-
카드사 고객정보 유출 사건을 보면서 기업 내부에서 이제는 필요로 하는 내부 보안 시스템은 어떤 것이 있을까? (2부)Security 2014. 3. 14. 07:46반응형
이전 포스팅에 이어 카드사 고객정보 유출 사건에 대응하여 기업 내부에서의 내부 보안 시스템에 대하여 마저 언급하려고 합니다.
DLP를 통한 통합제어로 정보유출 방지
언론을 통해서 공개된 내용에서는 해당 PM이 어떻게 데이터를 외부에 유출시켰는지에 대해서는 언급하지 않았습니다. 메일을 통해서 팔았는지, 아니면 USB에 담아서 넘겨줬는지, 아니면 자기 PC에 담아온 다음에 팔았는지에 대해서 언급이 없습니다. 어찌되었던 내부 정보를 수집했고 그것을 파일 형태로 담았을 테고 유출 방식은 그 이후가 될 텐데요. 일단 제대로 DRM이 적용이 되었다면, 그리고 회사 밖에서 해당 파일을 열 수 없게 인증방식을 내부로 국한시켰다면 파일을 유출해도 문제가 되지 않았을 것입니다만 유출된 것으로 봐서는 그렇게까지 보안을 걸지는 않았던 거 같습니다(아예 보안이 없을 수도 있겠죠). 여기서 생각해볼 보안 솔루션은 DLP(Data Loss Prevention, 데이터 유출방지) 솔루션입니다.
DLP 솔루션은 외부로 빠져나가는 경로를 모두 감지해 막거나 암호화합니다. 암호화 한다는 점에서는 DRM과 비슷하지만 내부에 있을 때에도 암호화를 하는 DRM과 내부에 있을 때에는 원본 상태, 혹은 평이한 암호화를 진행하는, 즉 외부로 나갔을 때에만 집중하는 DLP는 접근 방식이 틀립니다. 어찌되었던 외부로 나가는 데이터의 흐름을 차단하고 보호하는 것이 DLP 솔루션의 핵심입니다. 매체 제어 기능이나 이메일 제어 기능도 이제는 DLP 솔루션 영역 안에 포함된다고 보면 됩니다. 이렇게 DLP가 적용이 되면 USB를 이용하거나 메일을 이용할 때에도 상급자의 허가를 받아야 하거나 사용할 수 없게 됩니다. 외부로 나가는 통로를 봉쇄하는 효과가 있지요. 위에서 언급했듯 외부로 나가는 데이터 흐름을 통제하기 때문에 내부 데이터 흐름을 같이 강화하기 위해서 DLP와 DRM을 함께 사용합니다. 물론 정책을 잘 세워야 효과적인 내•외부 보안이 되겠지만 말이죠.
외부 기기에 대한 강력한 통제를 통한 정보유출 방지
보통 삼성전자나 LG전자와 같은 대기업이나 금융권 프로젝트를 할 때 보면 IT 센터에 들어가기 전에 보안 검사를 합니다. 외부에서 들여오는 장비에 대해서는 철저하게 조사를 하죠. 사전에 등록되지 않은 노트북이나 태블릿PC, 저장매체(USB 메모리, 이동식 HDD 등), 심지어는 스마트폰까지도 갖고 들어가지 못하게 합니다. 다 사전에 등록하라고 하죠. 문제가 생겼을 경우에 책임소재를 따지기 위함이 우선입니다. 그리고 노트북의 경우에는 갖고 들어가서 작업한 후 작업이 끝나면 포멧(그것도 로우포멧을 합니다)을 해서 내보냅니다. 내부에 저장되어있을 가능성이 높은 내부 자료의 유출을 방지하기 위함입니다. 그래서 보통 자신의 노트북 등 개인장비가 아닌 회사에서 지급한 장비를 갖고 들어가는 경우가 많습니다.
또 내부에서 해당 장비를 사용하기 위해서는 그 기업이나 금융권 회사에서 제공하는 보안 솔루션을 설치해야만 합니다. 그래야 내부 네트워크 접속이나 인터넷 사용이 가능하기 때문입니다. 설치가 안되면 아예 작업 자체가 안 되는 경우가 많기 때문에 어쩔 수 없이 설치해야 하지요. 보안상 필요하지만 외주인력의 경우에는 아주 짜증나는 일이라고 할 수 있겠죠. 하지만 필요한 작업임은 분명합니다. 하지만 철저하게 하는 기업이 있는가 하면 대충하는 기업도 있습니다. 제대로 확인하지 않는다는 얘기죠.
이번에 문제가 생겼던 금융권과 문제가 되지 않은 금융권의 차이를 보면 위의 보안 장치를 얼마나 잘 활용했는가에 따라서 달라짐을 알 수 있습니다. 문제가 된 KCB의 PM은 위의 3개 카드사 외에도 삼성카드와 신한카드에도 작업을 했다고 합니다. 하지만 이 2개의 카드사는 문제가 되지 않았습니다. 위에서 언급한 사전 보안 장치와 더불어 DLP, DRM을 잘 적용한 결과라는 것이 보안업계의 시각입니다. 위에서 언급한 보안 솔루션 이외에도 이런 사전 보안도 중요한 요소입니다.
이렇게 내부적으로 필요로 하는 보안 솔루션에 대해서 살짝 살펴봤습니다. 보면 외부에 노출하는 솔루션에 대한 보안 등급 못지않게 내부 보안도 비슷한 등급의 보안을 필요로 한다는 것을 알 수 있습니다. 이제는 내부가 외부보다 안전하다는 생각은 위험한 판단이 될 것이라는 생각이 듭니다. 물론 보안이 강화될수록 편의성, 생산성은 떨어질 수 밖에 없습니다. 보안과 편의성은 서로 반비례 관계에 가까우니까요. 하지만 이제는 점점 정보보안이 편의성과 생산성보다 먼저 생각해야 할 상황이 되어가고 있는 것이 현실입니다. 앞서 얘기했듯 정보를 다루는 사람들의 도덕적, 윤리적, 보안적 인식을 갖게 하는 것이 중요하고 선행되어야 하며 그와 병행하여 위와 같은 내부 보안 시스템도 함께 갖춰서 만의 하나에 일어날 수 있는 문제점을 예방하는 것이 중요할 듯 합니다. 보안은 문제가 생긴 후에 처리하는 것이 아닌 문제가 생기기 전에 예방을 하는 것이 목적이니까요.
이 글은 LG CNS 블로그에 기고했던 글의 원본입니다. 기고한 글은 [여기]에서 보실 수 있습니다.
반응형댓글