[테마기획]고객의 정보유출 방지

Photo Image
관련 통계자료 다운로드 보안사고로 인한 손실 유형

◆최일훈 소만사 연구소장&미주사업 총괄 전무이사

1995년 서울대학교 계산통계학과 학사

2007년 연세대학교 산업정보경영 석사

1995∼1998년 LG Soft 주임연구원

1999∼2000년 TIBCO(미국) 시니어 엔지니어

2000년 이후 현 소만사 연구소장

‘인터넷상에서 공개된 자신의 주민등록번호를 발견했다면?’

아마도 여러분은 꺼림직한 느낌과 함께 누구의 소행인지 괘씸해할 것이다. 아니, 혼자 분을 삭이는 것에 그치지 않고 법적으로 대응해야겠다고 생각할지도 모르겠다.

작년에 우리나라에서는 게임업체와 은행에서 고객의 정보가 유출되는 사고가 있었다. 소송이 종결되지는 않았지만 적은 보상액이나마 원고(고객)측이 승소할 것으로 예상되고 있다. 한편 이 사건으로 인해 자신의 정보가 원치않게 공개된 사람들도 피해를 입었지만 위의 두 업체의 손해도 만만치 않다. 근본적인 책임이 있긴 하지만 둘 다 모두 국내 대표기업이라는 점에서 이미지 손상과 신뢰도 저하라는 엄청난 손실을 감수해야 하기 때문이다. 이처럼 고객정보 유출방지는 최근 서비스 업계에서 화두가 되고 있다.

 한편 기업 입장에서는 고객의 정보유출을 방지하는 것 이외에도 자사의 경영, 기술과 관련된 주요 정보를 보안하는 일도 중요하다. 이에 대한 대비로 유수기업들은 오래 전부터 투자를 해오고 있었지만 여전히 많은 기업 비밀이 다른 기업 또는 해외로 유출되고 있다. ‘중국으로 기술이 유출된다’는 뉴스는 이제 뉴스도 되지 못하고 있는 실정이다.

<그림1. 보안사고로 인한 손실 유형>

고객정보유출 문제가 대두되는 이유로는 △정보의 가치에 대한 인식 제고 △인터넷을 통한 정보의 손쉬운 배포와 공유 △오프라인 지식과 거래의 디지털화 △사용자의 공급자에 대한 협상력 상승 △IT 아웃소싱 확대에 따른 기업정보의 노출 증가와 같은 것을 들 수 있다.

◇‘유출방지’ 해도 되고 안 해도 되는 것인가=일이 이쯤 되면 국가가 방관할 수만은 없는 노릇이다. 정보유출에 의한 우려를 없애 각종 거래를 활성화시키고 국가경쟁력이 유출되는 것을 방지하며 투자자에게는 투명한 기업 경영활동을 보장하기 위해 세계적으로 수 년 전부터 정부차원에서 관련 법안을 신설 강화하고 있다. 더 이상 기업의 자율적인 결정에만 맡기지 않고 정부기관이 공익을 위해 적극적으로 관여하기 시작한 것이다.

관련된 규제로는 미국의 경우 엔론과 월드컴의 파산사건을 계기로 기업의 투명성 제고를 위한 사베인-옥슬리 법안(약칭 SOX)이 2002년에, 의료산업에서 환자의 신상정보 보호를 위한 HIPAA가 2003년에 발효되었다. 우리나라에서도 개인정보보호법, 전자금융거래법, 산업기술 유출방지 및 보호에 관한 법률, 건강정보보호법 등이 이미 시행 중이거나 대기 중에 있다.

정보와 지식이 핵심 키워드가 되고 인터넷을 통한 활발한 공유가 사회의 패러다임을 바꿔놓고 있는 요즘 기업 입장에서는 정보의 수집과 활용 못지않게 정보 보안이 비즈니스의 성패를 좌우하고 있다. 충분한 보안 예방활동과 시스템 구축을 통해 대비하지 않는다면 속칭 잘 나가던 기업이 한 순간에 망할 수도 있는 세상이 된 것이다.

◇어디에 있는 정보를 보안할 것인가=정보는 사람의 머리 속에 있는 암묵적 지식이 아니라면 어딘가에 명시적으로 기록되어 있을 수 밖에 없다. 기업의 전산환경에서는 고객정보 회사기밀 등은 데이터베이스(이하 DB)에 집중적으로 저장된다. 그룹웨어, 인트라넷, CRM, MIS, ERP 등 대부분의 기업용 어플리케이션은 정보를 뒷단의 DB에서 저장관리하고 사용자에게는 데이터의 조회와 편집기능을 제공하는 이른바 클라이언트-서버 구조형태로 대부분 동작한다. 정보를 그 생명주기(lifecycle) 관점에서 본다면 가장 많은 시간을 DB안에서 머물다 소멸되는 것이다.

따라서 비인가된 데이터 접근차단이나 유출방지 측면에서 가장 주요 보안의 대상이 되는 정보는 DB에 담겨진 정보라고 할 수 있다. 앞에서 언급했던 몇몇 법안에서도 ‘DB에 대한 모든 접근이력을 남겨야 한다’라는 문구를 명시함으로써 DB내의 정보에 대한 보안(이하 DB보안)을 강조하고 있다. 이에 따라 DB보안 솔루션에 대한 요구가 증가되고 있고, 해당 솔루션 시장이 점차 확대되고 있다. <그림2. 보안제품의 시장 사이클>

◇어떤 방식으로 보안할 것인가=현재까지 DB보안은 크게 두 가지 방식으로 발전하고 있다. 하나는 DB에 대해 비인가된 접근을 통제하고 접근이력을 관리하는 방식이고 다른 한가지는 DB내의 정보를 암호화하여 권한이 없는 사용자에게는 노출되지 않게 하는 방식이다.

암호화하는 방식은 기존 어플리케이션의 변경이 필요하고 성능이 저하되는 단점으로 인해 상대적으로 널리 이용되지는 못하고 있으나 세계적인 IT 시장조사기관인 가트너(gartner)에서는 궁극적으로 두 가지 모두를 병행하는 것이 최선이라고 권유하고 있다. 이 글에서는 비교적 널리 적용되는 첫번째 방식(접근제어 & 이력관리)에 대해서 살펴보기로 한다.

◇어떤 솔루션을 선택할 것인가=솔루션 선택방법에 대한 얘기 이전에 짚고 넘어갈 점이 있다. 기업활동을 수년 또는 수십 년 걸쳐 해오다 보면 내부에 운영하는 DBMS의 개수와 종류가 늘어나기 마련이다. 예를 들면 CRM솔루션은 Oracle을 인트라넷은 MS-SQL을 고객조회 프로그램은 Informix를 사용하는 식이다. 그런데 막상 DB보안을 하고자 할 때는, 비싼 DBMS에 대해서만 고려하면 될 것 같은 착각을 하기 쉽다. 비싸니까 중요할 거라는 고정관념 때문이다. 하지만 DB보안의 주 목적은 정보를 보안하려는 것이지 DBMS 시스템 자체를 보안하는 것이 아니다. 다시 말해서 중요정보가 저장되어 있다면 비록 그 시스템이 값싼 장비와 DBMS 제품을 사용하더라도 보안의 고려 대상이 되어야 한다.

시장에 나와있는 DB보안 제품들은 서로 다른 장단점을 가지고 있어 일률적으로 순위를 부여할 수는 없다. 하지만 DB보안의 기본 목표와 도입하려는 조직의 특수목적을 감안하여 제품을 선택하는 것이 좋다. 아래 표는 가트너사가 2006년 보고서에서 기술한 ‘이력관리 및 감사를 위한 DB보안 제품 선택기준’이다.

◇DB보안만으로 충분할까=갱스터 영화에서 자주 보게 되는 은행의 금고실을 떠올려보자. 금고는 아주 튼튼해야 하고, 물품을 보관한 사람만이 자신의 비밀번호나 열쇠로 열 수 있다. 그런데 이것이 그 은행 보안시스템의 전부라면 안전하다고 할 수 있을까?

이 때의 가장 큰 허점은 내부직원에 대한 방비책이 없다는 것이다. 마스터 키를 관리하는 직원은 나쁜 마음만 먹는다면 금고를 열고 고객의 재산을 빼돌릴 수도 있다. 따라서 금고실 입구에도 CCTV를 설치하고 경비요원을 배치하는 추가적인 보안책이 필요하다.

앞의 예에서 금고 자체에 대한 보안을 DB보안이라고 한다면, 추가적인 보안은 유출경로인 네트워크에 대한 보안이라고 할 수 있다. 물론 DB는 기업 정보환경에서의 핵심 인프라이기 때문에 최고의 우선순위를 가진다. 하지만 정당한 DB접근 권한이 있는 사람에 의해서도 유출은 발생할 수 있고, DB에 저장되지 않은 중요한 정보도 있을 수 있다. 따라서 이에 대한 대비책도 간과할 수 없다.

네트워크를 통한 유출방지는 이메일, 웹, 메신저, P2P 등 다양한 통신채널을 통해 전송되는 정보를 접근제어하고 전송이력을 관리하는 방식으로 이뤄진다. 이처럼 내부에서 외부로의 유출경로를 보안하는 제품은 컨텐트 모니터링 & 필터링(Content Monitoring & Filtering, 이하 CMF) 제품이라고 명명된다. 좀 더 완벽한 보안을 위해서라면 DB보안 이외에 CMF 에 대한 고려도 필요하다.

◇향후에 남겨진 과제는=그림1 에서 보듯이 DB보안은 아직 성숙기 이전에 위치하고 있다. 이 사실만으로도 고객의 다양한 요구사항을 지금의 제품들은 충분히 만족시키지 못한다는 반증이 된다. 실제로 대용량 트랜잭션을 유발하는 DB에 대한 지원과 인공지능이나 데이터마이닝 기법 등을 통한 자동 이상탐지는 현재에도 절실하게 요구되는 기능들이다.

수십년 동안 갖은 풍파와 깨달음을 얻은 뒤에야 현자가 되듯, DB보안 제품도 많은 고객을 거치고 심화된 논의와 비평들을 겪고 난 후에야 ROI가 보다 높은제품으로 거듭날 것이다. 하지만 그렇다고 하더라도 그 대비를 뒤로 미룰 수는 없다. 정보유출에 대한 보안은 LCD TV처럼 없어도 또는 나중에 사도 되는 성질이 아니라 당장의 생존에 영향을 주고 법으로도 강제되기 때문이다.

일전에 만난 모기업의 보안담당자는 ‘보안은 투자를 해도 해도 끝이 없고 안심할 수 없다’라는 자조 섞인 얘기를 한적이 있다. 인터넷의 발달과 함께 본격적으로 시작된 IT보안은 십 수년간의 짧은 기간 동안에도 많은 발전을 이뤘지만 여전히 해결해야 할 문제들이 많이 남아있다. 보안이라면 아직도 해커와 바이러스만을 떠올리는 것은 구시대적 발상이다. 이전에는 단순한 지원역할에서 현재에는 경영의 핵심활동으로 자리잡을 만큼 IT보안은 그 대상과 폭이 넓어지고 있다. 적어도 정보인프라와 네트워크가 발전하는 한 보안은 매일같이 노력하고 신경써야 하는 숙제와 같다고 할 수 있겠다. acechoi@somansa.com