| [DB보안-1]GS칼텍스 사건을 통해 본 DB 보안 | 2008.11.17 | ||
물리적 보안에서 윤리적 보안으로 보안트렌드 변화
GS칼텍스 사건, 미연에 방지할 수 있었다 2008년 하반기 발생한 GS칼텍스 개인정보 유출사고는 올해 빼놓을 수 없는 보안이슈다. 더구나 이 사건이 올해 상반기 옥션 개인정보 유출사고와 크게 변별되는 점이 있다. 단적으로 이 사건들의 가장 큰 차이는 내부자에 의한 것이었느냐, 외부자에 의한 것이었냐는 것이 바로 그것이다. 기존 옥션 사건이 외부자에 의해 발생한 것에 비해 GS칼텍스 사건은 DB 접근권한이 있는 내부자의 고의적 행동으로 유출됐다는 점에서 DB 보안의 중요성을 다시금 인식시켜 준 결적정인 사건이었다는 점에서 더욱 그러하다. 하여 이번 기획글에서는 올 하반기를 강타한 GS칼텍스 사건과 관련한 DB 보안에 대한 이야기를 풀어보고자 한다. - 편집자 주 - <순서> 1. GS칼텍스 사건을 통해 본 DB 보안 2. 정부, 내부정보유출의 중요성 인식하다 3. 내부정보유출솔루션의 정립 및 소개 4. DB관리와 DB보안의 문제점 5. DB보안, 왜 필요한가?
2008년 하반기 GS칼텍스 개인정보 유출사건은 대량 고객정보를 획득하고 있는 기업 등에게 개인정보의 중요성은 물론 DB 보안의 중요성을 인식하는 도화선이 됐다. 이번 GS칼텍스 사건은 과거 보안 솔루션 등의 외부 요인의 중요성마저도 내부 보안마인드의 중요성으로까지 변화시키는 등 보안트렌드 마저 바꾸어 놓았다. 이번 기획글을 통해 DB 보안의 중요성은 물론 그것이 실제 우리 생활에서 얼마만큼의 역할을 하고 있는 지를 이제부터 알아보도록 한다. 그러기 위해서 GS칼텍스 사건의 정보유출과정을 살펴봄으로써 왜 DB 보안이 중요한 사회적 이슈로 부각됐는지를 유추해 보도록 한다. ■ GS칼텍스 사건, 무엇이 문제였나? 약간의 차이는 있겠지만 GS칼텍스 사건의 정보유출과정은 다음과 같이 추론해 볼 수 있다. ▲ DB에 있는 고객정보를 PC에 있는 DB정보를 읽기 위해 필요한 PC프로그램인 쿼리툴을 사용 다운로드 ▲ 그러한 다운로드를 2만 건씩, 5~6백번에 걸쳐 작업 반복 ▲ 고객정보 엑셀프로그램에 복사해서 붙임(단, 2만 건씩, 5~6백번에 걸쳐 붙일 수도 있고 한 번에 천백만 건의 정보를 붙였을 수도 있음) ▲ 엑셀 내 고객정보를 DVD 6장으로 옮김 정말이지 간단하기 짝이 없는 과정이랄 수 있겠다. 그렇다면 이 문제를 미연에 방지하는 방법 역시 간단할까? 여기서 한 가지 의문을 제기할 수 있겠다. “만약 DB를 빼가지 못하도록 암호화한다면 이 문제는 간단하게 해결되지 않았을까?” 하지만 암호에 대한 패스워드 즉 복호화키를 지닌 내부자가 암호를 풀어버린 후 다운받는다면 내부자에 의한 유출의 경우 암호화는 해답이 아니다. ■ DB 보안 철저했더라면 하는 아쉬움 남아 이에 이정원 소만사 과장은 GS칼텍스의 내부정보는 다음 프로세스로 보안했어야 한다고 지적했다. ▲ 개인정보 보관 스캐닝 툴을 활용해 주기적으로 직원 PC 내 개인정보를 검색해 중앙에서 관리했다면 DB 내 고객정보를 PC에 있는 쿼리툴을 이용해 다운로드할 수 없었을 것이다. ▲ 주민번호, 전화번호 등의 정보가 허용량 이상 나갈 때는 보안담당자에게 실시간으로 문자나 이메일 등을 보내 알려주는 시스템 보안이 이루어졌다는 2만 건씩이나 되는 고객정보를 5~6백번에 걸쳐 반복해 다운로드할 수는 없었다. ▲ 쿼리툴에서 외부 프로그램으로의 정보복사차단시스템을 활용했다면 내부자가 쿼리툴을 이용해 엑셀프로그램으로 복사하는 것을 원천적으로 방지할 수 있다. ▲ 고객정보를 볼 수 있는 직원의 경우 USB와 DVD에 쓰기 차단을 적용하고, 쓰기를 허용했을 경우라도 이 모든 내용을 기록화 했다면 엑셀내 고객정보를 DVD 6장으로 옮기는 것을 막을 수 있다. ■ GS칼텍스 사건으로 배운 4가지 교훈 즉 위의 대안은 모두 DB 보안과 관련된 것으로, 이 외에 우리는 이 사건을 통해 다음 4가지 사항을 배울 수 있다. ▲ 가장 위험한 정보유출은 해커가 아니라 내부직원에 의해 발생한다. 특히 콜센터관리 협력업체 직원에게 너무 많은 권한을 부여했지만 그에 따른 관리는 이루어지지 않았다. 콜센터 직원은 전체 DB를 볼 수 없어야 하며, 주기적으로 직원이 얼마나 많은 개인정보를 보유하고 있는지 체크해야 한다. ▲ 내부권한자의 소행이기에 암호화는 대안이 될 수 없다. GS칼텍스는 이 사건에 대한 해결책으로 고객정보 DB를 암호화한다고 했다. 하지만 앞서서의 언급처럼 암호화로 이번 사건과 같은 제2, 제3의 사건이 방지되는 것은 아니다. 콜센터 직원, 즉 내부자에게는 암호화하지 않은 고객정보를 제공해야만 하기 때문이다. 암호화는 해커가 침입해서 정보를 도난할 때 유용한 방법이 될 수 있다는 것 역시 간과해서는 안된다. ▲ 직원대상 보안교육, 보안서약서 작성만으로도 막을 수 있는 사건이었다. 범인들은 이 사건이 이렇게 사회적으로 큰 파장을 일으킬 줄 몰랐다고 했다. 이는 고객정보 유출사건의 심각성에 대해 모르고 있었다고밖에 볼 수 없다. 즉, 기업이 주기적으로 내부직원 대상 교육을 실시하고 유출이 심각한 범죄임을 알렸더라면 막을 수 있는 사건이었던 것이다. ▲ GS칼텍스 사건처럼 정보유출사실조차 파악하지 못해서는 안 된다. 혹시라도 유출되었다 할지라도 기업은 가능한 빨리 알아야 한다. 빨리 알게 되면 정보가 악용되거나 방치되는 것을 막을 수 있기 때문이다. ■ 그에 따른 향후 DB보안 시장 동향
특히 기존에는 금융, 통신을 중심으로 형성되었던 시장이 홈쇼핑, 정유업체, 백화점, 대형학원 등 고객정보를 많이 보유하고 있음에도 보안에 대한 투자가 없던 기업군으로 확대되고 있는 것이 괄목할 만한 사항이다. 옥션사고 이후 바로 터진 GS칼텍스 사건으로 인하여 위기의식이 확산, DB보안 등 개인정보를 보호할 수 있는 제품에 대한 적극적인 구입은 2009년에는 DB보안시장이 최소 2배 확대되리라는 것이 DB 보안업계의 예상이다. 또한 DB 보안업계는 앞으로 DB보안시장은 정보량이 점점 많아지고, 유출경로가 복잡화되는 추세에 따라 ‘업무효율성을 얼마나 유지할 수 있느냐’, ‘대용량 정보를 얼마나 잘 처리할 수 있느냐’가 중요 선택기준이 될 것으로 전망하고 있다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
