기업 자산을 보호하는 산업보안 업무는 기업 내·외부의 다양한 분야에서 전문가들이 협력하여 궁극적으로는 자산 유출을 막는 것이 목적이다. 하지만, 현대 기업 환경에서는 산업보안 부서, IT보안부서 등으로 분리되어 수행되고 있으며, 감사부서, 법무부서와의 유기적인 협력이 쉽지 않은 것이 현실이다. 또한, 외부인을 통한 추가 유출의 두려움이 존재하는 상황에서는 외부전문가의 조력을 받는 것조차도 주저하게 된다.

따라서 가장 효과적인 산업보안 업무를 수행하기 위해서는 각 부서간의 유기적인 협력이 필수적이며, 기업 내부 역량으로 수행하지 못하는 업무는 전문기관의 도움이 필요하다.

이번 호에서는 컴퓨터 포렌직에 관한 연재 첫 순서로 산업보안 업무와 관련된 기업 내부부서의 관계, 전통적인 보안기술의 약점 및 이를 보완할 수 있는 컴퓨터 포렌직 기술에 대해서 소개하고자 한다.

산업보안과 IT 보안

필자가 IT 보안 업무를 시작한 것이 벌써 10여년이 되었다. 기업 입장에서의 IT 보안은 이전에 존재하던 출입통제, CCTV와 같은 물리적 보안이 주를 이루었던 산업보안 영역에서 시작되어 현재는 독립적인 분야로 발전했다.

현재와 같이 IT 보안 영역이 분리되어 발전된 이유는, 기업보안에 있어 보호대상인 IT 자산의 범위가 급격히 확대되어 기존 산업보안 영역에서 커버하기 위해서는 새로운 도구와 지식이 습득되어야 했고, 업무영역을 분리해 집중적인 투자와 연구가 필요했기 때문이다.

결론적으로 말하면 현재의 산업자산에 대한 보안업무는 물리적 보안을 담당하는 산업보안 부서와 IT 자산을 보호하는 IT 보안 부서간의 긴밀한 협조가 필수적이다.

감사와 법무

일반적으로 감사업무라 하면 외부회 계감사를 떠올린다. 이는 상장법인 또는 자산총액 100억 이상의 법인은 법에 의해 외부감사를 받게 되어 있기 때문이다. 주 대상이 재무제표인 재무제표 감사는 일반 대중, 투자자, 채권자 및 이해관계자 등을 위해 재무제표의 적정성을 공인회계사에 의해 평가받는 것이다. 하지만 기업의 감사업무에는 회계감사 외에도 내부감사 업무가 있다. 이는 위험관리, 통제, 기업지배과정을 대상으로 하여 기업 업무를 조사하고 그 업무가 효과적으로 또는 효율적으로 수행되는가를 평가 하는 것으로 조직운영을 개선하고, 조직가치를 증진하는 것이 궁극적인 목표이다. 즉, 내부감사는 기업의 산업보안과 IT 보안 업무가 원활히 운영되는지를 평가하고, 미비점을 조사하여 이에 대한 개선책을 마련해야 하고, 보안사고 발생시 공동대응을 해야 하기 때문에 산업보안 영역에 있어 중요한 협력자가 되어야 한다.

또한, 내·외부의 관련자에 의한 산업정보자산의 유출을 방지하기 위해 계약단계부터 산업정보 유출사고 발생시 대응단계까지 법무부서의 법률적 지원이 필요하다.

이렇듯 산업보안 영역은 기업 내부적으로 산업보안 부서, IT 보안부서, 내부감사 부서 및 법무부서의 유기적인 협력이 필수적이다.

전통적인 보안업무의 약점

기존의 보안부서가 수행하는 업무는 외부 공격에 대한 방어 및 감시와 같은 통제업무에 집중되고 있다. 따라서 물리적 보안업무는 출입통제, CCTV 등을 통해, IT 보안업무는 방화벽, IPS 등을 통해 수행되고 있다. 이러한 장비들은 정형화된 룰 또는 시나리오 기반의 보안 취약점을 중심으로 외부에서 내부로의 침입을 막고자하는 거점방어 업무를 주로 수행한다. 최근의 통계자료에 따르면 기업의 20%가 회사기밀 자료가 유출되는 피해를 입은 경험이 있다고 조사됐으며, 그 중 대부분이 재직자 또는 퇴직자 등의 내부직원에 의한 컴퓨터 자료유출로 조사됐다. 또한, 일부는 물리적침입 또는 해킹과 같은 논리적 침입에 의해 유출되는 것으로 나타났다.

즉, 산업정보 유출 행위자가 현재의 거점방어 위주의 보안기술을 우회하여 IT 정보자산에 대한 절도행위를 수행한다면 기존의 보안기술 및 장비로는 이러한 급속한 유출기술의 발전에 대응하기에는 역부족인 상황이다.

그렇기 때문에 시시각각 변화하는 기업 환경에서의 산업보안관련 사고를 예방하고 대응하기 위해서는 기술적인 전문성이 요구된다.

컴퓨터 포렌직 서비스의 필요성

컴퓨터 포렌직이란‘법적으로 어떤 사실을 증명 또는 반증키 위해 디지털저장매체의 데이터를 수집, 보관, 복구, 분석, 보고서 작성 및 법정 진술 등을 수행하는 일련의 행위’로서, 우리나라는 현재 경찰, 검찰 등 수사기관에서 범죄수사의 목적으로 사용하는 기술이다.

미국 등 선진국에서는 컴퓨터 포렌직 업무가 2000년 이후로 횡령, 배임 및 정보유출 사고와 같은 기업부정 사고의 예방 및 대응을 위한 조사업무로 확대되어 사용되고 있으며, 국내에서는 필자가 근무하는 딜로이트와 같은 프로페셔널 펌(Professional Firm)에서 서비스를 수행하고 있다.

최근 국내에서도 컴퓨터 포렌직 영역이 새로운 IT 보안 분야로 각광받기 시작하고 있다. 하지만 컴퓨터 포렌직은 디지털 증거물에 대한 수집 및 분석 등의 업무를 법률을 준수하면서 수행해야 하기 때문에 IT 분야에 대한 전문성뿐만 아니라 법률적인 지식이 필수적이다. 또한, 보호대상인 정보자산에 대한 전문적인 이해가 요구되는 경우도 있다. 이처럼 전문적이고 특수한 영역을 단순히 IT 보안의 새로운 영역으로 생각하는 것은 잘못이다. 또한, 민·형사 소송으로 진행될 경우에 기업이 소송당사자가 되기 때문에 객관성의 문제가 발생하여 기업이 직접 수집하고 분석한 증거물에 대해서는 증거능력과 증명력이 부인될수 있다. 이로 인해 내부의 법무팀이 존재하는 경우에도 외부 법무법인의 조력을 받듯이 컴퓨터 포렌직 업무도 외부 포렌직 전문가의 조력을 받는 것이 올바른 방법이다.

다음 호부터는 산업보안관련 사고에 대한 사전 및 사후 대응을 위한 컴퓨터 포렌직 기술과 기업 보안담당자가 알아야할 사항에 대해서 알아보겠다.

<글 : 윤 오 영 | 딜로이트 안진회계법인 포렌직 서비스 이사(oyun@deloitte.com)>

[월간 시큐리티월드 통권 제145호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>