Home > 전체기사
연이은 정보유출 사태, 내부직원 관리방안 시급
  |  입력 : 2014-01-22 13:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대표적인 ‘접근 권한을 가진 사용자’ 제어 실패사례

고객정보 유출사고 지속....73%의 기업 적절한 보안책 없어

 

[보안뉴스 정규문] 엔터프라이즈 데이터 보호 분야의 선두주자 보메트릭코리아(지사장 이문형, www.vormetric.co.kr)가 최근 주요 카드사 고객정보 유출 사태에 대해 내부직원 관리 방안이 시급하다고 밝혔다.


전산프로그램 개발 용역 수행 중이던 코리아크레딧뷰로(KCB) 직원이 국민, 롯데, NH농협 등 국내 카드사들이 보유한 1억 4000여건의 고객정보를 유출한 이번 사태로 해당 금융 서비스 이용자들의 항의와 불안감이 최고조에 달하고 있다. 유출된 고객 정보에는 고객 이름, 주민번호, 핸드폰번호, 신용카드 정보 등이 포함됐다.


해당 카드사들은 박씨가 어떤 방식과 경위로 보안을 뚫고 고객 정보를 빼냈는지에 대한 분석 결과를 정확히 확인해 주지는 않고 있지만, 대부분의 보안 전문가들은 공통적으로 오늘날의 기업 시스템이 내부 직원에게 무방비로 노출되고 있다는 점에 크게 공감했다.


이문형 지사장은 “이 사건이 바로 대표적인 ‘접근 권한을 가진 사용자’ 제어 실패사례”라며, “모든 조직에는 권한을 가진 사용자가 존재하는데, 루트 사용자, 도메인 관리자, 시스템 관리자 등 단기 계약자인 경우가 많으며, 강력한 네트워크 접근 권한을 가지고 있는 경우가 많다. 이러한 사용자들은 소프트웨어 설치, 시스템 구성 등 작업을 수행하기 위해서 높은 수준의 권한을 필요로 하지만, 이 사용자들이 컴퓨터 시스템에 저장된 데이터 및 문서를 읽고 복사 또는 변경 하는 접근권한을 가지는 경우에는 보안상의 문제가 항시 제기되기 마련”이라고 전했다.


또한, “내부 직원의 유출을 막기 위한 가장 좋은 해결책은 권한을 가진 사용자가 업무를 수행하기 위해 데이터 파일을 이동할 수는 있지만 정보를 실제로 읽거나 편집할 수 없도록 권한을 제한하는 것”이라며, “카드사 고객 정보에는 고객으로부터 받은 정보와 빌링을 위한 은행 정보가 있을 텐데 두 가지 데이터를 저장할 때 DB를 분리하고, 서로 다른 암호키를 사용한다면 내부자(개발자/시스템관리자)의 불법적인 데이터 접근을 방어할 수 있다”고 전했다.


“아직도 많은 기업의 DB암호화가 완료되지 않은 점, 로그/이미지 데이터에 대한 보호가 거의 이루어지지 않은 것이 향후의 위험요소라 할 수 있겠다”며, “아직까지 대부분의 기업들은 이러한 보안 기능을 제대로 갖추지 않아 이와 같은 대규모 유출 사고가 발생한 것”이라고 말했다.


이어서 그는 “보메트릭이 지난 10월 700명의 대기업 IT관리자를 대상으로 진행한 ‘내부자 위협’ 보고서에 따르면 무려 73%의 기업들이, 권한을 가진 사용자가 민감한 데이터에 접근하는 것을 막지 못하고 있다”며, “이는 기업 네트워크 내부에 높은 수준의 위협이 잠재되어 있다는 것을 의미하며, 모든 기업은 내부직원에 인한 데이터 유출사고가 지속되지 않도록 내부자 관리 방안을 마련해야 한다”고 덧붙였다.
[정규문 기자(kmj@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)