‘가장 무서운 적은 내부의 적이다.’
기업에서 발생하는 컴퓨터 보안사고 중 많은 부분이 내부자에 의해 발생하는 것으로 나타났다고 월스트리트저널(WSJ)이 13일 보도했다.
일례로 기업이 믿고 있는 내부자들이 IT 관련 저장도구를 이용해 검색도 거치지 않고 정보를 유출할 수 있으며 상관의 컴퓨터에 접근하는 등 기밀 유출의 동기를 많이 갖고 있다. 게다가 IT업계의 아웃소싱이 확대되면서 내부자 범위도 아웃소싱 업체로까지 확대되고 있다. 대리점들도 새로운 정보 유출 ‘내부자’가 되고 있어 결코 고객 정보 유출의 안전지대가 아니라고 신문은 지적했다.
보안 전문가들은 이를 방지하기 위해 △아웃소싱 업체·대리점에 대한 엄격한 계약 △직원 채용시 정보 범죄 배경 조사(미국 은행업계) △신입사원에 대한 엄격한 교육(브리티시텔레컴) 등을 강조하고 있다.
◇보안 상황 정확히 파악해야=기업 직원들은 기업의 거래 비밀을 훔치고 고객들의 금융 기록을 팔거나 상사의 e메일을 엿볼 수 있다. 또 노트북PC를 보안에 신경 쓰지 않은 채 내버려두거나 극비 정보를 암호화되지 않은 e메일로 전송할 수도 있다. 고객 금융 기록은 아웃소싱을 담당하는 콜센터에 알려지고 제품 공급자들은 커스터마이징된 제품 디자인에 대한 접근을 공유한다. 더구나 내부자들은 자신들이 확보한 정보를 몰래 전달할 수 있는 인스턴트 메신저와 웹 기반 e메일 및 플래시 메모리 기기 등 도구도 많이 갖고 있다.
보안 전문가들은 기업이 직원들의 보안 범죄에 취약한 부분에 대해 정확히 파악해야 한다고 말한다. 또 기업이 내부자 보안 위협 요소의 목록을 만들어 정보를 빼돌릴 것 같은 가능성을 예상하고 피해 규모를 계산하라고 권고한다. 컴퓨터 시스템에 제한없이 접근하는 시스템 관리자들에 대한 감시체계 마련과 함께 고위급 직원들의 전직시 극비 사항을 다른 업체에 공개하지 않는다는 내용의 비공개 계약을 하는 것도 한 방법이라고 권했다.
아웃소싱 업체 대리점과의 별도 계약도 보안에 필수적이다. 인도 업체에 아웃소싱을 했던 유니시스는 고객 정보가 중국 기업에 넘어가 있는 것을 알고 경악했다. 인도 업체가 또다시 아웃소싱을 했기 때문에 발생한 일이었다.
◇대응책은=보안 전문가들은 회사의 컴퓨터 시스템을 관리하거나 컴퓨터 보안 관련 업무를 맡을 사람을 고용할 때는 그 사람의 배경을 점검하라고 권고한다.
미국에서 내부자가 컴퓨터 시스템을 잘못 사용해 발생한 23개 사건에 대한 지난 2004년 조사에 따르면 사건에 관련된 내부자 4분의 1은 범죄 기록을 갖고 있었다.
이에 대비해 미국 금융기관들은 올 연말까지 직원 고용시 사기 등으로 타 은행에서 해고된 적이 있는지 알 수 있는 DB를 선보일 예정이다. 또 보안 등급 분류 시스템을 설정하는 보안도 더욱 강화해 나갈 계획이다.
존 피런티 유니시스 컨설턴트는 3 이상 5 이하의 데이터 등급을 마련할 것을 제안한다.
이 밖에도 △보안의 중요성을 알리는 교육 훈련 프로그램 △시스템 관리자들이 시스템에 로그인할 때 ‘admin’이라는 아이디 대신 자신의 이름을 사용 △민감한 정보에 암호 적용 활성화 등도 권고됐다.
전문가들은 결국 중요한 것은 직원들과 여타 내부자들에게 규칙을 알리고 그것을 따르지 않는 데 대한 책임을 져야 한다는 사실을 분명히 인식시켜야 한다는 점이라고 지적했다.
정소영기자@전자신문, syjung@
관련 통계자료 다운로드 미국 기업들의 보안 사고 원인