최근 발생한 카드회사 개인정보 유출사건을 계기로 외주 아웃소싱 인력에 대한 통제 솔루션이 주목받고 있다. 보안사고가 발생한 이후 사후 추적을 하는 게 아니라 보안상 허가된 회사 정책을 통해 사전에 차단하는 소위 `화이트리스트` 솔루션이다.
12일 업계에 따르면 상당수 카드회사 등 금융권은 외주 보안인력이 회사 주요 서버 및 데이터베이스에 접근할 수 있는 루트 권한을 부여하고 있다. 이 때문에 회사 관리자가 외주인력의 부당한 행위를 실시간으로 제어할 수 있는 체계가 미흡하다는 게 전문가들의 지적이다.
보안업체인 `좋을`이 개발한 제이탑스(J-TOPS)는 외주인력 관리를 위한 전용 제품이다. 서버와 네트워크에서 통제가 가능한 솔루션과 달리 외주인력의 PC·노트북을 직접 감시·통제할 수 있다. 특히 이번 카드회사 개인정보 유출에 사용된 USB도 통제할 수 있다.
김영혁 좋을 상무는 “이번 사건은 외주인력이 DB접근권 등 많은 권한을 갖고 있었다는 게 문제”라며 “보안 정책은 있었으나, 이를 실행하는 방법에서 허점이 있었다”고 분석했다. USB 포트에 대한 보안정책이 사전에 적용됐어야 한다는 것이다. 이 제품은 현재 우정사업정보센터 한국지역난방공사 동북아역사문화재단에 공급돼 있다.
와우소프트가 개발한 `핵심정보 유출 방지솔루션`은 개인정보 필터링 기능과 출력물 보안 솔루션을 통합한 게 특징이다. 문서파일의 생성부터 출력까지 문서 라이프사이클을 감시해 문서 및 출력물이 외부로 유출되는 것을 예방한다. 개인정보 포함 파일은 관리자에게 알림 메시지를 전송하고 파일의 강제 격리, 완전 삭제, 로그 암호화 기능을 수행한다.
출력물 보안 시스템은 관리자의 전자결재 시스템을 통해 사전승인 후 출력할 수 있도록 한다.
배종상 와우소프트 대표는 “전반적으로 금융 업계는 고객정보 유출에 더욱 민감하다”며 “몇몇 금융권에서는 데이터 자체에 대한 접근을 통제하는 데이터 중심 보안을 실현하고 있지만 여전히 내부자 공격에 취약하다”고 말했다.
김원석기자 stone201@etnews.com
