CJ헬로비전의 보안 미숙에 대한 안일한 대처. 이를 통해 살펴본 기업 보안의 핵심은 외부 보안보다는 내부 보안에 있는데..

페이스북으로 이런저런 글들을 보고 있는데 아래와 같은 기사가 하나 올라왔다. 보안관련 기사여서 좀 살펴봤는데 제목도 그렇고 내용도 그렇고 어이가 없는 기사다.

CJ헬로비전, 고객정보 23만명 유출…"회수 완료" (디지탈타임즈)

솔직히 기자를 탓한 생각은 없다. CJ쪽에서 보내온 보도자료가 아마도 저랬을 것이며 제목 역시 내용보고 뽑았을테니 말이다. 하지만 좀 생각해봐야 할 것이 넘어간 고객정보를 회수했다는 표현 자체가 과면 맞는 것인가 하는 부분이다. 일단 넘어가면 원본은 여러 방식으로 복제되어 사용될텐데 어떻게 다 회수되었다는 것인지, 또 종이가 아닌 디지털 파일 형식으로 되어있을텐데 손쉽게 다량으로 복제가 가능한데 어떻게 회수했다는 것일까? 유출된 자료가 고객이름과 전화번호 뿐이라고 하지만 그것만을 놓고 유추했을 때 유출된 자료 형식은 파일 형식이든 홈페이지의 해킹을 통한 자료 테이블 노출이든 그런 형식이었을 것이라고 본다면 회수라는 것이 정말 가능할까 싶기도 하고.

어떤 경로를 통해서 유출이 되었는지는 기사에 나오지 않기 떄문에 자세히 알 수 없지만 고객정보를 다루는 부서의 PC가 해킹당하여 유출된거 같지는 않고 아마도 내부에서 작업하던 사람들(주로 외주 업체 관계자들일 가능성이 많은게 현실이다)이 USB나 다른 매체를 이용하여 정보들을 오가면서 회사 밖에서, 혹은 업무용 PC가 아닌 다른 PC를 사용할 때 지웠어야 했는데 지우지 않은 상태로 있다가 다른 사람에 의해서 복사되어 나갔을 확률이 높다. 대부분의 고객 정보 유출은 요즘은 해킹보다는 내부에서 파일 형태로 돌아다니는 것을 복사해뒀다가 회사 밖에서 유출하는 내부자 소행이 많기 때문에 CJ헬로비전의 상황도 비슷하지 않을까 예상만 해본다.

기사 내용을 토대로 보면 CJ헬로비전의 저 보도자료는 그냥 눈 가리고 아웅하는 것과 다름없다. 앞서 얘기했듯 디지탈로 된 자료는 회수라는 것이 어렵다. 복사가 손쉽기 때문이다. 그리고 누가 언제 복사했는가를 확인하기도 어렵다(물론 사용 이력 등을 분석하여 접속 시간 및 IP, 사용자 등을 조사해서 확인할 수는 있을지 모르지만 그 이후의 2차, 3차 복사에 대해서는 확인이 현실적으로 어렵다. 그리고 회수라는 것이 의미하는게 뭔지도 모르겠다. 디지탈 문서는 삭제가 파기를 의미하기는 하지만서도 복사본이 많다면 삭제도 쉽지가 않을테니 말이지). 결국 저 내용은 CJ헬로비전을 사용하는 사용자들을 그냥 안심시키기 위한 쇼라는 얘기며 회수 완료라는 말은 거짓말이나 다름없다고 봐도 좋을 것이다. 왜? 디지털 자료는 회수라는 단어가 성립되기 어렵기 때문이다.

위의 내용을 토대로 보안 이야기를 좀 해보자.

지금까지 고객정보 유출 사건의 형태를 보면 대부분 내부에서 파일 형식으로 돌아다니는 정보들이 빠져나가는 방식이 많다는 것을 알 수 있다. 요즘은 외부 보안 솔루션의 성능들이 좋아서 외부에서 해킹으로 내부에 침투해서 고객정보나 기말자료를 빼나가는 것이 많이 어렵다. 그렇다보니 내부의 헛점을 이용하여 정보를 빼오는 경우가 많다(하기사 이 방법도 오래전부터 사용하던 방법이기는 하다. 내부 스파이가 다 그런 것이니까 말이지). 그래서 클라우드 서비스 시대, 그리고 모바일 전성시대에 접어든 요즘에도 내부 보안 시스템에 대한 관심이 기업들 사이에서는 여전히 높다. 안에서 새는 바가지는 밖에서는 언젠가는 드러나기 때문이다.

내부 보안 솔루션은 여러가지가 있다. 파일 자체를 보안하는 DRM이 있고 내외부로의 데이터 흐름을 제어하는 DLP가 있을 것이다. 네트워크 접근을 제어하는 NAC도 있다. 언급한 보안 솔루션들은 대부분 허가받은 사용자, 인가받은 PC나 모바일에서만 접근해서 사용을 허용하는 시스템이다. 즉, 허가된 사용자, 지정된 단말기에서만 데이터를 사용할 수 있게 하며 같은 자료라고 하더라도 권한을 둬서 책임을 지도록 하는 시스템이라는 얘기다.

물론 DRM도 DLP도 사용자 입장에서는 말들이 많다. 내가 작성한 문서를 나중에 퇴사한 이후에는 열어볼 수 없기 때문에 왜 활용을 못하게 만드느냐고 불만들이 많다. 그리고 DRM이나 DLP는 시스템 제어를 통해서 사용자의 사용 권한을 제어하기 때문에 PC용 에이전트를 설치해야 하고 그러다보니 Windows OS에서만 사용할 수 없는 단점도 존재한다. 시스템을 불안하게 만드는 원인으로 지목받기고 하고 말이다. 그런데 기업을 경영하는 입장에서는 월급을 주고 회사의 자료를 만들기 때문에 회사에 소속되어 그 안에서 만드는 문서는 회사 소유라고 생각하고 제어를 한다고 생각하기 때문에 사용자(직원)와 관리자(경영자)의 생각의 차이로 인한 논란은 여전한 것이 사실이다. 시스템적인 부분은 제어를 위해서 어쩔 수 없이 따라오는 부분이라고 솔루션 개발사들은 얘기하지만 이 역시도 지속적으로 안정화를 해야 하는데 그렇지 못한 것이 사실이기도 하고 말이다(보안 업계를 무작정 디스하려는 것은 아니다. 생각보다 DRM, DLP 등의 솔루션을 만드는 업체들이 그렇게 자원이 풍부한 것은 아니라는 것을 알기에 말이지).

일단 경영자 입장에서는 위에서 언급한 보안 솔루션들을 도입하고 적용함으로 심리적인 안정(?)을 가져올 수는 있을 듯 싶다. 하지만 이게 다가 아니다. 실제로 중요한 것은 개개인의 보안 의식과 윤리 의식이 갖춰져야만 이런 솔루션을 통한 보안도 효과가 있다는 것이다. 늘 그렇듯 시스템만 도입하면 끝이라고 생각하는 경영자들과 시스템만 도입하면 뭐든 해결할 수 있다고 마케팅하는 보안 업계들로 인해 진짜 중요한 보안 의식 개혁을 통한 시스템 및 사람의 보안을 놓치는 경우가 많다. 보안 솔루션 관리자들의 전문적인 교육과 동시에 보안 적용 대상이 되는 직원들의 윤리, 보안 의식도 함께 고쳐지지 않으면 지속적인 보안 이슈들은 계속 터져나올 것이다. 즉, 정부의 보안에 대한 투자는 시스템 개발에만 집중할 것이 아니라 보안 교육쪽, 특히 담당자들과 직원들의 교육에 집중해야 하며 보안 담당자들도 겸직이 아닌 전문 보안 담당자를 두어 그 일에만 집중할 수 있게 만드는 환경 조성이 필요하다는 얘기다. 한수원 사태의 원인 중 하나가 직원들의 안일한 보안 의식과 함께 제대로 된 보안 관리가 안이뤄졌기 때문임을 생각한다면 더더욱 보안 교육은 필요하다는 생각이 든다.

시작은 CJ헬로비전의 안일한 대처에 대해서 비판하려고 했는데 쓰다보니 내부 보안에 대한 이야기로 마무리가 되는 듯 싶다. 어찌되었던 결론은 보안의 핵심은 외부에 있는 것이 아니라 내부 단속에 있다는 얘기다.