연이은 정보유출 사태, 내부직원 관리방안 시급

대표적인 ‘접근 권한을 가진 사용자’ 제어 실패사례

고객정보 유출사고 지속....73%의 기업 적절한 보안책 없어

[보안뉴스 정규문] 엔터프라이즈 데이터 보호 분야의 선두주자 보메트릭코리아(지사장 이문형, www.vormetric.co.kr)가 최근 주요 카드사 고객정보 유출 사태에 대해 내부직원 관리 방안이 시급하다고 밝혔다.

전산프로그램 개발 용역 수행 중이던 코리아크레딧뷰로(KCB) 직원이 국민, 롯데, NH농협 등 국내 카드사들이 보유한 1억 4000여건의 고객정보를 유출한 이번 사태로 해당 금융 서비스 이용자들의 항의와 불안감이 최고조에 달하고 있다. 유출된 고객 정보에는 고객 이름, 주민번호, 핸드폰번호, 신용카드 정보 등이 포함됐다.

해당 카드사들은 박씨가 어떤 방식과 경위로 보안을 뚫고 고객 정보를 빼냈는지에 대한 분석 결과를 정확히 확인해 주지는 않고 있지만, 대부분의 보안 전문가들은 공통적으로 오늘날의 기업 시스템이 내부 직원에게 무방비로 노출되고 있다는 점에 크게 공감했다.

이문형 지사장은 “이 사건이 바로 대표적인 ‘접근 권한을 가진 사용자’ 제어 실패사례”라며, “모든 조직에는 권한을 가진 사용자가 존재하는데, 루트 사용자, 도메인 관리자, 시스템 관리자 등 단기 계약자인 경우가 많으며, 강력한 네트워크 접근 권한을 가지고 있는 경우가 많다. 이러한 사용자들은 소프트웨어 설치, 시스템 구성 등 작업을 수행하기 위해서 높은 수준의 권한을 필요로 하지만, 이 사용자들이 컴퓨터 시스템에 저장된 데이터 및 문서를 읽고 복사 또는 변경 하는 접근권한을 가지는 경우에는 보안상의 문제가 항시 제기되기 마련”이라고 전했다.

또한, “내부 직원의 유출을 막기 위한 가장 좋은 해결책은 권한을 가진 사용자가 업무를 수행하기 위해 데이터 파일을 이동할 수는 있지만 정보를 실제로 읽거나 편집할 수 없도록 권한을 제한하는 것”이라며, “카드사 고객 정보에는 고객으로부터 받은 정보와 빌링을 위한 은행 정보가 있을 텐데 두 가지 데이터를 저장할 때 DB를 분리하고, 서로 다른 암호키를 사용한다면 내부자(개발자/시스템관리자)의 불법적인 데이터 접근을 방어할 수 있다”고 전했다.

“아직도 많은 기업의 DB암호화가 완료되지 않은 점, 로그/이미지 데이터에 대한 보호가 거의 이루어지지 않은 것이 향후의 위험요소라 할 수 있겠다”며, “아직까지 대부분의 기업들은 이러한 보안 기능을 제대로 갖추지 않아 이와 같은 대규모 유출 사고가 발생한 것”이라고 말했다.

이어서 그는 “보메트릭이 지난 10월 700명의 대기업 IT관리자를 대상으로 진행한 ‘내부자 위협’ 보고서에 따르면 무려 73%의 기업들이, 권한을 가진 사용자가 민감한 데이터에 접근하는 것을 막지 못하고 있다”며, “이는 기업 네트워크 내부에 높은 수준의 위협이 잠재되어 있다는 것을 의미하며, 모든 기업은 내부직원에 인한 데이터 유출사고가 지속되지 않도록 내부자 관리 방안을 마련해야 한다”고 덧붙였다.
[정규문 기자(kmj@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)