IT·과학 산업 경제
정치 사회 문화·생활
전국 글로벌 연예·스포츠
오피니언 포토·영상 기획&시리즈
스페셜&이벤트 포럼 리포트 아이뉴스TV

'APT에 내부자 위협까지' 기업 정보보안 이중고

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

개인정보유출사고 전 금융권 강타

[김국배기자] 기업·기관들이 '안'과 '밖'의 보안 이중고에 시달리고 있다. 지능형지속위협(APT) 공격의 등장으로 외부 해킹 위협이 점차 커지는 가운데 내부자 위협까지 잦아져 기업들의 근심이 깊어지고 있다.

창원지검 특수부(부장검사 홍기채)는 지난 8일 NH카드·KB카드·롯데카드의 고객 정보를 불법 수집해 유통시킨 혐의로 개인신용정보회사 코리아크레딧뷰로(KCB)의 직원 A씨를 구속 기소했다.

이번 사태는 국내 카드사들의 고객정보 1억 건이 신용평가 업체 직원에 의해 유출된 역대 최대 규모 사건이다. 유출된 정보는 농협카드 2천500만 건, KB카드 5천200만 건, 롯데카드 2천600만 건이다.

김승주 고려대학교 사이버국방학과 교수는 "보안시스템으로 외부 공격을 막는 건 1차적이고 당연한 것"이라며 "미국 국가안보국 활동을 폭로한 에드워드 스노든 사건에서 보듯 내부에서 외부로 (정보가) 나가는 것을 막는 게 이슈"라고 말했다.

◆ 정보보호…밖에선 'APT 안에선 '내부자'에 시달려

외부 해킹과 내부자에 의한 정보유출은 기업 정보보안을 고민하는 사람이라면 가장 경계해야 할 요소이기도 하다.

지난해 금융·방송사를 대상으로 약 8천여억 원의 피해를 입힌 '3·20 사태' 이후 APT 공격 위협은 가장 신경 써야 할 기업보안 요소로 떠올랐다.

신수정 인포섹 대표는 "공격자가 달라졌다"며 "좀도둑이 설치던 암흑세계에 마피아가 들어온 격"이라고 표현한 바 있다. 과거 해커들의 수준이 아마추어에 머물렀다면 이제는 프로페셔널로 바뀌었다는 지적이다.

또 다른 위협으로 지목되는 내부자에 의한 보안사고는 전방위적으로 확산되며 기업들의 간담을 써늘하게 하고 있다. 개인정보 유출 사고는 보험사, 카드사, 은행까지 전 금융권을 강타하는 실정이다.

이번 카드사 개인정보 유출 사태는 개인신용정보회사 직원이 각 회사 전산망에 접근해 USB 메모리에 고객정보를 복사해 몰래 가지고 나가는 수법이었다.

지난해 12월 스탠다드차타드(SC)은행과 씨티은행에서도 13만 건의 개인정보가 유출되는 사고가 발생했고 이 역시 내부자 소행이었다. 씨티은행은 고위 간부가, SC은행은 IT 외주 용역업체 직원이 연루됐으며 이들은 프린터로 출력한 종이문서를 이용하거나 USB에 담아 정보를 외부로 유출했다.

한화손해보험(15만7000여 건)과 메리츠화재(16만여 건)도 고객 정보 유출 사건으로 이미 곤욕을 치른 바 있다.

김승주 교수는 이번 카드사 정보 유출 사태에 대해 "용역 직원 관리 소홀로 인한 유출이라는 점에서 SC은행·시티은행 사고와 유사한 면이 있다"며 "내부자 관리 소홀이 근본원인"이라고 지적했다.

그는 "언젠가부터 정보보호라고 하면 사이버보안만으로 국한시키는 경향이 생겼다"며 "물리보안은 총무부서나 시설관리과 등에 맡겨버리니 유기적 연계가 안 되는 것"이라고 꼬집었다.

◆ "보안등급 공시제 도입하자"

기업들의 정보보호 체계가 한 단계 진화해야 한다는 공감대 속에서 일각에서는 연이은 금융권 보안 사고를 두고 '보안등급 공시제'를 도입해야 한다는 목소리가 높아지고 있다.

신용평가기관에서 기업에 신용 등급을 매기듯 보안 등급을 나눠 적용하는 방식의 구체적인 대책 마련이 필요하다는 것이다. 보안을 못하는 곳을 나무라는 것이 아니라 잘하는 곳을 칭찬하는 접근인 셈이다.

더블 A부터 D까지 보안 등급을 나눠 높은 보안 등급을 받은 금융사에는 금융당국이 더 많은 혜택을 부여함으로써 '선의의 경쟁'을 불러 일으켜 보안 수준을 높이고 이를 통해 소비자는 보안 등급을 금리와 같은 은행 선택의 기준으로 삼을 수 있다.

임종인 고려대 정보보호대학원장은 "대형 보안사고가 터질 때마다 비난만 하고 곧 다른 이슈로 넘어갈 게 아니라 원인을 철저히 분석해서 당국에서 대책을 세우고 이행하는 것이 중요하다"고 강조했다.

그는 또한 "차세대 전투기를 평가할 때도 가격만이 아닌 성능평가가 중요한 것처럼 보안과 관련해서는 회사의 보안 수준, 직원윤리 수준 등 다른 조건을 따지도록 금융당국이 지도해야 한다"고 덧붙였다.

김국배기자 vermeer@inews24.com




주요뉴스


공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 'APT에 내부자 위협까지' 기업 정보보안 이중고

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기


뉴스톡톡 인기 댓글을 확인해보세요.



TIMELINE