[시큐리티 Q&A] 내부정보 유출사례와 방지대책

Q. 회사 내부정보가 실제 어떻게 유출되는지 사례를 들어 설명해 주고 이에 대응할 수 있는 DLP 등 내부정보 유출방지 솔루션의 효과적인 활용방안이 있다면 소개해 달라.

A-1. 국가정보원 산업기밀보호센터에서 조사한 ‘내부자료 유출 실태조사’에 따르면, 2005년~2012년간 국내 첨단기술을 해외로 불법 유출했거나 유출을 시도한 사건은 총 294건으로 집계됐으며, 적발건수는 날로 급증하고 있다.

기술유출 분야로는 전기전자(34%), 기계(31%), 정보통신(15%), 화학(9%), 기타(8%), 생명공학(3%) 순이었으며, 기술유출 동기로는 개인영리(68%), 금전유혹(15%), 인사불만(7%), 처우불만(6%), 기타(3%), 비리(1%) 순이었다. 또한, 유출 유형 및 주체를 살펴보면 무단보관 형태의 자료(46%)가 전·현직 직원에 의해 유출되는 경우가 대부분(80%)을 차지해 내부자료 보호에 대한 인식 개선과 체계 마련이 시급한 실정이다.

실제로 2013년 4월에는 공기업 K사에서 공사관리팀장에 의해 이메일 및 USB 형태로 자사의 첨단 기술을 민간 설계 업체로 빼돌렸다가 적발된 사례가 있었으며, 6월에는 자동차 부품 제조업체인 A사의 해외영업팀장이 B경쟁사에게 같은 제품을 개발할 수 있는 비밀문서를 전달하여 실형을 선고 받았고, 차량용 블랙박스 제조업체에서 개발이사로 근무하던 직원이 동료 5명과 퇴사하면서 핵심기술을 외부저장매체에 담아 나와 유사제품을 만들어 납품하여 적발된 사례가 있었다.

기업 내에서 생산되는 모든 전자문서들은 회사의 중요한 지적 자산으로 적합한 절차 없이 외부로 반출되어서는 안 된다. 핵심 사업 분야에 대한 사업계획서나 영업기밀, 노하우와 기술력이 담긴 설계도면 등은 사전 계획 없이 경쟁자나 시장에 유출되었을 때, 해당 기업에 금전적인 피해는 물론이고 생존까지도 위협할 수 있는 파급효과를 지니고 있기 때문이다. 또한, 현대에는 이러한 핵심 문서들을 얼마나 효율적으로 업무에 활용하고 체계적으로 관리하는가에 따라 사업의 성공과 기업의 성장이 달려있기도 하다.

현재 보안 솔루션 시장에는 다양한 형태의 보안 솔루션이 등장했으며, 최근 들어서는 내부 자료의 중복·산재, 자료 공유·협업의 필요성 및 체계적인 문서관리의 부재가 이슈화되면서 문서중앙화 방식의 보안 솔루션이 다시 한번 보안담당자 및 업계 관련자들의 이목을 집중시키고 있다.

문서중앙화란 이러한 중요한 문서의 보안과 관리에 대한 기업의 고민을 가장 효과적으로 해결할 수 있는 방법으로 임직원의 개인 PC는 전자문서의 저장을 일체 허용하지 않고 중앙 서버에만 통합 저장하여 관리하는 방식을 의미한다. 사용자 PC는 통제가 어렵고 보안이 취약하기 때문에 중요한 문서가 방치되어 있으면 각종 매체를 통하여 누군가에 의해 외부로 빼돌려지거나 해킹 등으로 유출되는 사고가 생길 수 있다.

반면 문서중앙화 시스템 내에서는 모든 업무 자료가 중앙 서버에 통합 저장되어 보안에 대한 전문지식을 가진 담당자에 의해 상시 모니터링 되기 때문에 보다 안전한 관리가 가능하다. 이러한 문서중앙화 방식은 DRM, SBC, DLP 등 다른 보안 방식과 비교해도 차별되는 장점을 지니고 있다.

첫째, 전자문서의 유출 차단이 원천적으로 가능하다는 점이다. 개별의 전자 문서, 즉 파일을 직접 암호화하는 방식은 작업 시 인증 과정을 통하여 사용자의 권한을 제한하고 정보의 유출을 차단한다. 그러나 전자문서 자체를 복사하는 것은 사전 방지가 어렵기 때문에 이미 문서에 대한 권한을 가진 내부직원이 불순한 의도로 복사하는 것을 차단하기는 어렵다.

또한 전자문서와 관련된 어플리케이션의 종류와 버전에 종속 받기 때문에 어플리케이션이 변경될 경우, 문서를 정상적으로 인식하지 못하거나 보안의 홀이 생기는 등 문제가 발생될 수도 있다. 반면 문서중앙화 방식은 중앙 서버 영역에서만 전자문서를 실행하고 편집할 수 있으며 허가되지 않은 타 매체로의 복사와 이동을 금지하기 때문에 사전 유출 방지가 가능하다. 뿐만 아니라 어플리케이션의 버전과 종류에 종속 받지 않아 보안정책을 안전하고 일관적으로 유지할 수 있다. 그리고 별도의 인증과정이 필요 없기 때문에 업무 방식의 변화가 적어 사용자 친화성이 높고 업무 효율과 생산성 저하가 거의 발생되지 않는다는 점도 큰 장점이다.

둘째, 전자문서에 대한 접근통제와 체계적인 관리가 가능하다는 점이다. 정보의 내용을 모니터링하고 보안정책에 위배되는 정보를 필터링 하는 보안방식의 경우에도 문서들은 사용자 PC에 저장되어 있다. 따라서 담당 업무, 부서의 변경으로 인하여 특정 문서에 대한 접근이 차단되어야 하는 상황에서도 그 소유자는 여전히 문서들에 대한 접근이 가능하다.

반면 문서중앙화 방식은 기본적으로 문서의 저장 공간을 통제 가능하기 때문에 실시간으로 사용자들의 접근 권한을 변경해 문서 접근을 차단할 수 있다는 장점을 지니게 된다. 최근 문서중앙화 솔루션의 트렌드는 단순히 사내문서의 흐름을 통제하고 관리하는 것에서 끝나지 않고 전자문서를 다루는 업무의 방식 자체를 개선하고 혁신시킬 수 있는 방향으로 점차 발전해 나가고 있다.

즉, 타 보안 방식이 문서의 유출을 차단하는 것에 집중되어 있다면 문서중앙화 방식은 보안의 관점을 넘어 유출은 차단하되 업무와 관리의 효율성을 종전보다 향상시킬 수 있는 방안으로 발전하고 있다. 사실상 이러한 제품의 특징이야말로 타 보안 방식과 가장 차별화될 수 있는 장점이라고 할 수 있다.

(김동욱 이스트소프트 대리/dwkim@estsoft.com)

A-2. 기업 내 주요 정보가 유출되는 경로가 바뀌고 있다. 과거에는 해커 등 외부의 침입으로 인한 사례가 주를 이루었지만, 최근에는 해당 기업 내부 조직원들에 의한 정보유출의 심각성이 커지고 있다. 특히, 개인 모바일 단말기를 업무에 활용하는 BYOD 문화가 확산되면서 기업 내 주요정보가 유출될 수 있는 수단이 늘어났기 때문에 보안사고의 가능성 또한 더욱 높아졌다.

이러한 기업 내부로부터의 정보유출은 곧바로 산업스파이 활동으로 연계되어 주요 기술 및 사업비밀이 경쟁사나 외국 업체의 손으로 들어가는 결과를 초래할 수 있다. 나아가 금융/의료/통신 등 다량의 고객 개인정보를 다루는 업종에서 발생한 일련의 사건들을 경우, 해당 기업뿐만 아니라 다수의 피해자가 추가로 발생한다. 이처럼 내부정보 유출은 그 피해가 해킹 등 외부적 공격만큼이나 심각하기 때문에 사전에 해당 유형에 대한 숙지와 더불어 각별한 주의와 예방이 필요하다.

내부 조직원에 의한 정보유출 유형은 크게 의도성 유출과 비의도성 유출로 나눌 수 있다. 의도성 유출은 당사자의 악의적인 목적을 바탕으로 이루어지는 정보 탈취의 형태를 띠고, 실수나 부주의로 인한 비의도성 유출에는 정보 분실 및 정보 누출이 해당된다. 정보 분실은 각 구성원이나 보안담당자의 부주의나 관리 소홀에 의해 발생할 수 있다. 보안 설정이 되어 있지 않은 USB에 회사 사업 비밀을 담았는데 이를 지하철이나 대합실 등의 공공장소에서 분실한 경우를 예로 들 수 있다.

정보 누출 과정에는 제3자가 개입하게 된다. 예를 들어 문서 제본을 위해 외장하드를 들고 간 인쇄소에서 해당 인쇄소 직원이 제본해야 할 파일 이외에 다른 중요한 정보를 다운로드 받은 상황을 생각해볼 수 있다. 정보 탈취는 말 그대로 악의적인 목적을 지닌 개인이 기업의 중요 정보를 사적으로 훔쳐가는 행위를 의미한다. 영업 비밀 정보를 들고 경쟁사 취직에 악용한다거나 고객 개인정보를 빼돌려서 불법으로 판매하는 경우 등이 이에 해당한다.

세 가지 경우 모두 의도했건 의도하지 않았건 기업에게 큰 피해를 끼치게 되는 상황임에는 틀림이 없다. 따라서 기업 보안담당자는 이러한 모든 발생 가능한 상황을 고려한 보안전략을 수립해야 한다. 이를 위해 무분별한 개인정보 수집을 자제하고 DB보안 프로그램, 암호화 소프트웨어를 사용하는 등의 조치가 우선 선행되어야 한다. 이와 더불어 근본적인 자료유출 방지를 위한 DLP 솔루션 도입이 필수다.

DLP솔루션의 주요 활용 방안은 자료유출 사전 방지와 보안사고 발생 시 대응 방안으로 나눌 수 있다. 코소시스의 Endpoint Protector를 예로 들어 DLP 솔루션의 효과적인 활용방안에 대해서 소개한다. 먼저 해야 할 일은 DLP 솔루션의 보안정책을 설정하는 것이다. 코소시스의 Endpoint Protector를 비롯해 국내 출시된 대부분의 DLP 솔루션은 보안 담당자들이 손쉽게 정책설정을 할 수 있도록 서비스를 제공하고 있다. 국내 유일하게 Windows, Mac, Linux OS환경을 모두 지원하는 EndPoint Protector의 경우 통제할 웹 브라우저, 이메일 프로그램, 클라우드 서비스, 메신저 프로그램, 저장매체 등을 화이트리스트 기반으로 그룹별도 설정할 수 있어 편리하다.

또한, 민감하게 다루어야 할 파일은 암호화를 통해 별도 관리가 가능하게끔 구성되어 있다. 따라서 등록된 프로그램이나 장치가 아니면 아예 주요 정보를 복사하거나 몰래 빼내갈 수단이 원천봉쇄된다.

만약 특정 사용자가 주요 정보를 허락되지 않은 방식으로 유출을 시도할 경우, DLP 솔루션은 즉각 이에 대응한다. EndPoint Protecter의 경우 특정 사용자가 주요 정보를 저장매체에 복사하거나 이메일로 보내는 시도를 하면 이를 관리자에게 즉시 보고하도록 되어 있다. 또한 모든 파일의 이동경로를 추적/저장/보관하여 감시 데이터로 활용한다. 이렇게 저장된 감시 데이터는 모든 로그가 보존된다. 허락된 저장매체를 분실했을 경우 해당 매체에 저장되어 있는 데이터를 원격으로 삭제하는 것 또한 가능하다.

이렇듯 DLP 솔루션은 사전에 보안사고를 방지하는 동시에 사고 발생 시 대응을 통해 기업 내 주요 정보를 보호해 주는 역할을 한다. 한 가지 주의해야할 점은 DLP 솔루션이 역할을 제대로 수행하며 보안 공백을 최소화하기 위해서는 지속적인 업데이트가 필요하다는 것이다. 코소시스는 솔루션 공급 후 유지/보수 서비스를 통해서 항상 최신의 업데이트를 상태를 고객에게 제공하고 있다.

(강영호 코소시스코리아 대표 /gabriel.kang@cososys.co.kr)

A-3. 회사 내부정보의 유출 경로는 크게 4가지로 분류할 수 있다.

① 외부의 불법 침입에 의한 내부자료 유출

② 사내에서 내부 사용자에 의한 고의 또는 실수에 의한 유출

③ 원격지에서 내부 시스템 접속 중 관리소홀로 인한 유출

④ USB 메모리, 외장하드, CD, DVD 등의 저장매체 관리소홀로 인한 유출

현재 내부정보 유출방지를 위한 다양한 DLP 솔루션이 있다. 하지만 DLP 솔루션은 기술적인 보안에 제한되어 모든 정보유출 경로에 대응할 수 없다. 특히, 내부 사용자의 고의적인 정보유출은 DLP 솔루션으로 방지하는데 한계가 있다. 이러한 내부 사용자의 고의적인 정보유출을 예방하기 위해서는 기술적인 보안 솔루션과 함께 관리적인 보안업무 프로세스가 함께 적용되어야 한다. 현재 기술적인 보안과 관리적인 보안업무가 결합된 솔루션으로 워치아이시스템의 WATCHI Insight제품이 있으며, 국내 대기업 통신사에서 운용되고 있다.

(장준영 워치아이시스템 SE그룹 그룹장 /jyjang@watchisystem.com)

A-4. 통계적으로 내부정보 유출은 내부직원, 협력사, 퇴직직원 등 내부 관계자에 의해 유출되는 것이 약 94% 정도 된다. 주요 방법으로는 이메일, USB, 출력 등 짧은 시간에 일어나기 때문에 지속적인 모니터링 없이는 유출을 막기가 매우 힘들다. 내부정보 유출방지 솔루션에는 네트워크 DLP와 엔드포인트 DLP가 있다. 네트워크 DLP는 네트워크(e-mail, 메신저, 웹사이트 등)을 통해 외부로 정보가 유출되는 것을 모니터링 및 차단한다. 엔드포인트 DLP는 PC와 같은 엔드포인트 단에서의 정보유출을 제어하는 것으로 매체보안, 출력물보안 등의 기능을 진행한다.

효율적인 내부정보 유출방지를 구축하려면 네트워크와 엔드포인트 DLP를 적절히 활용하는 것이 중요하다. 네트워크 DLP에서는 엔드포인트에서 일어나는 일련의 액션(매체유출 등)에 대해서는 대응이 불가능한 단점이 있지만, 네트워크를 통해 외부로 나가는 메일 및 메신저에 대한 모니터링 및 차단 진행이 효율적이다. 반대로 엔드포인트 DLP는 USB 유출, 출력물 유출은 에이전트를 통해 관리할 수 있지만, 네트워크를 통한 유출, 예를 들어 매 건의 이메일에 대한 모니터링 및 차단을 PC에서 담당하게 되면 PC 부하로 속도가 느려지는 현상이 발생할 수 있다. 이러한 두 종류의 내부정보 유출방지 솔루션을 이해한 뒤 기업, 기관에 맞는 솔루션을 도입하거나 혼합형태로 도입해 활용할 수 있다.

(컴트루테크놀로지 컨설팅팀/consulting@comtrue.com)

A-5. 내부정보의 유출은 다양한 정보 이용통로를 이용한 유출뿐만 아니라 외부로부터의 최신 APT, DDoS 공격에 의해서도 발생할 수 있다. 기업 내에서 이러한 내부정보 유출을 방지하기 위해서는 아래와 같은 사항들을 중요하게 고려해야 한다.

첫째, 기업 내 내부정보 유출방지를 위한 기본 방침이 있느냐는 것이다. 이러한 기본방침을 통해 기업이 보유하고 있는 기술·노하우 영역을 설정하고, 내부정보 유출 시 리스크를 분석할 수 있으며 기업 내부 최고책임자의 참여를 통해 경영 방침에 반영할 수 있다.

둘째, 내부정보 유출방지를 위한 관리매뉴얼이 있느냐는 것이다. 이러한 관리매뉴얼을 통해 기업은 내부정보 유출에 대한 실태를 파악할 수 있으며 가능성이 있는 형태를 분석하여 그에 따른 방지 대책을 마련할 수 있다.

셋째, 내부정보 유출방지를 위한 대응 조직이 마련되어 있느냐는 것이다. 이러한 대응 조직을 통해 기업은 현재 상황을 점검하여 문제점을 추출하고 정보 유출 발생 및 이후 Follow Up을 위한 체제를 마련할 수 있다.

넷째, 기업 내 내부정보 유출방지를 위한 솔루션이 구축되어 있느냐는 것이다. 일반 사용자 PC가 내부정보 유출 통로를 사용되는 것을 방지하기 위해서는 백신, PMS(Patch Management System), DRM, PC보안 혹은 DLP(Data Loss Prevention) 등의 보안 시스템 구축이 필요하다. 최근에는 기업 내 BYOD(Bring Your Own Device) 환경이 구축됨에 따라 이러한 스마트 기기들을 이용한 정보유출방지도 요구되고 있다.

다섯째, 내부정보 유출방지를 위해 임직원의 관심 및 인식 제고를 위한 적절한 교육 및 홍보활동이 이루어지고 있느냐는 것이다. 아무리 성능이 좋은 보안 시스템을 구축해 내부정보 유출방지를 한다고 하더라고 임직원들의 보안의식이 부족하면 정보 유출을 막기 어려운 것이 사실이다. 따라서 기업 내 핵심 인력에 대한 적절한 보상·대우를 통한 처우 개선, 퇴직자들에 대한 체계적인 관리 및 정기적인 보안 교육을 통해 올바른 보안의식을 가지도록 하는 한편, 기업 내 문화로 정착시키는 노력이 필요하다.

(허청일 한국산업기술보호협회 관제운영팀 연구원/pig837@kaits.or.kr)

[민세아 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)