외주업체 많은 Daum, 보안관리를 운영팀이 일괄처리해...문제

아웃소싱 업체와 계약시 엄격한 보안규정 적용...법으로 명시해야

포털 다음의 고객센터 정보가 유출된 것과 다음이 이를 6개월간 숨기고 있었다는 사실에 포털 이용자들 사이에서는 ‘내정보도 빠져나갔을 수 있다’는 불안함과 ‘이용자 위주가 아닌 자신들 편의적으로 일을 처리하는데 실망했다’는 불신감이 팽배해지고 있다.

이러한 개인정보 유출사건이 계속 발생하는 이유에 대해서 고려대 임종인 교수는 “강력한 개인정보보호법 마련이 안돼 고객정보가 대량 유출되면 기업이 망할 수도 있다는 위기 의식이 없고 이 때문에 보안에 제대로 투자를 하지 않아서 발생한다”고 말했다.

포털 다음이 공격을 받은 것은 바로 본사 네트워크 망이 아닌 외주를 주고 있는 고객센터 망이었다. 전문가들은 “공격자들은 뚫기 어려운 본사망 보다는 상대적으로 보안이 허술하기 마련인 고객센터를 집중 공격하고 있다”고 말했다.

다음도 고객센터 관리가 허술했던 것이다. 바로 고객센터 보안관리를 정식 보안팀에서 한 것이 아니라 외주운영팀에서 해도 무방할 것이라는 발상부터가 잘못된 것이었다. 즉 정식보안 팀이 있음에도 불구하고 외주 업체 관리에 대해서는 ┖뭐 그렇게 까지 할 필요가 있을까┖했던 부분이 문제가 발생한 것이다.

모 대형 인터넷기업 보안팀 관계자는 “고객센터를 허술하게 관리하는 것은 본사 네트워크망을 허술하게 관리하는 것과 같다”며 “외주업체 또한 본사와 마찬가지로 계약시에 주요 보안사항 이행과 주기적 점검을 받도록 명시해 보안팀에서 엄격하게 관리해야 한다”고 강조했다.

하지만 외주업체를 많이 운영하고 있는 대형 사이트들 중 외주업체 계약시에 명확하게 보안규정을 지킬 것과 주기적으로 보안점검을 실시하며 보안과 관련된 업무는 본사 보안팀에서 컨트롤한다는 계약서를 작성하는 곳이 그리 많지 않다는 것이 문제다. 이렇게 되면 제2, 제3의 ‘다음’사태가 계속 터져나올 수 있는 상황이다. 

모 사이트 보안담당자는 “외주업체와 계약시 보안관련해서 계약서에 명시하는 경우는 잘 없다”며 “대부분 업체에서 외주업체 관리팀에서 이를 관장하고 있기 때문에 이 부분에서 소홀함이 현존하는 것은 인정한다”고 말했다.

또 그는 “만약 계약시에 보안감사를 할 수 있다는 내용이 포함됐다면 당연히 본사 차원에서 외주업체에 대한 체계적인 보안감사가 실시됐을 것이고 사고 발생 확률은 많이 줄어들 수 있었을 것”이라며 “옥션도 그렇고 다음도 그렇고 대부분 소홀했던 부분에서 문제가 터졌기 때문에 이번을 계기로 외주업체 보안관리에 더욱 신경을 쓰고 있다”고 전했다.

또 다른 업체 담당자는 “대부분 콜센터나 고객지원서비스와 같은 파트는 외주를 주고 있다. 계약시에 보안관련 규정이 없는 가운데 보안감사를 한번 실시하려고 하면 업체들이 계약에도 없는 것을 하려고 한다며 반발이 있을 수 있어 이 부분은 빨리 시정돼야할 부분”이라고 지적했다.

모 업체는 옥션 사고가 터지고 나서 바로 외주 업체에 대한 전면적인 보안점검을 실시했다고 한다.

이 업체 담당자는 “옥션 사고직후 전체 외주 업체를 대상으로 보안점검을 실시했다. 외주업체 입장에서도 본사에서 실시하는 보안점검을 받았다면 정보유출에 대한 1차적 책임을 면할 수 있기 때문에 한번더 생각해보면 귀찮더라도 보안점검을 받는 것이 외주업체 입장에서도 유리하다”고 설명했다.  

또 다른 업체 담당자는 “사업부에서 외주업체와 보안과 관련된 아무런 계약도 없이 저렴한 가격에 좋은 서비스 해주겠다는 것만 믿고 덜렁 계약하고있다. 저렇게 다음처럼 문제가 발생하면 어떻게 하려는지 모르겠다”며 “회사 경영진들의 보안 마인드가 아직도 부족한 것이 문제”라고 지적했다.

특히 대부분 업체들이 한번 계약을 한 업체와 특별히 문제가 발생하지 않는 한 재교육문제도 있고해서 오랜 기간 계약을 연장하는 경우가 많다. 이럴 경우 처음 계약할 때부터 보안사항이 없다면 계약서를 다시 갱신하기가 여간 어려운 것이 아니다. 처음부터 계약서 상에 어떠어떠한 보안규정을 반드시 지켜야하고 일년에 몇회 주기적인 보안점검을 실시할 것이며 만약 이를 어길 경우 어떤 벌칙을 가하겠다는 것까지 명시해야 한다고 전문가들은 말한다.

모 기업 보안담당자는 “차라리 강력한 보안관련 법이 시행됐으면 좋겠다”며 “보안담당자 입장에서는 법이라도 제대로 있으면 그 법에 맞게 보안규정을 정하면 된다. 경영진도 법으로 강제하는 것이라면 하지말라고 하진 않을 것”이라며 “강력한 법제정이 빨리 됐으면 좋겠다”고 말하는 경우도 있다.

한편 모 업체 관계자는 “다음에서 고객센터 정보만 빠져나갔다고 말하지만 대부분 고객센터 직원들은 고객DB에 접근할 수 있는 권한이 주어지기 때문에 유출피해는 생각보다 클 수 있다”며 “우리도 고객센터 직원들의 DB접근권한에 대해 다시한번 점검을 하고 있다”고 밝혔다. 

행안부는 대형 포털 뿐만 아니라 모든 기업에서 고객정보를 열람할 수 있는 고객센터를 비롯해 모든 외주기업과 계약시 보안점검 사항을 반드시 명시하도록 법으로 규정하고 현행 계약서들 중 이러한 규정이 누락된 것에 대해서는 즉시 수정할 것을 지시해야 한다.

국내 정보보호를 연구하는 해커들은 “상당히 많은 기업들의 고객정보가 실제로 중국 크래커들에 의해 유출되고 있다. 옥션과 다음은 빙산의 일각에 불과하다. 수면에 올라오지 않은 것이 더 많다. 기업에서 의도적으로 숨기거나 유출되고도 그 사실을 아직도 인지하지 못하는 기업들이 여전히 많이 있다”며 “이에 대한 대비책을 체계적으로 준비하지 않는다면 반복적으로 이러한 문제가 발생할 것”이라고 경고했다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>