IT Life

개인정보 유출과 보안 시스템(2) 개인정보 유출 예방을 위해 기업이 채택할 수 있는 솔루션

2014. 2. 27. 11:07

 


최근 5년간 개인정보 수집 동의 위반 등 개인정보수집 관련 위반 정보통신 사업자가 738개에 달하는 것으로 집계되었습니다. 실제로 언론에 노출되지 않은 개인정보유출은 상상을 초월할 만큼 많다고 하는데요. 그래서 최근에는 개인정보보호를 위한 수칙 등 개인에게 자성을 요구하기도 하죠. 물론 개인이 얼마나 주의를 기울이냐에 따라 일정 부분 예방이 가능하기도 합니다. 하지만 지금의 상황에서는 기업들이 정보 유출을 막을 수 있는 체계를 구축하는 근본적인 대책이 필요하다고 판단됩니다.

 


올해 1월 발생한 카드사 개인정보 유출에 대한 언론 기사에는 정보를 유출한 PM이 어떻게 데이터를 외부로 빼돌렸는지 공개되지 않았습니다. 데이터를 유출하는 방법에는 메일이나 USB를 이용할 수도 있고, PC로 옮겨온 뒤 유출하는 등 여러 가지가 있는데요. 어찌 되었든 개인정보를 수집하고, 이를 파일 형태로 담아 외부로 옮겨가는 과정입니다. 하지만 파일이 외부로 옮겨졌다고 반드시 개인정보가 유출되는 것은 아닌데요. DRM 또는 회사 밖에서 파일을 열 수 없는 인증방식이 적용되었다면 단순히 파일이 외부로 새어 나가는 것으로는 큰 문제가 되지 않습니다. 


즉 제대로 된 정보 보안 솔루션이 필요하다는 뜻이죠. 그러면 정보유출을 막을 수 있는 보안 솔루션에는 어떤 것들이 있을까요? 먼저, DLP(Data Loss Prevention, 데이터 유출방지) 솔루션이 있습니다. DLP 솔루션은 외부로 빠져나가는 경로를 모두 감지해 막거나 암호화하는데, 이러한 특징은 DRM과 비슷한 것이기도 합니다. 하지만 DLP와 DRM은 결정적인 차이점이 있습니다. DRM은 데이터가 외부에 있든 내부에 있든 상관없이 암호화가 됩니다. 반면, DLP는 데이터가 회사 내부에 있을 때는 데이터의 원본 상태를 유지하거나 평이한 암호화가 진행되고, 외부로 유출되었을 때에는 집중적으로 암호화됩니다. 즉 접근 방식이 다른 것이죠. 이처럼 외부로 나가는 데이터의 흐름을 차단하고 보호하는 것이 DLP 솔루션의 핵심인데요. 매체 제어 기능이나 이메일 제어 기능도 이제는 DLP 솔루션 영역 안에 포함된다고 보면 됩니다. 이렇게 DLP가 적용되면 USB를 이용하거나 메일을 이용할 때에도 상급자의 허가를 받아야 하거나 사용할 수 없게 됩니다. 외부로 나가는 통로를 봉쇄하는 효과가 있지요. 위에서 언급했듯 외부로 나가는 데이터 흐름을 통제하게 되는데요. 그래서 내부 데이터 흐름을 같이 강화하기 위해서 DLP와 DRM을 함께 사용할 수 있습니다. 물론 제대로 된 정책을 세워야 효과적인 내•외부 보안이 되겠지만 말이죠.

 

 


보통 LG와 삼성 같은 대기업이나 금융권 프로젝트의 경우 IT 센터에 들어가기 전에 보안 검사를 합니다. 외부에서 들여오는 장비에 대해서는 철저하게 조사를 하죠. 사전에 등록되지 않은 노트북이나 태블릿 PC, 저장매체(USB 메모리, 이동식 HDD 등)는 반입이 금지되는데요. 심지어 스마트폰까지 제한되는 경우도 있습니다. 필요할 때는 사전 등록이 필수이죠. 이렇게 철저한 보안검사가 진행되는 이유는 특정한 문제가 생겼을 때 책임소재를 따지기 위함입니다. 노트북으로 회사 내에서 어떤 작업을 할 때는 작업이 끝난 뒤 로 레벨 포맷(low level format)[각주:1] 을 해야만 해당 기기를 다시 가지고 나올 수 있습니다. 컴퓨터에 저장되어있을 가능성이 높은 내부 자료의 유출을 방지하기 위함이죠. 그래서 보통 자신의 노트북 등의 개인장비가 아닌 회사에서 지급한 장비를 가지고 들어가는 경우가 많습니다.


또 내부에서 해당 장비를 사용하기 위해서는 그 기업이나 금융권 회사에서 제공하는 보안 솔루션을 설치해야 하는데요. 설치가 완료되어야 내부 네트워크 접속이나 인터넷 사용이 가능한 구조이죠. 설치가 안 되면 아예 작업 자체가 안 되는 경우가 많아서 보안 솔루션 설치를 피할 수는 없습니다. 이렇게 복잡한 프로세스가 외주인력에게는 번거롭게 느껴질 수도 있습니다. 하지만 필요한 작업임은 분명합니다. 물론, 모든 기업이 이렇게 철저하게 정보보안 프로세스를 갖추고 있는 것은 아닙니다. 개인정보 유출은 일부 기업의 허술한 보안 체계 때문에 발생한 것이라 할 수 있죠.


그래서 개인정보유출의 원인을 문제가 생겼던 금융사와 그렇지 않은 곳의 보안 장치를 비교함으로써 파악할 수 있습니다. 즉, 보안 장치를 얼마나 잘 활용했는지에 따라 달라질 수 있는 문제라는 겁니다. 문제가 된 KCB의 프로젝트 매니저는 정보가 유출된 3개 카드사 외에도 삼성카드와 신한카드의 보안 작업도 진행했다고 합니다. 하지만 이 두 카드사는 문제가 발생하지 않았죠. 위에서 언급 드린 사전 보안장치와 함께 DLP, DRM을 잘 적용한 결과라는 것이 보안업계의 일반적인 시각입니다. 즉, 보안 솔루션과 함께 철저한 사전 보안 시스템이 문제 발생을 예방하는 데 중요한 요소라는 것이죠.


기업과 금융권의 개인정보 유출을 막기 위한 보안 솔루션을 살펴봤는데요. 이를 통해, 기업 외부로 정보 유출을 막는 보안 솔루션의 등급 못지않은 수준으로 내부 보안 등급을 유지하는 것이 정보유출을 방지하는 데 중요하다는 것을 알 수 있습니다. 기업 내부가 외부보다 안전한 곳이라는 판단은 위험할 수 있습니다. 물론 보안이 강화될수록 편의성, 생산성은 떨어질 수밖에 없지만 이제는 정보보안을 우선시해야 할 때입니다. 이와 더불어 정보를 다루는 사람들이 윤리와 보안적 인식을 갖도록 지속적이고 체계적인 교육이 선행되어야 함도 잊지 말아야 하겠습니다. 


l 글 이학준 (http://poem23.com/ 필명: ‘학주니’)



  1. 하드 디스크와 같은 저장 매체의 내용을 완전히 지우고 불량 섹터를 검사해 재생하거나 삭제한 후 온전한 섹터만으로 트랙과 섹터를 새로 구성하여 프로그램이 사용할 수 있도록 기본 단계의 논리적 분할 상태로 돌려놓는 것(출처 : IT 용어사전) [본문으로]
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로