관리 메뉴

메대리's DIARY

<IT 뉴스&이슈> 기업 보안, 사람? 시스템? 둘 다 바꿔야 한다. 본문

트렌드/IT뉴스&이슈

<IT 뉴스&이슈> 기업 보안, 사람? 시스템? 둘 다 바꿔야 한다.

친절한 메대리 2014. 3. 19. 18:03


"기업이 얼마나 보안에 신경을 쓰고 있는지 등급을 매겨 소비자가 한눈에 확인할 수 있도록 하겠다."


지난 2월 13일, 국회 '미래창조과학방송통신위원회' 에 출석한 최문기 미래창조과학부 장관이 한 말

이다. 빠르면 올해 상반기, 늦어도 올해 하반기 내에 《기업 보안 등급 공시제》가 실시된다. 기업의

보안 등급을 A,B,C,D,F 의 다섯 등급으로 나누어 관공서 홈페이지나 기업 상품, 서비스 전면에 표시

하는 제도이다. 이는 지난 1월 발생한 카드사 개인정보 유출 대란이 일어난 후 정부가 내놓은 후속

조치다.



연이은 개인정보 유출 사태로 기업의 보안에 대한 소비자들의 불신이 극에 달해 있다. 때문에 소비자

들은 이제 기업의 상품이나 서비스를 선택하는 기준에 기업의 보안 수준을 추가하기 시작했다. 기업

보안 등급 공시제가 시행되면 이러한 흐름은 더욱 가속화될 전망이다. 보안이 R&D나 마케팅, 홍보

처럼 기업의 핵심 경쟁력으로 떠올랐다는 것을 의미한다.


그렇다면 국내 기업들의 보안 수준은 어느 정도일까? 결과부터 말하면 '낙제점' 이다. 지난해 안전행정부가 기업의 개인정보보호 실태를 조사해본 결과 전체 조사 대상 기업 2,000곳 중 72.7%는 개인 

정보 보호를 담당하는 부서 자체가 없었고, 95.9%는 암호화 장비 구입이나 별도의 모니터링 인력의

운용 등에 투자할 예산 자체가 없다고 답변했다. 예산을 확보한 기업은 전체의 3.9%에 불과했다.


소비자들의 인식 속에 국내 기업은 보안이라는 개념 자체가 없다고 판단한다. 하나로텔레콤 (현 SK 브로드밴드), 옥션, 네이트, 넥슨, KT, 그리고 이번 신용카드 3사까지, 일종의 연례행사처럼 개인정보

유출이 발생하고 있으니, 당연한 판단이라고 할 수 있다.


기업의 입장에서는 이러한 소비자들의 인식은 하나의 큰 위협 요인이다. 하지만 위기는 얼마든지 

기회가 될 수 있다. 보안에 대한 소비자들의 불신이 날로 커지고, 다른 기업들이 보안 문제로 쩔쩔맬

때, 완벽한 보안 대책을 세울 수 있다면 그만큼 시장에서 앞서 나갈 수 있기 때문이다. 



>>  열길 물속은 알아도 한길 사람 속은 모른다.


개인정보 유출은 국내뿐만 아니라 해외에서도 꽤나 자주 발생한다. IT 기업 중에는 '소니'와 '어도비'

, '구글' 의 사례가 유명하고, 카드회사 중에는 '로드웨이 D&B' '하틀랜드 페이먼트 시스템즈' 의 사례

가 대표적이다. 그런데 흥미롭게도 미국, 유럽 등 서양 기업과 한국, 중국 등 아시아 기업의 개인정보

유출 양상은 명백한 차이점이 존재한다. 서양 기업은 서버 (HW) 또는 운영체제 (SW) 의 보안 취약점

을 통해 해커가 침입하는 시스템적인 문제만 발생하는 반면, 아시아 기업들은 시스템적 문제와 함께

내부 직원이 개인정보를 유출시키는 사람 문제도 함께 발생한다.


미국 기업인 '하틀랜드 페이먼트 시스템즈' 는 외부에서 해커가 침입해 개인정보를 훔친 반면, 국내

신용카드 3사와 중국 로드웨이 D&B는 내부 직원이 개인정보를 빼돌렸다. 이런 차이는 어디서 발생

하는 것일까? 서양인이 동양인보다 더 양심적이기 때문일까? 천만의 말씀이다. 불온한 마음을 먹은

직원은 전세계 기업 어디에나 존재한다. 둘의 차이점은 간단하다. 서양 기업은 내부 직원이 고객의 

개인정보를 빼돌릴 수 있다는 점을 인지하고 이에 대비하는 반면, 아시아 기업은 설마 직원이 개인

보를 빼돌리겠어라고 안이하게 대처하는 경향이 짙기 때문이다. 


서양 기업들은 보통 사소한 개인정보 하나만 열람하려 해도 매니저를 거쳐 디렉터의 허가가 필요

한 반면, 아시아 기업은 사원, 대리급 직원도 CRM 솔루션만 접속하면 고객의 개인정보를 모두 

파악할 수 있다. 쉽게 접근할 수 있으니, 만약 직원이 다른 마음을 먹으면 막을 길이 없는 것이다.


서로 다른 기업 문화도 이러한 현상을 부추긴다. 서양 기업은 업무를 먼저 생성하고 거기에 맞는 

사람을 찾는 반면 아시아 기업은 사람을 먼저 채용하고, 그 사람에게 맞는 일을 찾아준다. 때문에

권한부여 (Empowerment) 의 차이가 심하다. 서양 기업은 업무에 관련된 정보 외에는 직원의 

접근을 엄격히 차단한다. 차단되는 정보에는 고객의 개인정보도 당연히 포함되어 있다. 반면에

아시아 기업은 자신의 업무와 관계가 없는 정보도 직원이 쉽게 열람할 수 있다. 그 속에는 물론

고객의 개인정보도 섞여 있다. 고객의 개인정보에 별다른 제약 없이 누구나 접근할 수 있다보니 

해당 정보가 중요한 것인지 판단 자체가 제대로 서지 않을 수 있다.



이번 신용카드 3사의 개인정보 유출 사태가 그렇다. CRM 솔루션을 구축하기 위해 협력업체에 외주

를 주면서 데이터 입력이 제대로 되는지 확인해 보라고 고객의 개인정보를 고스란히 넘겼다. 더미

(가짜) 데이터를 넘겨줘야 한다는 사실조차 떠올리지 못한 것이다. 쉽게 접근할 수 있다 보니 해당

정보의 중요성 자체를 잊어버린 사례다. 다른 기업의 상황도 다르지 않다. 단지 신용카드 3사보다

운이 좋았을 뿐이다. 본사의 CRM 솔루션 속에 암호화되어 들어있으면 그나마 다행이다. 자사의

PC 속에 엑셀 파일로, 그것도 암호화조차 되어 있지 않은 상태로 고객정보를 보관하는 기업이 얼마

나 많은가.


단순히 고객의 개인정보가 중요하다는 교육만으로는 직원들의 인식을 바꿀 수 없다. 사소한 개인정

보라도 관리자의 허가 (단 한 명의 관리자가 아닌 조직도 상의 직급 단계별 허가를 받아야지만 열람

할  있도록 개인정보를 취급하는 방식 자체를 바꿔야 한다. 이를 깨닫지 못하면 제2, 제 3의 개인정

보 유출 대란의 주역이 될 수밖에 없고, 소비자는 순식간에 발길을 돌릴 것이다.



>>  뭐든지 뚫는 창은 있어도 모든 것을 막는 방패란 없다.


시스템 보안이 창과 방패의 관계라 할 수 있다. 막는 것은 대단히 어렵지만, 뚫고자 마음만 먹으면 안

뚫리는 게 없다. 여기저기 찔러보고 가장 얇은 부분을 힘껏, 또는 여러 번 찌르면 방패는 뚫린다. 

옥션, 네이트, 넥슨 등 국내에서 손꼽히는 IT 기업뿐만 아니라 소니 (플레이스테이션 네트워크), 어도

비 (어도비 CC) 등 해외 유력 IT 기업까지.. 당한 기업도 참으로 다양하다.



하지만 모든 것을 막는 방패는 만들 수 없겠지만, 뚫기 어려운 방패는 충분히 만들 수 있다. 뚫기 

어려운 방패를 만들기 위해서는 두 가지 방법을 반드시 실천해야 한다. 첫째는 다른 기업이 왜 뚫렸

지 분석하고, 해당 취약점이 우리 시스템에 존재하는지 비교해보는 것이다. 알려진 바에 따르면 

이런 과정을 거침으로써 해킹 시도의 80%를 무력화할 수 있다. 과거에는 DDOS (분산서비스거부) 

공격을 통해 약점을 파악하고, 보안 시스템을 뚫는 방식이 해커들에게 선호받았다. 하지만 많은 기업에서 공격을 막을 방법을 연구했고, 이를 통해 퍼포먼스 서버와 관리용 서버를 분리하는 등 다양한 

방어 방법을 도입함으로써 DDOS 공격에 이은 해킹을 막아낼 수 있게 되었다.


둘째는 최신 보안 기술을 도입함으로써 보안 시스템을 보다 견고히 구축하는 것이다. 이를 통해 해킹

시도의 15%를 무력화할 수 있다. 지금도 수 많은 IT 기업이 각종 해킹 시뮬레이션 시행을 통해 대처

법을 고안해내고 있다. 최고정보보안관리자는 여러 IT 기업과 지속적으로 교류함으로써 다양한 최신

보안 기술을 도입할 수 있어야 한다. 


뚫리는 것을 막을 수 없다면 뚫릴 경우 발생할 피해를 최소화하는 것도 하나의 방법이다. 고객 식별

을 위해 수집하는 최소한의 정보를 제외한 나머지 정보는 수집하지 않거나, 만약 수집하더라도 휘발

성 데이터로 처리해 즉시 삭제하는 방법 등이 있을 수 있다. 해커는 돈이 되기 때문에 고객의 개인

정보를 노린다. 수집한 정보에 별 다른 가치가 없다는 해커가 노릴 이유가 없다. 국내 기업은 주민등록번호주소, 전화번호 등 해커의 입장에서 가치있는 개인정보를 너무 많이 수집한다. 해커가 노릴 이유가 충분한 것이다. 


 

1 Comments
댓글쓰기 폼