[김국배기자] 최근 발생한 스탠다드차타드(SC)은행·씨티은행의 개인정보 유출 사고가 내부 직원에 의한 것으로 드러나면서 사람이 보안의 '원초적 구멍'이라는 지적이 다시금 고개를 들고 있다. 이에 따라 내부자를 포함한 사람을 향한 보안 대책 마련이 시급하다는 목소리가 강하게 제기되고 있다.
지난 11일 SC은행과 씨티은행에서 13만 건의 개인정보가 유출됐다. 지금까지 정보 유출사고가 주로 제2금융권에서 일어난 것과 달리 이번 사고는 은행권에서 발생했다. 유출된 정보에는 이름과 연락처, 대출액, 대출잔액, 대출일자, 만기일자 등 상세 정보가 포함돼 있어 보이스피싱, 스미싱 등의 2차 피해가 우려되는 상황.
특히 이번 사건은 기술적 보안 문제가 아닌 내부 직원 관리가 원인으로 지목되고 있다는 점에서 주목할 만하다. 씨티은행은 고위 간부가, SC은행은 IT 외주 용역업체 직원이 연루됐다.
이들은 프린터로 출력한 종이문서를 통하거나 USB에 담아 정보를 외부로 유출했다. 집중적으로 보안시스템을 늘려도 사람 행동 하나에 와르르 무너질 수 있는 게 보안이라는 사실을 증명한 셈이다.
◆외부 공격 방어에만 치중하다 내부 사람 문제 불거져
'사람이 최대 보안 취약점'이라는 얘기는 이미 오래 전부터 나왔다. 이번 사고 역시 이미 예견된 일이었다는 지적은 그리 이상하지도 않다. 보안 의식이나 교육에 대한 투자보다는 보안시스템을 늘리는 데만 치중한 것이 근본 원인이라는 것이다.
그 동안 기업은 보안시스템을 통해 외부에서 들어오는 해킹을 막는데 주력해 왔다. 기업에서는 인가받지 않은 사람들이 내부로 들어오는 것을 막기 위해 방화벽을 세웠고 해커는 네트워크 시스템을 뚫기 위해 노력했다. 기업은 또 더 많은 관문을 세웠다.
실제로 블루코트코리아가 '2012년 지식정보보안 산업실태조사'를 토대로 분석한 결과 지난해 국내 보안 시장에서 보안시스템에 대한 투자 비중은 70.5%에 달했으나 보안 의식 및 교육에 관한 투자는 0.4%에 불과했다. 이 회사는 해당 자료를 정보보호 거버넌스(GRC) 측면의 정보보호 활동으로 재분류했다.
블루코트코리아 김창오 기술이사는 "사람들의 인식과 교육에 대한 투자가 없었고 이는 결국 보안에 있어 가장 취약한 영역이 됐다"며 "지능형 지속위협 공격(APT)이 떠오른 것도 같은 맥락"이라고 설명했다.
보안 교육에 대한 투자가 부족했던 것이 해커가 어려운 네트워크 관문을 직접 뚫지 않고 상대적으로 쉬운 개인 PC를 차지하는 공격 양상이 나타난 배경이라는 것이다. 이메일이나 홈페이지를 통해 악성코드 심고 개인 PC를 장악하는 것이 상대적으로 쉽기 때문이다.
더 큰 문제는 보안 인식이나 교육에 대한 부분은 단기간에 해결될 수 없다는 것이다. 보안 시스템에 문제가 있다면 곧바로 조치를 취할 수 있겠지만 의식 제고에는 상당한 시일이 소요되기 마련이다.
김창오 기술 이사는 "지금까지 집중하지 못한 보안 활동 영역이 현재의 취약점을 불러일으키는 셈"이라며 "인식 개선을 위한 교육 투자를 지속적으로 하되 그 전까지는 조금이라도 더 안전할 수 있도록 보안 업체들도 대안을 찾아야 한다"고 말했다.
우선적으로 정보보안 인력의 처우 개선이 필요하다는 조언이 나온다. 기업들이 '생색내기'용으로 정보보안 인력을 늘릴 것이 아니라 정규직으로 안정된 직업을 가질 수 있게끔 하는 대책이 나와야 한다는 것이다.
김승주 고려대학교 정보보호대학원 교수는 "많은 금융기관에서 보안 전문가를 뽑을 때 계약직으로 뽑는 사례가 많다"며 "처우가 좋지 않으니 이직을 고민하는 등 정규직에 비해 당연히 충성도가 떨어질 수밖에 없다"고 말했다.
그는 또 "그 동안 이 부분을 소홀히 해왔기 때문에 아마 당분간은 내부직원과 관련한 문제들이 생길 것으로 보인다"며 "내부 직원을 관리할 수 있는 보안 시스템에 더 신경을 쓰는 것도 도움이 될 것"이라고 덧붙였다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기