최근 SG칼텍스 사건 등으로 내부자 보안에 대한 대책을 마련해야한다는 목소리가 높아지고 있다.
그동안 국내 보안시장을 주도해왔던 것은 해킹 및 바이러스 등의 외부침입에 효과적으로 대응할 방화벽, VPN 등의 외부침입 방지장치였다. 하지만 빈번하게 발발하고 있는 금융권 등에서의 횡령, 고객 DB유출 등 내부자 정보유출 사고는 해당 기업의 금전적 손실뿐만 아니라 고객의 불신, 기업이미지 하락 등 돈으로 환산할 수 없는 막대한 피해를 입게 된다.
또한 보안사고의 90% 이상이 의도적이라기보다 실수에 의해 저질러지는 경우가 대부분이며, 업계에서는 전체 보안사고 가운데 내부자에 의한 정보유출 비율이 약 70% 이상이라고 추정하고 있다. 이런 현실에서 더 이상 내부자에 의한 정보유출 사고를 ‘우리 식구니까 믿을 수 있다’는 안이한 생각으로 내버려둘 수만은 없는 것.
김대환 소만사 대표이사를 만나 GS칼텍스 사건 등과 관련한 국내 내부자 보안실태를 들어봤다..
▲ GS칼덱스 사건을 어떻게 보시는지.
GS칼텍스 사건의 가장 큰 특징은 내부 직원에 의한 의도적인 유출이라는 점이다. 이것은 해커가 원인이었던 옥션정보유출과의 가장 큰 차이점이다.
암묵적인 진실이라는 것이 있다. 누구나 다 알면서도 나서서 말하지 못하는, 무언가 불편함을 주는 진실이 암묵적인 진실이다.
보안업계에서의 암묵적 진실로 “큰 사고는 내부직원에 의해 일어난다”를 꼽을 수 있다. 그 진실에 대하여 이제까지 눈감아온 것이 GS칼텍스 사건의 한 원인이라고 할 수 있다. 상식적으로 생각해도, 정보접근권한이 있고, 정보의 금전적 가치도 알고 있는 내부직원이 일으키는 사고는 해커에 의한 침입보다 훨씬 더 심각할 수밖에 없다.
GS칼텍스는 너무나 유감스러운 사고이지만, 한가지 위안을 찾는다면 ‘내부자정보유출’이라는 불편한 진실(AN INCONVENIENT TRUTH)을 수면 위로 올려주었다는 것이다. 이번 사고를 계기로 내부자 정보유출은 고객정보보호의 주된 테마가 돼야 할 것이다.
▲ 내부자에 의한 보안 사고가 생기는 원인은 무엇일까.
개인정보보호에 관련된 기술적인 솔루션은 이미 상용화되어 있다. 세계 최고 수준이라고 해도 과언이 아니다. 다만 법적, 제도적 마인드와 기업의 의지가 낮다. 금융권, 포털과 통신업체의 개인정보보호수준은 높은 편이지만, 대량의 고객정보를 보유하고 있는 백화점,할인마트, 정유회사, 케이블TV 방송사 등의 개인정보보호 수준은 생각보다 낮다.
기술면에서는 DB접근통제와 모니터링을 담당하는 전문솔루션을 도입하지 않고 정보 유출채널 및 USB등의 미디어 통제를 실시하지 않고 있으며 조직적 면에서는 책임자와 담당자 등의 전담조직이, 직원 마인드 면에서는 고객정보유출이 범죄라는 인식이 부족하다.
GS칼텍스 경우를 보아도 콜센터의 28세 직원이 `복사, 붙여넣기`라는 단순조작으로 1천100만명이나 되는 개인정보를 아무 문제 없이 빼냈다.
한달동안 500회 이상 반복적으로 유출했음에도 기업이 몰랐다는 점은 고객정보유출에 아무 대비가 없었음을 보여준다. 또한 언론에 알려 정보의 가격을 올리고 집단소송을 유도해 법무법인과 돈을 나눠가지려 했다는 범행동기를 볼 때, 직원들의 도덕성과 보안의식교육이 부재했음을 알 수 있다. 고객정보유출이 심각한 범죄이며 사회적으로 큰 파장을 일으킬 일임을 실감하지 못하고 있었던 것이다.
지금 현재, 고객정보보호수준을 볼 때, 대형 사고가 재발할 확률은 매우 높다. 만약 사고가 재발한다면, 사회적 비난과 신뢰도 추락을 피할 수 없을 것이다.
▲ 그렇다면 내부 직원들만 단속하면 문제가 해결되나.
내부 직원에 대한 단속만으로 보안 사고를 100% 막을 수는 없다.
사회가 복잡해지고 정보양이 많아지면서 아웃소싱이 늘어난다. 이를 고객정보 측면에서 보면, 한 기업의 고객정보가 본사를 벗어나, 콜센터, 대리점, 영업점, 외주업체, 파트너사, 재택근무자 등으로 흩어지게 되는 것.
이는, 소속감과 충성심이 떨어지며, 근속연수도 짧은 직원들이 고객정보에 접근하게 됨을 의미한다. 따라서 협력업체에서의 정보유출에 대비하여야 한다. 권한관리를 철저히 해, 업무 관련 정보 이외에는 볼 수 없도록 차단해야 한다.
또한 GS칼텍스 사고의 의의 중 하나는 전국민에게 개인정보가 돈이 될 수 있으며, 기업협박수단이 될 수 있음을 알렸다는 것이다. 특히 집단소송을 유도하여 법인과 돈을 나누어가지고 회사를 협박할 생각이었다는 진술은 매우 충격적이라고밖에 말할 수 없다. 단순실수에 의한 유출에서 금전적인 목적의 고의적인 유출로 유출행태가 더 심각해지고 있는 것이다. 개인정보를 팔면 10억원의 이익을 취할 수 있다고 하더라도 흔들리지 않도록 마인드 교육을 철저히 하고, 사고를 끝까지 추적할 수 있는 시스템을 만들어야한다.
암호화는 외부자가 고객정보서버에 무단접근할 경우 막을 수 있는 기술적 보안대책이다. 외부해킹이 원인이었던 옥션의 경우, 암호화로 막을 수 있었을 것이다. 하지만 GS칼텍스 경우는 암호화가 효용성이 떨어진다. 콜센터 직원들은 암호화되지 않은 고객정보를 정당하게 열람할 권한을 지니고 있기 때문이다. 최악의 경우, 암호화를 풀 수 있는 권한을 지닌 DBA가 고객정보를 오용할 경우, 암호화는 방비책이 될 수 없다.
▲ 내부보안을 위한 정책적인 배려를 마련한다면.
GS칼덱스의 경우 2만건 이상의 고객정보를 1달간 반복적으로 열람했음에도 불구하고 아무런 경보가 없었다. 금융기관에서는 5건 이상 주민번호가 DB에서 빠져나가면 개인정보유출경계를 발동된다.
개인정보가 사내가 아니라 기업 외부로 전송된다면 1급 경고 대상이 된다. 지위고하를 막론하고, 규정건수 이상의 고객정보가 나간다면 반드시 기록하고 보안담당자에게 이메일이나 문자로 실시간 경고해야한다. 또한 직원들의 PC를 대상으로 파일을 주기적으로 스캔해서 규정을 넘어서는 분량의 고객정보가 있는지 검사하는 방법도 있다. 이 경우, 직원들에게 규정을 확실히 이해시키고, 규정을 어길 경우에만 관리대상이 된다는 점을 확실히 인지시키는 과정이 필요하다.
GS칼텍스도 옥션과 마찬가지로 대규모소송에 휘말릴 가능성이 높다. 기업이 사회적 의무를 행하지 않았다면 처벌을 받아야한다. 그러나, 개인정보유출을 돈벌이수단으로 보고 소송시장만 이상 과열되는 것은 옳지 않다. 그것은 GS칼텍스에 대한 마녀사냥인 동시에, 국내 정보보호수준에도 도움이 되지 않는 일이다.
지금은 어떻게 고객정보보호수준을 향상시킬 것인가에 대해 사회적인 합의점을 도출해야 할 시기다. 법적 제도적 뒷받침 하에서 기업이 조직을 정비하고 필요한 기술적 조치를 취할 때, GS칼텍스사고는 옥션사고와 함께 보안강국의 디딤돌이 될 것이다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr