이다.
임 상무는 "금융기관의 경우 엔드포인트 DLP, 네트워크접근제어(NAC) 등 대응 솔루션을 사용해 내부자 정보 유출을 방지하는 편이지만 상대적으로 공공기관은 내부자 개인정보 반출, 유출에 대한 투자가 미흡하다"고 지적했다.
임 상무는 보안 전략을 수립하는 과정에서 흔히 놓치는 부분들도 짚었다.
먼저 DB 암호화, 파일 암호화의 경우 해커가 복호화 권한을 확보한 상태라면 완전한 보안 대책이 될 수 없고, 보완 솔루션을 사용해야 한다고 했다.
클라우드가 내부망보다 보안이 우수하다는 인식도 실제와 괴리가 있다는 의견을 밝혔다. 엔터프라이즈 클라우드 환경에서 발생한 보안 사고에 대해 클라우드서비스제공자(CSP)는 책임을 지지 않고 있어 사용자가 보안 서비스를 직접 구매하고 적용해야 한다. 그러나 고객 서비스망은 외부에 공개돼 있어 해킹공격 발생 위험이 높다. 이런 점을 고려할 때 클라우드 환경에서 대규모 개인정보 유출 사고 발생 가능성이 높다고 강조했다.
관련기사
- [2023 디미혁] "AI는 도구일 뿐...활용 방법 찾아라"2023.09.25
- [2023 디미혁] 크래프톤정글 "기본기 탄탄하며 함께 일하고 싶은 개발자 양성"2023.09.25
- [2023 디미혁] "유망 스타트업 지원사업, 올해 300개 스타트업 몰려"2023.09.25
- [2023 디미혁] ICT 리더 "향후 5년이 韓 디지털 강국 50년 좌우"2023.09.25
개인정보의 자산 식별과 파기가 쉽지 않다는 점도 강조했다. 임 상무는 "수많은 기관들과 프로젝트를 진행하고 실사한 결과, 예상보다 훨씬 많은 개인정보가 기관에 존재했다"며 "잘못 저장되고 파악되지 않은 개인정보 찾아서 주기적으로 지우고 꾸준히 지속적으로 이런 노력을 해야 한다"고 말했다.
임 상무는 "개인정보 보호 조치의 마지막 통제선은 유출 통제이고, 특히 해커의 유일한 유출경로는 인터넷"이라며 "웹에 대한 통제가 가장 효과적인 만큼 웹 DLP와 논리적, 물리적 망분리가 강조되는 이유"라고 말했다.