기업의 개인정보보호와 내부정보 유출방지, 더 이상 미룰 수 없다

최근 기업들은 내부정보 및 고객정보 유출로 인한 피해와 대책 마련에 고심하고 있다. 또한 정부도 각 기업들의 정보유출방지와 개인정보보호를 위한 규제와 보안 강화를 위해 팔을 걷고 나서고 있다.

 

특히 각 기관과 기업에게 있어 데이터베이스는 가장 전략적이고 중요한 정보자산이다. 데이터베이스에는 여러 가지 전략과 계획 수립을 위한 고객정보를 비롯해 영업정보, 경영정보, 재정정보 등 매우 기밀한 기업 정보들이 저장되어 있어 보안이 중요하다.

 

특히 ‘정보통신망이용촉진및정보보호등에관한법률’에 따라 전기통신 사업자 및 인터넷 사업자 등을 중심으로 적용되던 개인정보의 관리적, 기술적 조치의 기준이 앞으로는 준용 사업자들로 확대되면서 대형 할인점, 병원, 여행사 등의 다양한 업종의 소규모 사업자 법 적용 기준이 확대되었다.

 

이들 준용사업자는 개인정보 수집시 본인의 동의를 얻어야 하고 수집한 목적과 다른 목적으로 개인정보를 이용하지 못한다. 또 이용 목적이 달성된 경우에는 개인정보를 지체 없이 파기해야하고 개인정보관리책임자 지정 및 중요 개인정보는 암호화 등, 기술적 보호조치를 취해야 한다. 이에 DB보안 및 내부정보유출방지 솔루션은 지속적으로 성장하고 있다.

기업 정보자산 보호,

성공 비즈니스의 핵심 과제

기업과 개인정보유출 피해 심각, 데이터 보안 강화 중요

올 초 발생한 사회적으로 큰 파장을 일으킨 대규모의 개인정보유출 사건은 각 기업과 기관에 개인정보 유출의 심각성과 내부정보유출방지의 중요성을 재인식시키기에 충분했다. 이에 따라 정부에서도 정보통신망법 개정과 그 시행령을 통해 개인정보의 암호화를 포함한 보호조치를 강화하도록 하고 있다.

 

이러한 보안 위협과 법률 준수를 위해서도 DB보안과 내부정보유출 등 데이터 보안의 강화는 기업의 성공적인 비즈니스 유지와 발전을 위해 더 이상 미룰 수 없는 최우선 과제가 됐다.

올 초부터 발생한 대규모 개인정보 유출사고와 정보통신망법 등의 영향으로 DB보안 및 내부정보유출방지 솔루션 시장은 관련법과 규제 강화로 강제적으로 도입해야 하는 잠재 고객사가 10만 곳 이상 늘었다고 업계는 보고 있다. 하지만 이러한 잠재 고객사 중에는 고가의 보안솔루션 도입 비용문제로 도입율이 떨어질 수 있어 성장율의 변수가 될 것으로 전망하고 있다.

 

DB보안 시장의 타깃은 기존 고객 사이트에 대한 증설 사업과 신규 고객 사업이 있다. 특히 신규 타깃 고객은 정보통신망법의 대상 기업 및 상대적으로 다른 업종에 비해 DB접근제어 도입율이 낮았던 의료, 유통, 교육 시장 등에 집중될 것으로 전망된다. 지난 2009년 정보통신망법의 DBMS에 대한 접속기록보관 및 위·변조방지 규정으로 인해 시장이 확대됐었다.

 

이에 소만사 관계자는 “정보통신망법은 DBMS를 ‘개인정보처리시스템’으로 규정했으며 접속기록 최소 6개월 보관, 접속기록의 위변조방지, 주민등록번호·카드번호·계좌번호 암호화를 의무화했다”며 “또한 개인정보취급자 최소화 규정이 있어서 개인정보처리시스템 및 서버나 PC의 개인정보접근자를 최소화하는 장치를 마련한 것을 의무화했다”고 설명했다.

 

또 세이프넷코리아 관계자는 “지난 2009년 각종 개인정보 유출사고들이 발생하면서 DB암호화의 중요성에 대해 기업들이 조금씩 인식하기 시작했다”며 “특히 올해에는 정보통신망법으로 인해 기업들이 이런 저런 이유로 미뤄왔던 DB암호화 프로젝트를 본격적으로 도입해 운영하고 있다”고 설명했다.

 

하지만 여전히 DB암호화는 보안성과 성능유지라는 두 마리 토끼를 잡는 데에는 어려움이 있다. DB의 중요성으로 인해 성능은 포기할 수 없는 요소이기는 하지만 그렇다고 많은 비용과 노력을 들여 암호화를 하는데 보안성을 해치면서까지 할 수는 없을 것이다. 이에 따라 올해 DB 암호화 시장은 보안성과 성능을 모두 확보할 수 있는 방법을 찾기 위한 업체들의 노력이 집중되고 있다.

 

이에 DB암호화 전문기업 이글벌시스템의 조돈섭 이사는 “최근 정보통신망법 준수여부를 감독하는 방통위와 행정안전부의 현장감사가 꾸준히 진행되면서 업종별로 DB암호화 수요가 증가하고 있다”며 “리조트 사업부문을 가지고 있는 건설사들과 유통업에서 시급한 DB암호화를 추진하고 있으며 이전부터 구축해온 통신사업자들은 이제 마무리 단계에 들어서고 있다”고 설명했다.

 

그리고 그는 최근 들어서 DB암호화를 도입하는 고객 측에서도 운영성과 함께 국정원이 지난 4월 21일 공시한 DB암호제품의 보안요건 충족 여부에 대해서도 관심을 가지고 검토하는 추세라고 덧붙였다. 이제는 성능, 운영성, 보안성 세 가지 측면에서 검토 기준을 충족하는 제품의 약진이 불가피하게 되었다는 것. 이어서 그는 “DB보안 시장을 전체적으로 보면 과거 DB접근제어 위주였던 시장이 법규의 근거가 DB암호화를 필수 기술적 보안조치로 요구한 이후에 급격히 DB암호화 위주로 재편되고 있는 분위기”라며 최근의 시장 분위기를 전했다.

 

한편 업계 한 관계자는 제품 선정시 제품의 성능 및 기능보다는 가격으로 결정되는 것을 문제점으로 지적했다. 그는 “이러한 시장 상황 때문에 일부 DB보안 업체들은 기술개발보다는 가격으로 경쟁해서 판매만 하면 된다는 잘못된 생각을 갖고 있다”며 “정당한 기술평가가 없는 시장 구조가 가장 큰 문제이기도 하지만 고객사들의 마인드도 기술 등의 다른 요소들도 평가 기준으로 삼았으면 좋겠다”고 말했다.

개인정보 암호화 등 보호조치 필수

지난 3월 역대 최대 규모의 개인정보유출 사건이 발생했다는 보도는 우리 사회에 커다란 충격을 줬다. 지난 3월 9일 대전지방경찰청이 국내 유명 백화점 사이트 등에서 650만개의 개인정보를 빼낸 해커로부터 사서 이를 유통시킨 피의자를 검거한 데 이어 바로 다음날인 10일에는 인천지방경찰청에서 국내 유명 백화점과 포털 커뮤니티 사이트 등에서 2,000만여건의 개인정보를 빼내 시중에 유통시킨 일당 3명이 경찰에 적발되면서 사건의 전모가 드러난 것.

 

이 사건으로 인해 국내 유명 백화점 사이트 및 포털 등 25개 온라인 사이트의 회원정보 2,000만건이 시중에 유통돼 금융사기 등의 2차 피해가 우려되는 상황이 발생했다. 인천지방경찰청은 중국 해커로부터 이름, ID, PW, 주민등록번호 등이 포함된 개인정보 2,000만건을 사들이고 온라인을 통해 재판매해 정보통신망 이용 촉진 및 정보보호에 등에 관한 법률 위반 등의 혐의로 최모씨를 구속하고 배모씨 등 2명을 불구속 입건했다고 지난 3월 11일 밝혔다.

 

인천경찰에 따르면 최씨 등은 2008년 11월부터 최근까지 중국 해커로부터 2차례에 걸쳐 100만원을 주고 국내 25개 사이트 회원 개인정보 2,000만건을 구입해 메신저를 통해 알게 된 사람들에게 1억 5,000만원을 받고 판매한 혐의를 받고 있다. 이들은 조선족 해커로부터 구매한 개인정보 및 해킹해 취득한 개인정보 2,000만건을 입수해 네이버, 다음 카페 등에 DB를 판매한다고 광고하고 MSN메신저를 통해 문의하는 구매자들에게 개인정보를 판매해 1억 5,000만원의 부당이익을 취득한 것으로 드러났다.

 

특히 이들은 해킹할 때 악성실행파일을 사이트 관리자에게 전송해 감염된 PC에 침입해 원격으로 DB 및 개인정보 등을 취득했다. 이때 악성실행파일은 국내 유명업체 백신에 미검출됐다는 것이 인천경찰측의 설명.

 

또한 지난 해 10월 말경 수능시험을 해킹해 주겠다는 네이버, 다음 등의 포털사이트 카페 게시글 등의 첩보를 입수해 11월부터 이들을 추적한 인천경찰은 이후 메신저를 통해 이들과 접속해 개인정보 DB 구매 의사를 밝히고 접근해 5개월여 만에 이들을 검거하게 됐다.

 

특히 이들은 2,000만여건 개인정보 중 6만여건을 실제 해킹해 획득한 것으로 알려지고 있으며 넷봇 프로그램을 이용해 중국 해커들과 도박 사이트 등에 DDoS공격 감행을 협박으로 돈을 요구했다고 경찰은 설명했다.

 

이러한 사건과 관련해 이충우 펜타시큐리티시스템 부장은 “이와 같은 최근에 발생한 대규모 개인정보 유출사고들은 백만건 단위는 기본이고 여러 사이트를 동시에 해킹해 천만건 단위의 개인정보를 침해한 사건도 발생하고 있다”고 개인정보유출 사건의 심각성을 지적하며 “이에 따라 정부에서도 정보통신망법 개정과 그 시행령을 통해 개인정보의 암호화를 포함한 보호조치를 강화하도록 하고 있다. 이러한 조치는 지침이나 권고를 넘어선 강력한 것으로 이를 위반할 경우 법률에 따른 형사처벌이나 벌금 등의 행정처분이 부과될 수 있다”고 설명했다.

 

그는 또한 “실제로 지난 3월 발생한 사건의 경우, 대표이사 및 보안담당자가 기소되기도 했다”며 “이제 DB에 대한 실제 위협과 더불어 법률 준수의 두 가지 측면에서 DB보안은 기업의 원활한 비즈니스의 유지와 발전을 위해 더 이상 미룰 수 없는 최우선 과제가 된 것”이라고 강조했다. 이어서 그는 “이제 DB암호화는 보안의 필수 요소로서 그 중요성을 더해가고 있다”며 “올바른 DB암호화 방식과 이에 적합한 솔루션, 적용 노하우를 보유한 조직 등을 충분히 고려, 성공적인 DB암호화를 수행하여 고객의 정보보호와 더불어 컴플라이언스 준수를 동시에 달성하도록 해야 한다”고 덧붙였다.

개인정보 빼내 금전적 이득위해 되팔아

앞서 언급한 지난 3월의 대규모 개인정보유출 사건에 이어 또 다시 중국 해커들에 의해 최소한 1,200만건에 이르는 국내 개인정보가 유출돼 대출영업 등에 악용된 것으로 밝혀져 충격을 줬다. 지난 5월 군산경찰서 사이버범죄수사팀은 중국 해커들과 공모해 취득한 대출업체 등 금융기관 가입자 개인정보 1,200만건을 이용해 판매한 피의자 42명을 입건한 것이다.

 

경찰에 따르면 피의자들은 인터넷을 통해 알게 된 중국 해커들로부터 국내 금융기관 등의 개인정보를 취득한 후 인터넷 회선 판매자, 대출중개업체, 대리운전 업체 등에게 개인정보를 건당 10원에서 120원까지 받고 판매를 해온 것으로 확인됐다.

개인정보가 건당 10원에서 120원까지 차이가 나는 것은 최신, 즉 2010년도 개인정보인 경우에는 120원가량에 그렇지 않고 몇 년이 경과한 개인정보에 대해서는 10원 가량에 판매가 됐다는 것.

 

특히 중국 해커들은 국내 구매자들과 직거래 시 접속아이피가 해외라는 주의 문구가 나오자 의심을 피하기 위해 국내 개인정보 판매자들을 모집한 후, 그들의 컴퓨터를 원격으로 접속해 국내에서 거래를 하고 있는 것처럼 가장하는 치밀함을 보였다고 한다. 또한 구매자 중에는 대출 영업실적을 위해 개인정보를 취득한 금융기관 직원도 3~4명이 포함된 것으로 확인됐다.

 

이에 대해 백순용 피앤피시큐어 기술연구소장은 “최근 잇따른 대규모 개인정보유출 사건은 단순한 개인정보를 빼낸 것이 아니라 이를 되팔아 금전적 이익을 얻는데 활용되고 있어 사회적으로 커다란 파장을 일으키고 있다”며 “이제 각 기업과 기관의 개인정보보호와 내부정보유출방지는 더 이상 미룰 수 없는 사활이 걸려있는 중요한 과제가 됐다. 특히 기업의 중요 정보자산과 고객의 개인정보를 안전하게 보호하지 않으면 기업이 존립조차 어렵다는 인식이 확대되면서 DB보안의 중요성도 확대되고 있다”고 DB보안의 중요성을 강조했다.

 

이제는 세계적 보안 이슈가 된 ‘고객정보보호’의 필요성은 그동안 여러 가지의 개인정보유출 사고의 사례로 볼 때 중요한 것임을 여러 번 강조해도 부족함이 없을 것이다. 해커 또는 허가된 사용자에 의한 유출 및 관리 소홀로 인한 고객정보유출 등으로 인한 기업 이미지의 실추, 집단 소송 등은 여러 가지 폐해를 낳고 있다. 그리고 정보유출로 인한 개인의 정신적·물질적 피해를 감안해도 기업과 개인에게 주는 피해는 말할 수 없을 정도로 큰 것이다.

 

이와 같은 유출사례는 갈수록 증가하는 추세이며 이로 인한 금전적 피해, 기업 이미지 손상으로 인한 기업의 피해는 물론, 고객의 개인정보유출은 금년에도 최대 보안 이슈로 회자될 것으로 보인다.

DLP의 핵심은 데이터 흐름 파악

이렇게  데이터보안이 정보보안의 핵심으로 부상하고 있는 가운데 DB보안과 함께 정보유출방지(DLP) 솔루션은 데이터의 흐름을 보여주며 중요 데이터가 어디에 위치하고 어떻게 이동됐는지, 어디서 누가 사용했는지를 추적ㆍ관리함으로써 정보유출을 방지하게 되는 것이다.

 

한국EMC RSA의 한 관계자는 “진정한 의미의 데이터 손실 방지는 단순히 데이터를 검색하고 정보의 손실, 도난, 요용을 방지하는 소극적 차원을 넘어 전력적 접근 방식에 따라 규정 준수 업무를 간소화하고 보다 효율적인 비즈니스 프로세스를 구축할 수 있어야 한다”며 “또한 지적 재산 및 브랜드 가치를 보호하고 기업이 일상적으로 직면하는 복잡한 비즈니스 과제까지 모두 해결할 수 있어야 한다”고 설명했다.

 

또한 신현수 인젠시큐리티서비스 솔루션사업본부 차장은 “DLP는 기업의 중요 데이터가 어디를 통해 나가는가 보다는 무엇이 나가는가에 핵심 기술이 들어있는 솔루션이지만 이러한 부분이 도입을 검토하는 보안 담당자들을 가장 당황하게 하는 부분이기도 하다”고 말했다.

 

그는 또한 “성공적인 DLP 솔루션 구축을 위해서는 검토 단계에서부터 컨설팅이 수반되어야만 한다”며 “솔루션 구축에 있어 제품의 구성 및 기능도 중요하겠지만 이러한 보안체계를 성공적으로 구축하기 위해서는 회사가 변화하고 적응할 수 있는지도 같이 점검되어야 한다”고 DLP솔루션의 성공적인 구축 방안에 대해 언급했다.

그는 특히 최근 들어 국내 유수의 기업들이 앞다퉈 DLP 솔루션을 검토하고 이에 대한 도입여부를 결정하고 있는데 이렇게 갑작스런 DLP 솔루션에 대한 관심은 그 동안 내부정보 유출에 대한 명확한 대책이 없었던 것이 주요 원인이기도 하다고 지적했다.

 

하지만 그 동안 DRM이 주를 이루었던 국내 내부 정보보호 솔루션 시장에서 DRM 운영상의 여러 가지 문제점들로 인해 새로운 대책을 마련하고자 하는 요구들이 꾸준히 있었기 때문이라고 덧붙였다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>