• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

외주인력에 의한 개인정보 유출사고 재발방지 대책은? 2014.01.09

“보안정책에 의한 실질적인 내부통제 시스템 가동, 운영해야”


[보안뉴스 김태형] 1월 8일 위·변조 탐지 시스템 개발 프로젝트 사업으로 파견된 외주 인력이 NH카드·KB카드·롯데카드의 고객정보를 불법 수집해 유통시킨 사건이 발생했다.


다른 곳에 비해 보안이 더욱 철저하다고 믿었던 카드사에서 약 1억 400만건에 달하는 고객정보가 유출된 이번 사건은 금융권 보안사고 중 역대 최대 규모로 기록됐다.


특히 이번 사건은 외주업체 직원이 각각의 카드회사 전산망에 접근해 USB 메모리에 고객정보를 복사해 유출하는 방법으로 유출시킨 것으로 밝혀졌다. 해당 카드사 및 다른 금융회사들의 외주인력 관리 소홀 문제와 내부통제·저장매체제어·내부정보 유출 시스템 등 보안 시스템이 제대로 작동되었는지 여부도 도마 위에 올랐다.


금융당국은 기존의 금융사고가 내부직원에 의한 유출 혹은 제3자의 해킹에 의한 사고가 일반적이었던데 반해 이번 사건은 외주직원이 고의로 자료를 유출했다는 점이 가장 큰 특징이라고 밝혔다.


또한 정보가 유출될 때까지의 정보보호, 내부통제 장치가 제대로 관리·운용되고 있었는지 집중검사할 것이며, 관리·운용상의 취약점이 드러나면 전자금융거래법 위반 등으로 신용카드 업자는 영업정지, 임·직원 해임권고를 받을 수 있다. 특히 최고관리자가 전산자료 보호 등 안전성 의무를 다했는지 여부도 점검범위에 포함된다는 내용을 골자로 하는 향후 대응방안을 발표했다.


이번 신용카드사 고객정보 유출사건은 지난번 한국스탠다드차타드은행(SC은행)과 한국씨티은행에서 발생한 개인정보 유출사고와 마찬가지로 외주인력에 대한 보안관리 미흡으로 발생했다. 그동안 수없이 지적되어온 금융권 외주인력의 보안관리와 내부통제의 중요성을 이번 사고 해당 카드사들이 간과한 탓이다.


그렇다면 가장 철저하고 발 빠른 보안을 구축하고 있는 금융사에서 너무나 쉽게 USB로 자료를 유출하게 된 원인이 무엇일까?

첫째는 내부 인력은 각 보안에 대한 차등 권한으로 관리가 되고 있는 반면, 외주 인력의 경우 최고등급보안의 권한을 가지고 프로젝트나 유지보수 등의 업무를 수행하는 경우가 대부분이다. 다시 말해 제한 없이 접근이 가능하고 오히려 내부 직원 보다 환경을 더 잘 알고 있는 경우도 많다.


둘째는 수많은 보안 솔루션의 기준은 허락되지 않는 접속을 통제하는 것이 기본 베이스다. 관점을 달리해서 보면, 솔루션 자체의 작동 유무나 가치를 따지기보다 작업시 사전승인과 함께 작업 내용에 대한 근본적인 통제 및 관리 방법이 필요하다. 즉 외주인력에 대한 명확한 사전통제정책의 설정과 실질적인 통제가 중요하다는 얘기다.  


이러한 가운데 SW 개발 기업 ‘좋을(대표 오주형)’에서는 외주인력에 대한 보안관리상의 허점으로 인해 발생할 수 있는 사고를 예방하고 외주인력 관리의 취약점을 극복할 수 있는 외주인력 통합운영관리 솔루션 ‘J-TOPS(제이탑스)’를 출시해 관심을 모으고 있다. 


좋을 오주형 대표이사는 “이번 사건과 유사한 사고가 재발하는 것을 막기 위해서는 그동안 관심을 두었던 고객정보 관리나 내부 접근제어 정책 등에 대한 근본적인 고찰이 필요하다”고 말했다. 즉 현실적으로 ‘어떻게’ 관리할 것인지 구체적인 방법과 정책을 통해 외주인력 대책을 마련해야 한다는 것을 강조했다.


이와 관련 좋을의 제이탑스 솔루션 총판을 맡고 있는 지란지교에스앤씨의 남권우 대표는 “이번 사건과 같은 외주인력에 의한 내부정보 유출사고의 재발 방지를 위해서 좋을이 개발한 외주인력작업단말관리 솔루션 ‘J-TOPS’를 활용한다면 외주인력에 대한 사전정책을 적용하고 실행함으로써 외주인력의 작업 단말로부터 근본적으로 정보유출과 같은 행위를 차단할 수 있어 내부망에 접속해 정보를 획득하고 USB로 유출하는 등의 행위는 근본적으로 불가능하다”고 덧붙였다.


그는 또한 “모든 작업 로그를 기록해 사전에 위해 행위를 감지를 신속하게 할뿐만 아니라 사후관리를 할 수 있다”고 말했다.


대부분의 금융회사에서는 내부직원 및 외주인력에 대해서 접근제어·USB 등 저장매체 제어, DLP 등의 보안 시스템이 도입되어 있고 이에 따른 보안정책이 적용되어 있다.

하지만 해당 카드사의 경우 외주인력이 USB를 통해 고객정보를 유출했다. 이는 보안정책은 마련되어 있었다고는 하지만 통제 시스템이 제대로 가동되지 않았다고도 추측해 볼 수 있다.


좋을의 외주인력 통합운영관리 솔루션 J-TOPS는 실시간 모니터링과 통제상황 등을 실시간으로 반영하기 때문에 보안정책에 따라 실질적인 통제 시스템을 가동한다. 이에 J-TOPS를 활용한다면 이번 카드사 고객정보 유출사고와 같은 외주인력에 의한 정보유출은 충분히 예방할 수 있다는 것이 회사 측의 설명이다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>