물리보안이 정보보안에 연결되는 접점, 암호화, 인수합병의 3요소

[보안뉴스 문가용] 얼마 전 미국의 온라인 결제 시스템 업체인 하트랜드 페이먼트 시스템즈(Heartland Payment Systems)에서 정보가 유출되는 사고가 일어났다. 그런데 이 사건에는 기존 정보유출 사건들과는 조금 다른 점이 있었다. 바로 물리적인 도난 사건과 연관이 있다는 점이다. 간단히 말해 수천만 건이 넘는 개인정보가 담겨있는 컴퓨터를 누군가 캘리포니아 사무실에 침입해 훔쳐간 것인데, 하필이면 이 컴퓨터에는 그 어떤 암호 장치가 되어 있지 않았다.

또한 하트랜드는 6년 전 1억 건의 신용카드 정보가 유출되는 사고를 겪은 회사라는 점도 이 사건을 더 도드라지게 한다. 물론 이번에 컴퓨터 11대가 도난당하면서 유출된 개인정보는 많아봐야 2200건 정도라고 한다. 1억 건에 비하면야 2200건은 새발에 피지만, 그럼에도 이 사건을 쉽게 넘길 수 없는 이유가 몇 가지 있다.

1. 물리보안과 정보보안의 만남

정보보안 종사자들 대부분 로지컬의 영역에서만 안전함을 꾀한다. 하지만 이 사건이 드러내듯, 물리보안 역시 정보보안에 막대한 영향을 끼친다. “보안 솔루션과 프로그램에 큰 돈을 투자하는 기업들이 많습니다. 특히 유출사고를 겪은 회사들이 제일 먼저 하는 게 바로 보안 소프트웨어 구입이죠. 그러나 시스템을 누군가 통째로 들고가는 사태에 대해서는 속수무책입니다.” 트립와이어(Tripwire)의 보안 분석가인 켄 웨스틴(Ken Westin)의 설명이다.

“그런데 이게 문제가 되는 건 애초에 시스템에 암호가 하나도 걸려 있지 않기 때문입니다. 누가 그 시스템의 전원 버튼을 누를 지 다 예측할 수 없는 건데, 주인 혹은 담당자만 시스템을 열람할 것이라는 전제를 깔고 ‘보안장치’를 적용하는 거죠. 위험하고 순진한 전제가 아닐 수 없습니다.”

또한 웨스틴 분석가는 물리적으로 사무실에 침입해 컴퓨터 시스템을 훔쳐가는 범죄가 일어났을 경우 그 목적과 동기를 추측하기가 훨씬 어려워진다는 점도 짚어냈다. “보통은 부품을 팔기 위해서라고 알려져 있는데, 안 그런 경우도 많죠. 범인이 잡힐 때까지 이 동기를 파악하기란 거의 불가능에 가깝습니다. 네트워크를 해킹해 들어온 경우 동기에 대한 실낱같은 힌트가 남기라도 하는데 물리적인 침입에는 ‘동기’를 나타내는 지표가 거의 없습니다. 위장도 가능하고요.”

2. 암호화는 필수가 되어야

또 다른 편에서 이번 사건은 암호화의 중요성을 드러내고 있기도 하다. “하트랜드 페이먼트 시스템즈의 정보유출 사건의 제일 큰 교훈은 암호화가 꼭 필수적으로 도입되어야 한다는 겁니다.” 시큐어 채널스(Secure Channels)의 CEO인 리차드 블레치(Richard Blech)의 설명이다. “도난당한 시스템들에 암호가 강력하게 걸려있었다면 컴퓨터 도난이 자동으로 정보유출에 대한 우려가 되지는 않았을 겁니다.”

3. 합병은 리스크의 추가이기도 하다

물론 하트랜드에 암호화 정책이 전혀 없다는 건 아니다. 실제 시스템 대부분에는 암호 장치가 어떤 형태로건 걸려있다고도 한다. 다만 이번에 도난당한 컴퓨터에만 유독 암호화가 되어 있지 않았던 건 얼마 전에 인수합병을 통해 사업 확장을 했고, 그때 새로 덧붙여진 사업체인 오베이션 페이롤(Ovation Payroll)로부터 유입된 시스템들을 미처 다 확인하지 못했기 때문이라고 한다.

실제 하트랜드에 따르면 마침 사고가 일어났던 때가 물리보안과 정보보안의 합병 작업이 진행되고 있던 때라고 한다. 그리고 문제가 된 이번 합병이 일어난 건 2년 반 전이다. 현재 하트랜드는 두 회사 간 암호화 정책 통일해 적용하기 작업에 박차를 가하고 있다고 한다. 현재 보안 업계에서는 인수합병이 활발하게 일어나고 있는데, 이를 그저 시장의 확장이라고 환호할 것만이 아니라 이에 대한 리스크의 증가 역시 고려해야 할 것이다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>