보안 솔루션만으로 정보 유출을 막을 수 있나?
연초 뉴스에서 절도범이 방범창이 있는 집만 골라서 털다가 잡혔다는 기사가 난 적이 있다. 이 피의자의 말에 의하면 집을 털기 전에 먼저 “주변에 사람이 있는지 확인하고, 방범창 사이로 창문이 열려 있는지를 본 다음에 방범창을 절단하고“ 절도를 했다고 한다. 도둑을 맞은 집주인들은 방범창을 믿고 보통 창문을 잠그지 않았다고 한다. 이에 대해서 경찰은 범죄를 예방하기 위해서는 일단 방범 창살은 단단한 재질로 교체하고 집을 비울 때는 방범창만 믿지 말고 필히 문단속을 철저히 할 것을 대책으로 권고하고 있다.
한편 자물쇠를 만드는 기술자나 자물쇠를 따는 기술자들이 공통으로 하는 말이 어떠한 자물쇠든 충분한 시간을 주면 열쇠가 없어도 열 수 있으며,자물쇠는 3분만 버티면 그 역할을 다한 것이라고도 하는데 그 이유가 아무리 간이 큰 도둑도 3분 정도 안에 자물쇠가 열리지 않으면 범죄를 포기하고 더 손쉬운 표적으로 이동하기 때문에 자물쇠는 3분을 버티는 것이 중요하다고도 한다.
최근에 전국민을 충격으로 몰아넣고 2차 3차 피해에 대한 우려감을 감추지 못하게 하면서 전국의 금융 거래를 마비시킬 정도의 여파를 미치고 있는 개인정보유출 사건을 위의 절도사건에 비추어 볼 때, 과연 우리는 보안 솔루션만 믿고서 문단속을 소홀히 하고 감시를 제대로 하지 않아서 벌어진 일이 아닌가 하는 생각을 하게 된다. 뿐만 아니라, 정보보호 솔루션이 최소한의 자물쇠로서의 역할을 제대로 수행하였는지에 대해서도 되돌아 보게 된다.
국가별 정보 유출 사고 사례 유형
최근 빈번하게 발생하는 기업이나 금융기관의 정보 유출 사고 유형에 대한 시만텍의 조사 결과를 다룬 기사(노컷뉴스 2014년 1월 19일자)에 따르면 위의 그림과 같이 선진국이라고 부르는 미국, 프랑스,일본 등은 외부의 해킹 공격에 의해 발생한 정보 유출 사고에 비해 내부자의 정보 유출로 인한 인적 요소에 의한 유출 사고의 비율이 현저히 낮다고 한다. 반면 브라질이나 인도의 경우는 반대로 외부의 해킹에 의한 유출 사고에 비해서 인적 요소로 인한 정보 유출의 비율이 현저히 높다고 한다.
그런데, 이 기사에 따르면 최근 한국에서 발생한 금융사의 정보 유출 사건 9건 중에서 외부로부터의 악성코드 감염 등 해킹을 통한 사례는 2건인 반면 내부자 또는 협력 업체 직원이 의도적으로 정보를 유출한 사건이 7건에 이르는 등 앞선 다른 나라의 사례에 비해 현저히 인적 요인에 의한 정보 유출의 비중이 높다는 점에서 해킹 방지 및 정보 유출 방지를 위해 도입한 많은 정보 보안 솔루션의 효과에 대해서 심각한 의문을 갖지 않을 수 없을 것이다.
국내 정보 유출 사고 사례
2014년 년초 전국민을 충격으로 몰아 넣은 협력사 직원의 카드사 정보 유출 사건의 원인과 방지책에 대해 고민하기에 앞서 최근 논란이 되었던 금융권 정보 유출 사례 뿐만 아니라 일반 기업체의 중요 기술 정보 유출 사건의 사례를 사고 형태에 따라서 분류해 보는 것이 필요하다.
최근 몇 년간의 사고 사례를 나타낸 그림에서 알 수 있듯이 주요한 정보 유출 사고는 외부의 해킹 또는 악성 코드 공격 뿐만 아니라 내부자의 의도적 유출을 통해서도 주요 기업에서는 몇 년 전부터 문제가 되어 왔다는 것을 알 수 있다. 특히 기업체의 기술 정보유출 사건은 대부분이 내부자 또는 퇴직자, 협력 업체 직원이 의도적으로 외장 하드에 저장하여 유출하였다는 점에서 협력사 직원이 의도적으로 카드사의 개인정보를 유출한 사건과 유형이 대단히 유사하다는 것을 알 수 있다. 한편 지난 2011년의 농협 사태와 2013년의 방송사 및 금융사의 전산망 마비는 정보 유출이라기 보다는 외부의 공격으로 인한 시스템 파괴로 여파는 대단했으나, 정보 유출이 아닌 전산 시스템 파괴라 점에서 그 유형이 다르다고 할 수 있다.
그런데 산업계 및 금융계의 수많은 정보 유출 사고 원인의 대부분이 내부자의 의도적인 유출이었음에도 불구하고 최근의 정보 보호 대책은 망분리를바탕으로한 외부 공격으로의 부터의 정보 유출을 방지하는데만 정책과 투자가 집중되어 왔고 이로 인해 카드사 정보 유출 사건과 같은 내부자의 의도적인 유출을 방지하는데 미흡했다는 것이 문제점으로 나타나고 있다.
외부 공격으로 인한 정보 유출 사고는 유출 정보의 건수나 국민에게 심리적으로 미치는 영향이 크며 정보의 양이 방대하다는 점에서 많은 사람들에게 엄청난 충격을 야기하였으나 내부자의 의도적인 유출은 유출자가 중요 정보를 정확히 선정하여 집중적으로 유출한다는 점에서 피해의 규모는 외부 공격으로 인한 정보 유출에 비해서 훨씬 크고 그 여파는 유출 피해 기업이나 금융기관의 심각한 경영 위기를 초래할 수 있다는 점에서 기존의 인터넷 공격 방지를 위한 망분리 못지 않게 내부자의 의도적인 유출을 방지하기 위한 정보 유출 방지 방인의 도입이 시급하다고 할 수 있다.
망분리만으로 모든 정보 유출 사고를 막을 수 있을까?
그렇다면, 기존의 망분리 정책 만으로는 이러한 내부자의 정보 유출 사고를 방지할 수는 없는지를 국가기관 망분리 구축시 도입하도록 가이드하고 있는 필수 보안 시스템과 솔루션을 중심으로 살펴보도록 하자.
일반적으로 업무망과 인터넷망을 물리적이든 논리적이든 분리하게 될 경우 망분리와 함께 추가적으로 도입되어야 하는 보안 솔루션은 위의 그림과 같다. 필수 솔루션인 보조 기억 매체 관리 시스템은 일반적으로 매체 제어 솔루션이라고 부르는데 내부망PC의 외장 하드나 USB를 통한 데이터 유출을 방지하기 위한 솔루션이다. 다음으로 네트워크 접근 제어 시스템은 내부망의 주요 시스템에 인증되지 않은 PC를 내부자가 의도적으로 연결하여 네트워크를 통해 데이터를 유출하는 것을 방지하기 위한 솔루션이다. 이와 함께 망분리가 되어 있는 내부망에서도 주요 내부 정보 서버에 접근을 통제할 수 있는 방화벽이 필요하며 3.20 대란과 같은 악성 코드에 감염된 PC가 전체 내부망PC를 감염시키지 않도록 PC 보안 및 보안 업데이트를 수행할 수 있는 내부 PMS(Patch Management System) 시스템이 필수적이다. 추가로 망분리가 시행된 기관들끼리 메일과 자료를 전송할 수 있는 보안 메일 시스템, 인터넷 망에서 수신되는 메일을 통해 인터넷 PC가 감염되어 인터넷 망 영역이 파괴되는 것을 방지하기 위한 악성 코드 차단 시스템 등이 망분리와 함께 도입해야할 필수 보안 시스템이라고 할 수 있다.
그런데 업무망과 인터넷망이 분리되어 있고 대부분의 권고 보안 시스템을 갖추고 있는 금융 기관의 전산 센터 내부에서 협력사 직원이 개인 정보를 불법적으로 탈취하여 외부로 유출하게된 경로를 살펴보면 결국 정보 유출의 원인은 도입된 보안 솔루션의 취약점으로 인한 것이라기 보다는 총체적인 보안 해이로 인한 데이터를 유출이라는 것을 알 수 있다.
위의 그림에서와 같이 범죄자는 먼저 중요 개인 정보가 담겨 있는 서버에서 서버 관리자의 권한으로 네트워크 접근 제어 시스템을 거치지 않고 바로 자신의 PC를 연결하여 데이터를 PC로 옮겼을 것으로 보인다. 이 과정에서 중요 서버의 방화벽이 제대로 접근을 방어하지 못했거나, 방화벽을 우회했을 것이다. 다시 이를 매체 제어 시스템을 무력화하여 자신의 외장 USB에 담아냈을 것으로 판단된다. 일단 이 과정에서 서버 관리자와 매체 제어 시스템을 담당하는 보안 시스템의 관리자 권한을 동시에 용역 직원이 획득하였거나 갖고 있는 상태로 데이터를 외장 USB로 복사했을 것으로 보이는데 이러한 불법적인 행위가 발생하는 동안 서버 관리자와 보안 시스템 관리자, 방화벽 관리자가 제대로 자신의 역할을 수행했는지가 의심스럽다. 설사 이렇게 자신의 외장 하드나 USB에 중요 정보를 저장하였다고 하더라도 외장 USB나 하드 디스크를 몸에 지니고 전산 센터의 출입 통제를 통과하여 나왔다는 점에서 출입통제 시스템이 제대로 기능을 다하지 못한 것으로 보인다.
사고를 당한 금융 기관은 다양한 보안 솔루션과 시스템을 갖추고 있었음에도 불구하고 협력사 직원이 마음대로 중요 정보 서버에 접속하고 여기에서 데이터를 자신의 외장 하드나 USB에 자유롭게 저장하였으며 데이터 센터의 출입 보안 시스템을 유유히 통과하여 데이터를 유출하였다는 점에서 결코 보안 솔루션의 미비로 인한 사고가 아니라고 생각된다.
정보 유출 어떻게 막을 것인가?
그렇다면 이번 카드사 정보 유출 사고를 피해간 카드사와 유사한 형태의 기술 정보 유출 사고를 겪은 후 내부 보안을 강화한 기업 들이 주요 정보를 어떻게 보호하고 있는지를 살펴보는 것이 정보 유출 방지에 도움이 될 것이다.
1. 업무 PC 보안
주요 제조업체는 내부자의 기술 정보 유출 사례를 겪은 후에 주요 업무 서버에 접속하는 내부 직원 또는 협력 업체 직원의 PC에 대해서는 물리적인 망분리 또는 논리적인 망분리를 수행한 후에 보안 영역에서만 업무 서버에 접속하도록 하여 내부 정보 유출을 방지할 뿐만 아니라 인터넷을 통한 PC의 악성 코드 감염 등을 통한 내부 정보 유출을 방지하고 있다.
2. 보안 부서와 IT 부서의 권한 분산
이와 함께 내부망 PC 또는 내부 PC의 보안 영역에 대한 접근 정책 및 외장 하드 등 매체 제어 정책은 중요 정보 서버 관리 정책과 분리하여 별도의 인증 및 권한 관리를 수행하며 이는 정보 보호 부서가 담당하도록 하고 있다. 한편 주요 정보 서버의 관리 권한은 IT 부서에서 관장하도록 하여 주요 정보 서버와 보안 시스템의 관리 권한을 동일한 사람이 동시에 획득할 수는 없도록 분산 하는 것이 보통이다.
3. 출입 보안 강화
마지막으로 전산 센터의 출입 보안 정책을 통해 외부로 유출될 경우 문제가 될 수 있는 외장 USB 등의 매체를 물리적으로 통제하고 있으며 출입 보안 정책은 물리적 보안을 담당하는 부서에서 관장하여 정보 유출을 방지하는 것이 일반적이다.
만약 연초에 발생한 정보 유출 사고의 당사자인 카드사 들이 보안 솔루션을 도입하였다는 것으로 보안에 문제가 없을 것이라는 안이한 생각과 달리 이러한 정책을 제대로만 시행했더라도 일개 협력사 직원이 수천만 건의 개인정보를 손쉽게 유출하는 사고는 방지할 수 있었을 것이다. 협력사 직원이 보안 예외 처리된 PC에서 작업하더라도 중요 정보 서버에 접근할 수 있는 권한을 획득하지 못하여 개인정보를 마음대로 저장하지 못하도록 했거나, 설사 중요 정보를 자신의 노트북에 저장했더라도 출입 보안에서 이를 외부로 반출하지 못하도록 했다면 이러한 사고는 미연에 방지할 수 있었을 것이다.
정보 유출 방지를 위한 제언
연초의 카드사 정보 유출 사고를 비롯한 수많은 정보 유출 사고를 교훈 삼아 정보 유출을 방지하기 위해 필자는 다음과 같이 제언하고자 한다.
1. 무엇을 막을 것인가?
망분리와 같은 해킹 방지 및 내부 정보 유출 방지 시스템을 도입하기에 앞서 먼저 외부로부터의 공격을 먼저 막을 것인가 아니면 내부에서부터의 정보 유출을 막을 것인가를 정하는 것이 1차적으로 해야할 일이나, 이번 카드사 정보 유출 사건의 예로 볼 때 결과 내보 정보 유출과 외부로 부터의 공격을 통한 정보 유출을 따로 생각해서는 안된다는 것을 알 수 있으며 보안 솔루션은 기본적으로 내부 정보 유출과 외부 공격 방어가 동시에 가능한 것을 도입해야 한다는 점이다.
2. 보안성, 편의성, 경제성 고려
정보 유출 사고가 발생할 때 마다 단발적인 대책을 통해 무조건 차단부터 하는 것은 능사가 아닐 것이다. 결국 보안 솔루션과 프로세스, 정책을 도입하는데 있어서는 보안성이라는 관점과 보안을 강화함으로써 업무의 효율이 떨어지지 않도록 하는 사용자 편의성 및 이에 따른 보안 솔루션의 경제성을 종합적으로 고려하여 최적의 조합을 찾아내는 것이 필수적이다. 보안만 강화하다가 업무의 효율이 떨어지게 되면 결국 업무 효율 때문에 다시 보안 시스템을 무력화하는 예외 정책을 적용할 수 밖에 없을 것이고 보안 투자 비용이 막대하다면 결국 보안에 대한 투자를 미루게 됨으로써 보안 위험이계속 존재하게 될 것이다.
서두에서 말한 절도범의 사례를 볼 때, 범죄자는 CCTV가 많은 곳에 있는 다소 튼튼하지 못한 자물쇠보다는 오히려 아무도 지키지 않는 곳에 있는 튼튼한 자물쇠를 끊고 침입하는 경우가 더 많다고 했다. 실제 정보 유출 사고도 대단한 능력을 지닌 해커가 영화에서 나오는 것과 같은 현란한 해킹 기법을 동원하여 보안 솔루션을 뚫고 정보를가져가는 것보다는 보안 솔루션만 믿고 보안 정책을 제대로 시행하지 않은 시스템에서 내부자 등이 손쉽게 정보를 유출하는 경우가 대단히 빈번하게 일어난다는 것을 명심해야 할 것이다. 즉 자물쇠만 달아 놓고 자물쇠만 믿고 문단속을 제대로 하지 않은 곳을 통해 유유히 정보는 빠져나가게 되는 것이다.
소 잃고 외양간 고치는 것이 늦었다고 볼 수 있지만, 다음에 또 다시 소를 잃지 않기 위해서라도 튼튼한 자물쇠를 마련하는 것과 더불어 닫히지 않은 문이 있는지 또는 항상 지켜보는 사람이 많도록 하는 것이 이러한 사고를 막을 수 있는 지름길이 될 것이다. 이와 더불어 보안 솔루션 업체는 튼튼한 자물쇠를 만드는 것에 집중하여 보안 솔루션의 기능을 충실하게 해야 할 것이며 동시에 기업이나 금융기관은 서버 관리자, 보안 시스템 관리자, 방화벽 관리자 및 출입 통제 관리자의 역할을 명확히 분리하고 권한울 분산시킴으로써 감시 감독의 눈길을 늘여 범죄자가 정보 유출 자체를 시도하지 못하도록 정보 보안 환경을 만들어 나가는 것이 필요할 것이다.