현대인들은 의도적이든 아니든 누구나 데이터 침해를 야기할 수 있다. 거의 모든 위치에서 이루어지는 데이터 액세스, 작업, 저장 및 전송을 통해 컴퓨팅이 확산되기 때문에 ‘나쁜 의도를 가진 사람들’뿐만 아니라 평범한 사람들로부터도 데이터 보호는 필수적이다. 즉 언제, 어디서든 나를 스치가는 모든 사람들로부터 내 정보를 지키기 위해서는 보안에 대비해야 한다. 

무엇으로부터 우리 시스템과 데이터를 지키고 있는지를 말하기는 쉽다. 그러나 누구로부터 지켜야 하며, 누가 우리 사업에 가장 큰 위협이 되는지를 정확하게 말하기는 어렵다. 

올해 세상을 떠들썩하게 했던 모 정유사의 고객정보 유출 사건은 물론 악의적인 목적을 가지고 저지른 의도된 행위였다. 하지만 6백만 건 이상의 고객정보가 유출된 모 통신회사의 경우는 내부직원의 통상적인 업무처리 과정에서 보안사고가능성의 심각함을 인식하지 못하여 발생한 우발적인 사례라고 할 수 있다.   

이처럼 의도적이든 아니든 누구나 데이터 침해를 야기할 수 있다. 거의 모든 위치에서 이루어지는 데이터 액세스, 작업, 저장 및 전송을 통해 컴퓨팅이 확산되기 때문에 ‘나쁜 의도를 가진 사람들’뿐만 아니라 평범한 사람들로부터도 데이터 보호가 필요하다.

왜냐하면 누구나 실수를 저지르기 때문이다. 어쩌면 이번 한 번만 어겨도 무방하다고 생각할 수 있다. 그러나 사업에 위협적인 데이터 침해는 단 한 번의 사건으로 일어난다.

일반 직원들의 무단 복사로 정보유출

데이터 유출 사건의 대다수는 일반 직원들이 무단으로 데이터를 디스크나 장치에 복사하여 발생한다. 이러한 일은 쉽게 이루어지며 그 대부분은 죄의식 없이 행해진다. 그러나 이것이 바로 침해로 이어지는 첫 단계라는 것을 명심해야 한다. 

체크포인트는 2007년 11월에 영국 공공 및 민간 부문 회사의 IT 관리자와 책임자 140명을 대상으로 조사를 실시한 바 있다. 응답자의 73%가 자사 IT 보안 정책에서 USB 드라이브 사용 같은 데이터 보호 문제를 다룬다고 말했다. 그러나 절반 이하는 이러한 정책이 실제로 실시되도록 하는 솔루션, 예를 들면 데이터 암호화나 포트 제어 등은 갖추고 있지 않았다.

사람들이 데이터를 계속 복사하는 것은 당연한 일이다. IT 솔루션을 사용하여 정책을 적극적으로 실시하지 않는다면 데이터 유출은 계속될 것이다.

또 잦은 해외출장으로 미국을 다녀오는 사람들 중 이미 불편을 경험한 사람들은 잘 알고 있듯이 미국 국토안보부는 미국에 입국할 때 합당한 사유가 없더라도 국경 사무관들이 노트북 컴퓨터, 블랙베리(Blackberry), 스마트폰 또는 기타 디지털 장치에 있는 파일을 검색할 수 있도록 승인했다.

미국 국토안보부의 규정에 따르면 국경 관리들은 데이터, 또는 컴퓨터 전체를 가져다가 원하는 것을 복사하고 이 데이터를 다른 기관과 공유할 수 있도록 허용하고 있으며 물론 데이터가 의심스럽지 않을 경우 복사된 데이터를 폐기한다는 지침은 있으나 이것을 믿을 수 있을지는 의문이다. 

또 공항 내 출발 라운지에 있는 인터넷 정보 안내 시스템과 단말기는 많은 비즈니스 여행자들에게 대단한 유혹거리가 된다. 오랜 비행에 앞서 이메일을 확인하거나 마지막 순간에 중요한 프리젠테이션을 변경할 수 있는 기회이기 때문이다.

그러나 컴퓨터 사용을 마치면 그 사람 사용한 민감한 데이터는 어떻게 될까? 실제로 데이터가 메모리에서 영구적으로 지워졌을까? USB 메모리 스틱을 두고 오지는 않았을까? 안전하지 않은 PC에서 이러한 데이터가 처리될 경우 이것이 회사의 보안 정책에 시사하는 점은 불을 보듯 훤하다. 이러한 큰 위험을 감수하는 사람이 회사의 최고 경영자인 경우도 간혹 있기 마련이다.

누군가 어깨 너머로 훔쳐 볼 수도 있다

데이터를 도난당할 수 있는 컴퓨터 경로를 차단했다 하더라도 단순히 보고 읽는 것만으로도 데이터를 훔칠 수 있다는 사실을 명심해야 한다. 비행기를 타고 가는 동안 옆 사람이 컴퓨터 화면에 나타난 중요한 프리젠테이션을 읽을 수 있으며 만약 그 사람이 중요한 사업에서 실제로 경쟁 관계에 있는 사람이라면 쉽게 간과할 수 있는 문제가 아니다. 물론 발생 가능성이 적더라도 누군가가 어깨 너머로 엿보는 사람이 있다는 것을 잊지 말아야 한다.

이 외에도 가정용 PC나 노트북 PC에 문제가 생기면 어떻게 하는가? 하드웨어 수리일 때는 악의가 있든 없든 개인용 또는 업무용 데이터가 복사되지 않도록 하드 드라이브는 떼어 두고 노트북 컴퓨터만 수리를 맡겨야 한다. 드라이브 자체가 문제일 때는 수리를 맡길 사람을 선택할 때 신중해야 한다. 그래도 데이터가 악용될 여지가 있기 때문에 어떤 경우에는 드라이브를 파괴하고 새 드라이브를 장착하는 편이 더 안전할 수 있다. 바로 이런 점에서 정기적인 백업은 PC에 문제가 있을 때뿐만 아니라 보안을 위해서도 매우 중요하다.

앞서 살펴본 바와 같이 겨우 몇 단계만 거치면 데이터가 악용될 수 있으며 실제로 악용하려는 의도가 있었는지는 중요하지 않다는 것을 알 수 있다. 

물론 함께 일하는 직원들을 믿어야 한다. 그러나 그들에게 무엇을 맡길지 잘 선택해야 하며 보안이 지켜지는지도 항상 확인해야 한다. 유출과 침해를 방지하기 위해서는 직원들이 변경하지 못하도록 자동 보안 기능을 설치해야 한다. 보안 내용과 시점 결정을 직원들에게 맡겨서는 안 된다. 그것을 결정하는 것은 직원들의 일이 아니며, 그것에 대해 신경을 써서도 안 된다.

다시 말해서 모든 직급의 직원들이 지닐 수 있도록 허용할 데이터에 대해 항상 생각해야 한다. 노트북에 있는 디스크를 자동으로 암호화하고 휴대용 저장 장치로 복사되는 모든 데이터도 마찬가지다.

<글 : 조현제 체크포인트코리아 지사장 (hcho@checkpoint.com)>

[월간 정보보호21c 통권 제100호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>