내부자 정보 유출, 보안업계도 대응 '분주'

[김국배기자] # 미국 국가안보국(NSA) 활동을 폭로한 에드워드 스노든이 정보를 감쪽같이 빼낼 수 있었던 이유는 보안시스템의 맹점을 활용할 줄 아는 전문가였기 때문이다(그에 대한 평가는 논외로 한다). 시스템 엔지니어 출신인 스노든은 미국 중앙정보국(CIA)에서 선임 자문관과 솔루션 컨설턴트, 정보통신 담당관을 지낸 대표적인 '권한을 가진 사용자'였다.

그는 영국 가디언지와 인터뷰를 통해 평소에 NSA 전체 정보 기관에서 근무하는 모든 인원 명부에 대한 완전한 접근 권한을 가지고 있었고 모든 스테이션의 위치, 다른 국가의 미션 등 전세계 자산에 대한 정보에 접근할 수 있었다고 밝히기도 했다.

최근 기업이나 기관의 보안에 있어 외부의 해킹 뿐 아니라 내부자가 또 하나의 큰 위협이 되고 있다. 얼마 전 SC은행·씨티은행의 개인정보 유출 사건에서 보듯이 국내에서도 내부자에 의한 고객 정보 유출이 점차 증가하고 있다.

데이터보안 기업인 보메트릭이 IT 관리자를 대상으로 진행한 '내부자 위협 보고서'에 따르면 전체 응답자 707명 중 금융권 종사자 139명의 41%가 내부자 위협에 취약하다고 응답했다. 또한 금융기관의 52%가 내부자 공격을 탐지·차단하는 것이 2년 전인 2011년에 비해 까다로워졌다고 답했다.

이문형 보메트릭코리아 대표는 "전반적으로 금융업계는 다른 업계보다 데이터 자체에 대한 접근을 통제하는 데이터 중심 보안을 실현하고 있지만 여전히 내부자 공격에 취약하다"며 "내부자 위협을 식별하고 방지하기 위해 정밀한 접근 제어를 사용하는 곳은 절반도 안 된다"라고 말했다.

그는 또한 "국내 금융업계도 지속적으로 공격의 대상이 되고 있지만 정작 내부 직원으로부터 비롯되는 단순한 정보 유출도 막지 못하는 상황"이라고 덧붙였다.

◆ 보안업계도 다양한 내부정보 유출 방지 방법 선보여

이런 가운데 보안업계에서도 개인정보보호 솔루션, 문서보안솔루션, 출력물보안 솔루션 등 내부자 위협을 통제하기 위한 다양한 솔루션을 내놓고 있다. 내부자의 정보 유출 문제를 비윤리적인 개인의 문제가 아니라 시스템의 문제로 접근하는 것이다.

특히 글로벌 보안업체 보메트릭은 '키 관리'의 중요성을 강조하고 나섰다.

암호화 솔루션을 도입하는 기업들은 늘고 있지만 암호화 키 관리는 미흡하다는 게 이 회사의 설명이다. 실제로 시만텍이 발표한 '2011 엔터프라이즈 암호화 트렌드 연구'에 따르면 기업이 불완전한 암호화 키 관리로 지출하는 비용은 1억2천400만 달러를 넘어섰다.

보메트릭 키 매니지먼트(Vormetric Key Management)는 엔터프라이즈 규모에 존재하는 암호화 키를 중앙 제어한다. 이는 키 관리만을 위한 별도의 하드웨어 시큐리티 모듈(HSM) 어플라이언스 형태로 제공, 암호화와 키 관리 영역을 확실히 구분하는 방식이다.

이문형 대표는 "암호화된 데이터의 암호 키는 데이터와 별도 위치에서 관리하는 것이 바람직하다"며 "암호화된 데이터와 이를 해독할 수 있는 열쇠인 암호 키를 동일한 장비에서 관리하는 것은 금고 앞에 비밀번호를 적어 놓은 것과 동일하기 때문"이라고 설명했다.

파수닷컴(대표 조규곤)도 PC 개인정보파일보안을 위한 피아이아이 매니저(PII Manager), 출력물 보안을 위한 파수 이프린트(FasooePrint) 등을 통해 내부직원에 의해 발생할 수 있는 개인정보 유출 위험을 줄이려 하고 있다.

닉스테크(대표 박동훈)는 내부정보유출방지 솔루션인 '세이프PC 엔터프라이즈'로 내부자의 정보유출 위험으로부터 중요 자산을 보호한다. 사용자 PC에 저장된 데이터가 미디어장치 등을 통해 뜻하지 않게 유출되는 것을 방지할 수 있다.

보안 솔루션 기업 좋을(대표 오주형)은 지난달 외주인력 관리에 특화한 솔루션 '제이탑스(J-TOPS)'을 출시하기도 했다. 외주인력에대한 행위를 실시간으로 탐지·강제 중지가 가능한 것이 특징이다.

회사 측은 이번 솔루션 출시를 통해 내부 IT 담당자와 동등한 권한이 있는 외주 인력에 대해 형식적인 행정에 의존했던 부분까지 관리 및 통제를 강화함으로써 내부 인프라 자원 유출을 방지하고 전사적으로 보안 수준을 향상시킬 수 있다고 설명했다.

이밖에 컴트루테크놀로지(대표 박노현)도 개인정보 필터링 기능을 탑재한 문서보안, 출력물보안 제품을 시장에 선보이고 있다.

이에 대해 보안업계 한 관계자는 "단순히 보안 시스템 구축 뿐 아니라 명확한 보안 정책과 사내 교육 프로그램 등 포괄적인 시스템을 갖추는 것이 중요하다"며 "정보 유출 문제가 발생했을 경우에도 처벌에 그치지 말고 재발 방지를 위한 시스템 보완이 필요할 것"이라고 조언했다.