[열린마당]정보유출 사고 막으려면

　국립공원 내 산장 예약이 인터넷으로 이루어지면서 인터넷을 이용할 줄 모르면 국립공원 숙박도 어려운 세상이 됐다. 국립공원 내 텐트 야영이 금지된 것은 오래됐지만 불과 3∼4년 전까지만 하더라도 전화로 예약할 수 있었다.

　또 예약 후 다른 사람이 대신 가더라도 산장에서 숙박이 가능했는데 이제는 예약 당사자는 물론이고 동행 예약자까지도 본인 확인 절차를 거쳐야 한다. 바뀐 내용이 많고 그 속도도 빨라져서 잠시 한눈 팔다 보면 쫓아가기 힘든 세상이다.

　최첨단 정보화 시스템을 기반으로 운영되고 있는 기업 및 기관 등에서도 기존 방식의 정보 유출 사고 외에도 새로운 유형의 정보 유출 사고가 반복되고 있다.

　도·감청 사건이 알려진 지 정확히 1년이 지났다. 국가기관이 휴대폰을 도·감청했다는 발표 내용이었는데, 유선 구간뿐만 아니라 기지국과 휴대폰 사용자 간의 무선 구간까지도 도·감청이 이루어졌다고 해 논란이 일었던 것이 작년 이맘때였다.

　그러한 도·감청에 대응하는 방안으로서 대기업을 중심으로 사내보안 시스템 강화에 나섰다. 회의실이나 임원실에 도·감청 방지장치를 설치하거나 자료 유출을 막기 위해 인터넷 메신저와 웹하드는 물론이고 외장메모리 사용까지 금지하는 등의 조치를 취하기도 했다.

　심지어는 음악을 틀어놓고 회의를 하거나 핵심용어는 필담을 통해 의사소통을 하는 등 낯선 방안이 거론되기까지 했다.

　그런데 1년이 지난 지금 당시의 대책과 원칙이 얼마나 잘 지켜지고 있는지 다시 한번 생각해 볼 때다. 외부 해킹뿐 아니라 내부의 기밀 유출 대책이 제대로 지켜지고 있는가.

　국내 기업의 핵심기술 유출 대부분은 내부직원 소행이라는 조사 결과가 1년 6개월 전에 발표된 바 있다. 기술 유출 시도의 70% 정도가 내부직원이 국내외 경쟁사로 옮기면서 빼돌리는 경우고, 현직사원이 기술을 유출시키는 사례도 늘고 있다.

　이는 신분에 불안을 느낀 직원들의 충성심 약화 때문이기도 하지만 기업의 허술한 보안 상태도 주요 원인으로 지적된다. 그 대책으로 적절하지 않은 사용자 접근 권한과 계정관리 아키텍처 부재 문제를 해소해야 하는 필요성이 제기됐다.

　그럼에도 불구하고 내부자의 기술 유출 비중이 더욱 증가하고 있는 추세다. 기업연구소의 21%가 최근 3년 내 산업기밀 유출 피해를 당한 적이 있고 그중에서도 대기업은 그 비율이 높으며 특히 연구개발투자 상위 20대 기업의 55%가 기밀 유출 피해를 당했다고 한다. 또 2003년부터 올해 6월까지 적발된 산업기밀 유출 72건 가운데 60건이 내부인 매수를 통해 이루어졌다는 통계를 보면 같은 유형의 정보 유출 사고가 반복된다는 것을 알 수 있다.

　왜 이렇게 같은 유형의 보안사고가 되풀이되는가. 사고가 발생할 때마다 떠들썩하게 보도되고 대책이 언급됨에도 불구하고 왜 근절되지 않는가. 지속적인 보안대책 수립 및 실시가 매우 중요하다고 말할 수 있다.

　사회생활 방식이 4∼5년 사이에 대폭 변한 점을 감안, 보안 관련 대책을 수시로 업데이트해야 한다. 또 새로운 방식의 정보 유출 시도도 막아야겠지만 기존 방식의 정보 유출은 더 철저히 방지해야 한다.

　그러기 위해서는 조직 내 보안문화를 완전히 정착시키든지 제도나 제품 도입을 통해 사고를 예방하는 것이 필요하다. 또 보안 관련 인증 획득과 실제적인 운용을 통해 보안마인드를 제고하고 보안 문화를 확립하며 보안 관련 사내규정 준수 등을 지속적으로 강조해야 한다.

　서버 기반 컴퓨팅 또는 신 클라이언트 시스템을 도입한다든지 무선랜용 주파수 선택차단 필름을 설치하는 것도 정보 유출을 방지하는 효과적인 방안이 될 수 있다. 보안사고가 반복되지 않도록 더욱 유의해야 할 시점이다.

◇백태종 에이쓰리시큐리티컨설팅 사장 tjb@a3sc.co.kr