■ 기업 데이터 유출의 심각성

우리는 최근 GS칼텍스 사건 등을 겪으면서 기업 데이터 유출의 심각성을 몸소 경험하고 있다. 기업 데이터 유출은 전체 유출 사례의 70%는 내부자(직원, 퇴직자 등)에 의한 소행으로 2004년 이후 사고 발생 건수는 1700% 이상이나 증가했으며, 미국 내 데이터 2건당 1건이 위험에 노출돼 있다는 조사 자료가 있다. 이동식 매체인 USB, 노트북 등 모바일 기기 사용의 폭발적 증가는 향후 가장 큰 보안 이슈가 데이터 유출임을 전망하게 한다. 그런 이유로 각 기업의 최고정보보안책임자(CISO)들은 데이터 유출 방지를 0순위의 해결과제로 놓아야 할 것이다.

■ 그에 따른 정부의 역할

우선 기업은 사고 발생 시 유출 사실을 공시해야할 의무가 있다. 하지만 우리나라의 경우 아직 그러한 산업정보보호 법제화가 마련돼 있지 않다. 미국의 경우, 현재 38개주에서 산업정보 법제화로 강제적으로 사고 발생 시 기업들은 공시해야 하는 의무가 있다. 우리나라는 이에 비해 세계적인 IT 인프라를 구축하고 있지만 그런 부분에 있어서는 미흡한 편이다. 산업정보보호 법제화 미흡에 따른 기업 데이터 유출 시 우리는 이미 주가하락과 고객이 떠나는 현상 등을 경험했다. 이에 따라 각종 규제 준수의 필요성이 증대돼야 하겠다.

■ 기업의 솔루션 대책

기업 데이터는 크게 ▲ 노트북의 분실ㆍ도난 ▲ 무분별한 외부 저장매체 사용 ▲ 메일, 웹을 통한 데이터 유출 ▲ 권한 남용을 통한 데이터 유출 ▲ 인쇄, CD-ROM 등 매체를 통한 유출 ▲ 애플리케이션 해킹으로 데이터 유출 ▲ 트로이목마, 키로거 등에 의한 위협 받고 있다고 꼽을 수 있다. 업체들은 이들 중 귀사를 위협하고 있는 요인이 무엇인지를 파악하고 그에 따른 솔루션 도입을 해야 할 것이다.

■ 기존 보안솔루션이 지닌 한계

보안을 위해선 시시각각으로 변화하는 해킹 등 기술에 따른 새로운 솔루션이 필요하다. 하지만 기존 보안 솔루션들은 한계를 가지고 있는 것이 사실이다. 그것은 대부분의 보안 솔루션은 네트워크 및 서버를 보호하고 정보의 기밀성을 보호하지 않는다거나, 정보 라이프사이클 내내 끊임없이 유통되는 속성(끊임없이 기업 네트워크 경계와 내부 서버 리소스 간을 이동하는 것) 때문에 통제하기 어렵다는 등의 한계다. 물론 극히 일부 기능들이 정보의 기밀성과 무결성 보호에 관여하기도 한다. 그리고 무엇보다 가장 취약한 것은 가장 중요한 자산인 ‘데이터’는 보호하지 않는다는 점이다. 이에 따라 데이터 보안에 있어서의 새로운 사고방식이 요구된다.

■ 데이터 보안솔루션의 미래

시스템 중심의 보안 기술로써 인증(Authentication) 및 액세스 제어(Access Control)를 적용하고 있으나 이는 불충분하다. 항상 이동하는 기업 데이터를 적절히 감시ㆍ제어하기 위해 보안 솔루션도 데이터 이동에 따른 지속적인 보호가 필요하다. 앞서의 언급처럼 기존 보안솔루션이 가진 취약점 등을 극복한 제품일 것이다. 아울러 거기에 지나친 관리 비용이나 정보가 이동ㆍ공유되는 과정에서 데이터 이동 모니터링, 제어의 일관성이 단절돼 비즈니스 프로세스 상 단절이 일어나는 것을 극복해야 한다. 한마디로 미래의 데이터뿐 아닌 모든 보안솔루션은 지속적이면서 포괄적인 보호 수단으로 활용되어야 할 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>