Home > 전체기사

기업이 조심히 다루어야 할 또 다른 데이터, 직원 개인정보

  |  입력 : 2022-12-09 12:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인의 정보가 소중하다는 사실이 그 어느 때보다 큰 목소리로 설파되는 때다. 그런데도 은근히 간과되는 것이 있으니 바로 직원들의 개인정보다. 회사들이 사업 운영을 위해 도입하는 장비와 솔루션들이 은밀히 직원 정보를 캐갈 수 있는데, 여기까지 생각하지 못하다가 큰코 다치는 경우가 왕왕 생기고 있다.

[보안뉴스 문정후 기자] 회사 인원들이 바깥으로 나가기 시작하면서 사이버 보안이 그 어느 때보다 중요한 것이 되었다. 그래서 기업들은 각종 보안 도구들을 회사 네트워크, 클라우드 인프라, 엔드포인트들에 설치하고 있으며, 이를 통해 누가 어디에 있든 안전한 환경에서 일을 할 수 있게 한다. 그런데 사이버 보안 도구들에는 ‘모니터링’을 하는 것이 꽤나 존재하며, 그래서 뜻하지 않게 직원들의 민감한 정보나 프라이버시가 위험에 노출될 수 있다는 지적이 나오고 있다.

[이미지 = utoimage]


이런 종류의 위험이 특히 커지는 건 설치하려는 보안 솔루션을 제대로 이해하지 못한 채로 여기 저기 구축할 때다. “보안 솔루션 제공 업체에 ‘이 솔루션은 정확히 어떤 데이터를 어떤 주기로 수집하느냐?’라고 묻고 답을 들은 채로 일을 진행해야 합니다. 이런 건 제품 설명서에 잘 나와 있지 않죠.” 카네기멜론대학의 부교수인 우디 주(Woody Zhu)의 설명이다. “솔루션의 기능과 인터페이스에 익숙해진 것만으로 그 솔루션을 다 이해했다고 말할 수 없습니다.”

정보를 수집하기 전에
기업 컨설팅 업체인 크롤(Kroll)의 사이버 보안 부문 수석 총괄인 알란 브릴(Alan Brill)은 “정보를 수집한다는 것 자체가 위험을 수반한다는 것은 이제 모두의 상식”이라고 지적한다. “일단 정보 수집 자체가 법적으로 점점 더 빡빡하게 규제를 받고 있지요. 그렇기 때문에 규정을 잘 모른 채로 데이터를 수집하다가는 자기도 모르게 규정 위반을 할 수 있습니다. 법정에 서서 몰랐다고 말해봐야 아무 소용이 없지요. 이제는 꼭 필요한 정보가 무엇인지, 법적으로 허용이 되는 것인지 파악부터 하는 것이 기본입니다.”

인포테크리서치그룹(Info-Tech Research Group)의 수석 연구원인 프리츠 장루이스(Fritz Jean-Louis)는 “새로운 장비와 애플리케이션, 플랫폼을 구축해 회사의 디지털 전환을 이뤄가야 하는 IT 책임자들은 보안과 법무, 인사 책임자와 밀접하게 협업해야 한다”고 짚는다. “그래서 도입하고자 하는 장비나 솔루션이 보안과 직원 프라이버시, 각종 규정을 위반할 소지가 있지 않은지부터 검토해야 합니다. 그리고 검토 결과를 가지고 임원진과 최종 결정을 내려야 하죠. 임원진들에게는 사업 운영의 결정권과 책임이 있기 때문에 또 다른 시각이나 해결책을 제공할 수 있습니다. 즉 직원들의 프라이버시는 회사 전체가 나서지 않으면 지키기 어렵다는 것입니다.”

컨설팅 회사 ISG의 보안 부문 파트너인 더그 세일러즈(Doug Saylors)는 “사업 운영에 있어 수집하지 않아도 되는 데이터와 수집하지 말아야 할 민감한 데이터를 빠르게 식별하고 걸러내는 게 중요하다”고 말한다. “고급 데이터 손실 방지(DLP) 솔루션에 특정 패턴을 대입하는 식으로 불필요한 데이터를 빠르게 찾아낼 수 있습니다. 이메일 주소라든가, 전화번호, 건강 관련 기록, 개인 식별 정보 등은 잘못 수집하다가는 회사가 큰 불이익을 얻을 수 있죠. 다행히 DLP를 사용하면 쉽게 제거할 수 있습니다. 원격 근무를 하는 직원들의 경우 회사 네트워크에 접속할 때 VPN을 사용하도록 하면 서로에게 도움이 됩니다. 직원 개인은 프라이버시를 보호할 수 있게 되고, 회사는 원치 않는 정보 수집의 가능성을 낮출 수 있거든요.”

우디 주는 “도구를 어느 정도 운영하면서 면밀히 관찰하면 어떤 정보가 모이고, 모인 정보가 어디에 활용되는지 파악할 수 있다”며 “이런 조사를 통해 어떤 불필요한 정보가 수집되고 있을런지 어느 정도 감을 잡을 수 있다”고 설명한다. “예를 들어 업무상 지역 매체 정보를 정확히 스크랩하는 도구를 사용해야 하는 직원이라면, 원치 않게 위치 정보를 노출시킬 수 있지요. 이런 식으로 대략의 위험성이 엿보인다면 면밀한 조사를 통해 실제 도구가 어떻게 작동하는지 조사해볼 필요가 있습니다. 생각보다 불필요한 정보를 많이 가져가고 있을 수도 있고, 아닐 수도 있으니까요.”

실질적인 행동 취하기
벤더사의 답변을 통해서든 자체적인 조사를 통해서든 회사가 생각보다 많은 직원 데이터를 수집하고 있었다는 게 드러났다고 해보자. 그렇다면 회사는 어떤 조치를 취해야 할까? 브릴은 “비상 사태가 발생한 것으로 인지해야 한다”고 말하며 “1초라도 빠르게 움직여야 한다”고 강조한다. “일단 경영진들이 비상 회의를 소집해야 합니다. IT 담당자와 법무 담당자가 필히 참석해야 하고, 그 외 여러 사업부의 수장들도 참석하면 좋습니다. 가능하다면 벤더사 혹은 플랫폼 업체의 담당자도 불러야 합니다. 시급한 결정을 내려야 하는데, 그러려면 최대한 많은 정보가 필요하거든요. 관계된 사람들로부터 빠른 시간 안에 많은 정보를 얻어 보다 정확한 결정을 내려야 합니다.”

알고 보니 어떤 도구나 솔루션이 지나치게 많은 정보를 모으고 있었다면, 계약 위반으로 볼 수도 있다고 장루이스는 귀띔한다. “심지어 상황에 따라서는 그 회사가 정보 유출을 저질렀다고 말할 수도 있습니다. 그런 경우라면 단번에 관계를 끊어내야죠. 아니면 시간을 두고 서서히 다른 파트너사를 찾아야 할 수도 있고요. 즉 최대한 많은 정보가 있어야 이런 중대한 결정을 내릴 수 있게 된다는 겁니다.”

문제가 되는 장비/솔루션의 벤더사와 관계를 끊는 것이 능사가 아닐 수도 있다. “해당 벤더사의 기술이 없어지면 당장 사업을 이어가기 힘들 수 있습니다. 그러면 결정을 내리기 전에 IT 담당자에게 해당 기술에 대한 의존도가 정확히 어떻게 되는지 묻고 정보를 얻어야 하겠죠.” 브릴의 설명이다. “대체 기술이 있는지, 그 기술을 도입하는 데 얼마나 시간이 걸리고 비용은 얼마나 드는지, 기존 기술을 고쳐서 쓰는 방법이 있는지, 계약을 끊을 경우 법정 분쟁이 발생할 소지가 있는지, 승소 가능성이 얼마나 되는지 등 회의를 통해 알아가야 할 것이 많습니다.”

브릴은 프라이버시 침해와 관련해서 기업이 항상 점검해야 할 것은 다음과 같다고 꼽는다.
1) 너무 많은 데이터가 수집 및 저장되고 있지는 않은가?
2) 수집된 데이터가 제3자에 의해 비윤리적으로 활용되고 있지는 않은가?
3) 규정에 최근 변화가 있었는가?
“이런 질문을 주기적으로 묻고 조사하고 답할 수 있는 절차를 회사 내에 도입해야 합니다. 담당자를 따로 세우든, 임원진들이 이런 주제로 정기 회의를 하든, 외부 전문가를 초빙해서든 말이죠.”

세일러즈는 “이제 기업은 직원들의 정보라도 쉽게 생각해서는 안 된다”고 지적한다. “그런 기본적인 자세와 관습부터 바꾸는 것이 중요합니다. 고객 데이터나 직원 데이터나 모두 기업이 책임지고 지켜야 하는 자원입니다. 더군다나 요즘 직원들은 집에서 일할 때가 많죠. 집에는 가정용 인터넷이 설치되어 있고, 그 인터넷에는 가족들이 연결되어 있고요. 자칫 실수로 직원만이 아니라 엉뚱한 가족 구성원의 프라이버시를 침해하기에 딱 좋은 환경이 만들어지고 있습니다. 이런 흐름을 회사가 긴장감을 가지고 좇아야 합니다.”

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야