\r\n\r\n\r\n\r\n| \r\n 
|
\r\n
지속적인 내부정보유출 이슈, 어떻게 대응할 것인가?
\r\n
[시큐리티월드_신강우 워터월시스템즈 상무] 플로피디스크를 기억하는가? 요즘 학생들은 구경도 못해 봤을 것이고, 아마 봤더라도 드라마 ‘응답하라 1994’의 한 장면에서 나왔던 것을 봤으리라 생각된다. 플로피디스크만 막으면 이동저장 장치에 대한 보안은 끝났던 시절이 있었다. 그 당시만 해도 USB가 나온다는 것은 예상도 못했다. 우스갯소리로 USB가 울산방송국의 약자라는 말이 있을 정도니 말이다. 이처럼 기술의 발달과 함께 내부정보유출에 대한 이슈가 커지고 있다. 때문에 현재 내부보안 이슈와 더불어 예측할 수 없는 미래의 이슈를 바르게 인식하고 대응하기 위해서는 보안 기반을 어떻게 마련해야 할지 생각해 볼 필요가 있다.
\r\n
\r\n
보안은 내 소중한 자산을 지키는 일이기 때문에 일반적으로 적이 외부에 있다고 생각하기 쉽다. 물론 이 이슈는 지금까지 계속 발생하고 있다. 그러나 기업이나 조직이 내부보안에 좀 더 집중해야 하는 이유는 내부자만큼 해당 조직 및 기업의 중요 정보를 잘 알고 있는 사람이 없기 때문이다. 그렇다면, 내부정보유출 사고가 발생하는 이유는 무엇일까? 내부정보유출 사고는 내부자의 고의적·악의적 행동에 기인한다. 대부분 금전적인 유혹과 조직에 대한 불만이 그 이유다. 산업기술유출의 경우 경쟁사에서 금전적인 보상과 지위를 보장함으로써 발생하는 경우가 많으며, 연봉 액수, 승진 누락 등의 불만이 보상 심리와 맞물리면서 일어나는 경우도 있다. 해커에 의해 불특정 자료를 도둑맞는 일도 걱정이지만, 무엇이 돈이 되고 중요한 자료인지를 잘 아는 내부자를 잘 관리하는 것이 그 무엇보다도 중요하다.
\r\n
\r\n
내부정보유출 사고와 판례의 시사점 내부정보유출 사고유형은 크게 두 가지로 나눌 수 있다. 개인정보유출 사고와 산업기술유출 사고로 말이다. 2014년 새해 벽두를 크게 달구었던 카드 3사의 사례가 대표적인 개인정보유출 사고라고 볼 수 있으며, 이 사고로 국민 개개인부터 정부까지 내부정보유출 방지에 관심을 갖게 됐다. 반면, 산업기술유출 사고는 산업기술, 영업비밀을 지켜야 하는 기업의 입장에서 발생한 이슈로 각 산업별 기술이 경쟁업체나 타 국가로 넘어가는 것이 예다.
\r\n
\r\n
그러나 이러한 내부정보유출 사고도 기술적 조치를 했느냐에 따라 판례에는 천지차이를 보인다. 기술적 조치를 다한 경우에는 어느 정도 책임을 피할 수 있거나, 회사 및 조직의 중요 정보를 보호받을 수 있지만 그렇지 않은 경우에는 자신의 내부 중요 정보가 유출됐음에도 보호받지 못하고, 모든 책임을 떠안아야 할 수 있다. 최근 발표된 A사와 S사의 개인정보유출 사고 판례에서는 ‘해당 기업이 기술적 조치를 다 했다면 특별한 사정이 없는 한 법률상·계약상 의무를 위반했다고 보기 어렵다’는 이유를 들어 배상의 책임이 없음을 밝혔다.
\r\n
\r\n
그러나 기술적 조치를 다하지 않은 한 중소기업의 산업기술유출 사고에서는 퇴직자에 의해 유출된 내부 기술 자료를 중요 자료로 입증 받지 못해 내부 자료 유출범을 무혐의로 풀어줄 수 밖에 없었다. 즉, 내부정보유출 방지를 위해 조직이 취한 IT 시스템에 대한 기술적 조치 유무 여부는 재판의 결과에 영향을 미치는 가장 중요한 잣대가 됐음을 말한다. 심지어 재판에서는 출력된 내부 문서에 ‘대외비’ 도장이 찍힌 것과 찍히지 않은 것에도 차이가 있다고 한다. 이는 기관 및 조직 등이 정부 차원에서도 강력한 규제와 단속을 받기에 내부정보유출 방지를 위한 기술적 조치를 취하지 않으면 안되는 상황이 됐다.
\r\n
\r\n
내부정보유출 방지 솔루션의 구현 기술 이에 대한 중요성이 대두되면서 내부정보 유출방지 솔루션이 필요하게 됐다. 처음 내부정보 유출방지 시장은 시장 활성화 측면에서 문서보안이라고 불리는 데이터권한관리(이하 DRM, Data Right Management) 솔루션이 주도했다. DRM은 월트디즈니를 비롯한 영화사나 음반 제작사들이 엄청난 돈을 들여 만든 영화, 음악 등의 컨텐츠를 보호하기 위해 만들어진 것으로, 한국에서는 이것이 문서보안이라는 이름으로 발전돼 현재까지 일반적으로 사용되고 있다. 이 솔루션은 문서를 암호화하기에 무단으로 외부에 유출된다 하더라도 복호화되지 않는 이상 문서를 확인할 수 없다.
\r\n
\r\n
이와 함께 내부정보 유출방지를 위해 만들어졌으나 보호 방법이 다른 데이터유출방지(이하 DLP, Data Loss Prevention) 솔루션 역시 주목받기 시작했다. DLP는 DRM과는 달리 문서암호화는 적용하지 않지만 유출경로를 차단해 내부문서의 외부유출을 통제하는 솔루션이다. 이번 기사에서는 DLP에 대해 조금 더 자세히 살펴보고자 한다. DLP를 서비스하기 위한 기본적인 기술 일부를 소개하겠다. 이 기술들은 PC나 노트북에서 중요한 자료가 온·오프라인 등의 경로를 통해 외부로 유출되는 것을 차단·모니터링 함으로써 내부정보유출을 통제한다. 먼저 개인정보 가상화 기술은 사용자의 편의성을 고려해 개인정보가 포함된 원본 파일은 암호화된 가상공간으로 이동시키고, 사용자에게는 링크 파일만 제공해 파일의 유출을 방지한다.
\r\n
\r\n
디바이스 드라이버 개발·제어 기술은 BadUSB와 같은 해킹(크래킹), 제품 무력화 등과 같은 위협으로부터 내부정보를 보호하기 위해 매체 및 장치를 제어하는 기술이다. 통신 내용 필터링 기술은 메일이나 웹을 통해 내부정보가 유출되는 것을 제어한다. 프린터 드라이버 개발·제어 기술은 인쇄를 통한 내부정보 유출을 차단하기 위해 인쇄를 제어하거나 인쇄 내용 로깅을 위한 기술이다. 로컬저장 방지 기술은 PC나 노트북 내의 HDD에 파일 저장을 금지한다. Storage 제어 기술은 암호화 영역 제공 및 비허가 이동저장 장치에 대한 저장을 통제한다.
\r\n
\r\n
지속적으로 발생하는 내부정보 유출 이슈에 대응하기 위한 올바른 방향 많은 기업의 보안담당자들이 정부의 권고에 맞춰 개인정보보호를 위한 제품, 보안 USB 관련 제품, 이메일 모니터링을 위한 제품 등을 구매했을 것이다. 앞으로 문서중앙화도 해야 할 것이고, 모바일 기기에 대한 MDM도 검토해야 할 것이다. 내부보안을 위해 검토하고 도입해야 할 일이 많이 남아있다. 그렇다고 당장 모두를 도입하기에는 예산이나 관리 포인트가 늘어나 부담된다.
\r\n
\r\n
이에 내부정보 유출을 막기 위해서는 법안에서 권고하는 보안 USB 관리, 개인정보보호 관리, 직원들의 모바일 기기에 대한 보안관리, 보안 사각지대에 있는 리눅스 PC와 Mac PC에 대한 관리가 필요하다. 또 하드디스크에 자료 저장을 방지하기 위한 문서저장 통제 시스템, 악의적인 하드디스크 포맷에 대비한 사내 중요 문서자산 백업 시스템, 외부 입수 의심 문서와 사내 문서의 유사도 검증을 위한 문서추적 시스템 등이 요구된다. 이외에도 앞으로 발생할 이슈에 빠르게 대처하기 위해서는 현존하는 이슈부터 하나의 클라이언트 에이전트 프로그램에서 운영돼야 하며, 관리자는 하나의 관리 콘솔에서 통제·감사·모니터링할 수 있어야 한다. 그러나 이러한 고민거리의 해답은 반드시 플랫폼 기반이 돼야 한다는 것이다. 기본은 내부정보 유출방지를 위한 DLP가 될 것이다.
\r\n
\r\n
\r\n
[글 : 신강우 워터월시스템즈 상무]
\r\n
\r\n
[월간 시큐리티월드 통권 220호 (sw@infothe.com)]
\r\n
\r\n
<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>
