내부사용자에 의한 정보 유출의 문제

정보 보안을 위협하는 가장 위험한 존재를 세 분류로 나누자면 컴퓨터 바이러스, 해커에 의한 해킹, 그리고 내부의 직원에 의한 정보 유출을 들 수 있다.

어느 것 하나 만만한 상대는 아니지만, 실제로 피해를 당했을 때, 가장 큰 타격을 받는 것은 아마 내부 직원에 의한 정보 유출일 것이다.

컴퓨터 바이러스는 가장 광범한 피해를 줄 수 있는 존재이긴 하지만 서버와 네트워크, 클라이언트에 컴퓨터 바이러스 백신을 설치하는 것만으로도 상당히 큰 효과를 볼 수 있다. 또한 지속적인 업데이트와 교육을 통해 바이러스로 인한 피해는 최소화할 수 있는 것이 현실이다.

대기업이나 관공서는 대부분 정품 컴퓨터 바이러스 백신 제품을 사용하고 있어 큰 문제가 없지만, 중소기업의 경우에는 정품을 사용하는 곳이 많지 않고 서버나 네트워크에서 동시에 바이러스 방역을 할 정도로 준비가 갖춰지지 않은 것이 현실이다.

중소기업이 간과하고 있는 부분은 비용과 인력이 모두 부족하다는 것이 이유이긴 하지만, 한번 컴퓨터 바이러스에 감염되면 투자한 것보다 몇 배, 몇 십 배의 피해를 당한다는 사실을 인식하지 못하기 때문이기도 하다.

해킹의 경우는 문제가 더욱 심각하다. 앞의 글에서도 계속 문제제기를 한 것처럼, 해킹은 전문가만 하는 것이 아니다. 인터넷에 널려 있는 해킹툴만 가지면 초, 중급자도 얼마든지 해킹을 할 수 있다.

더욱 심각한 것은, 해킹에 관한 한, 대기업, 관공서, 중소기업의 차이가 없다는 것이다. 물론, 대기업은 방화벽이나 내부 보안체계가 좀 더 잘 되어 있는 것은 사실이지만, 실제 해킹의 대상이 주로 대기업, 관공서라는 것을 감안하면 보안 상태가 얼마나 허술한 것인지 분명히 인식해야 한다.

해킹을 당하게 되면 내부의 중요 자료가 흔적도 없이 빠져나갈 수 있고, 악의적인 해커가 시스템을 파괴할 수도 있다. 해킹에 의한 피해는 정도에 따라 매우 심각할 수 있지만 해킹을 방비하는 것 역시 투자와 교육에 따라 상당히 높은 수준으로 갖출 수 있다.

결국, 가장 심각한 정보 보안의 침해 유형은 내부자에 의한 정보 유출이라고 할 수 있다. 아래 최근에 발생한 몇 가지 사례를 들어보았다.

인터넷 홈쇼핑 여직원 고객정보 빼내 대출사기<중앙일보 2/21>

모 인터넷 홈쇼핑 업체에서 고객 네 명의 개인정보를 이용, 카드회사 인터넷 홈페이지에 접속한 뒤 이들의 명의로 모두 1천2백 만원을 대출 받아 자신의 통장에 이체한 혐의.

이동통신사 대행직원, 고객 정보 유출<울산=연합 2/21>

이동통신사의 텔레마케팅을 대행하는 회사의 직원인 최씨는 친구 문씨와 통신회사에서 이 회사로 보낸 휴대전화 가입자 2만8천여 명의 개인정보를 디스켓에 복사해 팔려했다.

최. 문씨 등이 빼낸 개인정보는 이름 주소는 물론 주민등록번호, 집 전화번호, 휴대전화번호까지 정확한 것이어서 각종 상품회사의 무차별 홍보대상이 되는 것은 물론 신용카드 불법발급 및 복제, 전화협박 등 상상을 초월하는 방법으로 악용될 수 있다.

벤처기업 정보 해킹 20대 구속<성남=연합 2/06>

송씨는 지난해 10월 벤처기업인 I사 서버관리자로 근무하다 사표를 내기 직전 회사 서버에 접속, 회사가 독자 개발한 프로그램인 전자상거래 프로그램과 전자카탈로그 시스템을 다운받는 등 기밀을 해킹한 혐의다.

경찰 조사결과 송씨는 지난 98년 10월부터 이 회사 서버관리자로 일해 왔으며, 이 프로그램이 카피 당 사용료가 5억 원의 고액이라는 사실을 알고 범행을 저지른 것으로 드러났다.

기업에서 발생하는 정보 유출 가운데 해킹에 의한 정보 유출보다 내부자에 의한 정보 유출이 훨씬 커서 무려 70%를 차지하고 있다. 내부자에 의한 정보 유출은 어떤 보안 장치로도 막을 수 없는 가장 위험한 상태라고 할 수 있다.

기업이나 관공서에서는 인력과 관련해 이런 난감한 상황에 놓여 있음을 알 수 있다. 직원을 믿고 내부 정보를 충분히 공개하는 기업이 발전한다는 이론도 있지만, 미국의 경우, 퇴직하거나 해고해야 하는 직원이 있는 경우, 가장 먼저 사내 보안담당자가 그 직원이 사내의 모든 시스템에 접근하는 것을 막고 내부 자료가 불법으로 복사되거나 유출될 수 없는 시스템을 만들고 있다.

우리 기업 문화에서는 상당히 냉정하고 인정 없다고 생각되지만, 조직의 생명인 보안을 유지하기 위한 고육책임을 부인할 수는 없다.

조직의 내부 보안은 하나의 정교한 시스템으로 이루어져 있으며, 구조적인 부분과 교육에 의해 지켜져야 한다. 그것은 사내에서 작성한 보안 지침을 충실히 따르도록 하고, 직원이면 상하 구분없이 보안 지침을 잘 알고 있어야 하며, 주어진 소프트웨어만 사용하며, 중앙 전산실에서 주기적으로 각각의 클라이언트를 살펴볼 수 있도록 되어 있다.

이런 것들을 종합해 보면 몇 가지로 정리할 수 있다.

정보 보안을 위한 내부 지침서가 정리되어 있는가?

모든 직원이 보안 지침서를 잘 알고 있으며 이를 지키고 있는가?

정기적인 보안 교육이 실시되고 있는가?

조직 내부에 클라이언트와 서버에서 운용되는 보안 소프트웨어가 있는가?

사용자 등급별로 서버에 접근하는 권한이 제한되어 있는가?

불법 소프트웨어를 사용하고 있는지 중앙 서버에서 확인할 수 있는가?

외부로 나가는 메일에 대한 체크를 하고 있는가?

클라이언트의 주변기기에 대한 통제가 이루어지고 있는가?

하지만, 이런 조치들이 개인의 프라이버시를 침해한다는 주장이 강력하게 제기되고 있으므로 기업의 보안과 개인의 프라이버시가 충돌할 우려가 상당히 많다. 특히 메일을 감시하는 것은 미국의 경우, 대기업의 약 40% 정도에 이르고 있다고 한다.

이는 명백히 개인 프라이버시 침해에 해당하고 있지만, 직원들은 대부분 이런 사실을 모르고 있는 것이 사실이다.

기업, 관공서의 보안은 일방적인 지침보다는 전체 직원의 합의된 의견을 바탕으로 이루어지는 것이 바람직하다. 개인의 책임과 의무를 분명히 하고 보안의 목적을 공유하며 자발적인 동의를 얻어냄으로써 내부 보안은 수준이 높아지는 것이다.

잘 짜여진 시스템도 좋지만, 그 시스템을 운용하는 것은 결국 사람이기 때문이다.