‘가장 위험한 적은 바로 내부에 있다.’
전 국민을 개인정보 유출의 공포로 몰아넣은 GS칼텍스 사건은 내부 정보 관리가 얼마나 중요한지를 여실히 보여준 사건이다. 이 사건은 발생 단 3일 만에 고객의 개인정보를 빼낸 범행자가 바로 사실상 내부자인 자회사 직원이었다는 사실이 밝혀져 충격을 줬다. 범행자들은 자신의 고객정보 데이터베이스(DB) 접근 권한을 이용해 올해 7월 초부터 한 달 동안 자신의 업무용 컴퓨터에 고객 개인정보를 내려받았던 것. 더욱 어이없었던 것은 본사도 아닌 자회사 직원들이 마음만 먹으면 얼마든지 수백, 수천만명의 고객 정보를 통째로 빼낼 수 있었다는 점이다.
이같이 주목을 받지는 못했지만 기업과 국가 경제에 엄청난 피해를 주는 사건은 허다하다. 각 기업의 중요 문서와 기술이 유출됨으로써 보는 피해는 이와는 비교할 수 없다. 실상 GS칼텍스 사건은 정보가 악용되기 전에 발각돼 피해는 크지 않은 것으로 파악됐지만, 중요 정보가 내부자에 의해 유출됨으로써 보는 피해는 집계된 것만 수백조원에 달하는 것으로 추정된다.
삼성전자 정도의 기업 대여섯개가 일 년 동안 벌어들이는 매출이 순식간에 날아가버리는 것과 같은 효과다.
최근에는 방화벽이나 침입탐지시스템 등 보안시스템의 강화로 인해 외부에서 정보를 빼내는 위협은 덜한 반면에 전·현직 임직원과 관계자들에 의한 내부 정보 유출이 심각한 문제로 대두되기 시작했다.
이러한 내부 정보 유출을 막을 수 있는 다양한 방법이 제시되고 있다. 정보보호 업체들은 정보가 유통되는 길목 곳곳에서 방지 장치를 해놓음으로써 보다 안전하게 정보가 보관되고 유통되도록 도울 수 있다고 강조했다.
◇내부 정보 유출로 지난 5년간 무려 200조원 피해=2008년 7월 발표한 국가정보원 산업기밀보호센터 자료에 따르면 2003년부터 올해 7월까지 총 151건의 유출시도사례가 적발됐다. 그 예상 피해액은 자그마치 188조5000억원에 육박할 것으로 추정된다. 와이브로·조선·자동차·셋톱박스 등 전 세계적으로 인정받는 우리 기술력이 하나 둘 새어 나간 결과다. 중점 유출 대상이 되는 설계도면이나 프로그램 소스는 그 자체가 기업의 핵심 정보자산인 게 대부분이다. 특히 원천기술 하나가 기업의 생존을 좌우하는 중소기업에는 정보 유출 하나로 치명적인 위기를 초래하기 때문에 이에 대한 경각심을 높여야 한다.
중기청에서 발표한 ‘2008년 상반기 산업기밀관리실태조사보고서’에 의하면 이러한 유출 사건의 80% 이상은 내부 전·현직 직원에 의한 것이다. 2003년부터 적발된 145건의 사건 중 120건이 전·현직 직원에 의해 유출된 것으로 파악됐다.
◇끊임없는 관리와 교육이 필요=내부자에 의해 정보가 유출되는 것을 막는 것은 교육과 끊임없는 관리가 생명이다. 정보가 오가는 곳곳에서 빈틈이 없는지 관리해야 하며, 권한을 분산해 다자 간 관리가 가능하도록 해야 한다. 특히 최근에는 업무 이동성이 커지면서 다양한 기기와 네트워크를 이용해 정보에 접근하다 보니 정보가 유출될 수 있는 가능성 또한 커졌다.
기업과 기관은 안전하게 정보가 오갈 수 있도록 규칙을 정해야 한다. 직원들이 부서 이동을 할 때나 업무가 바뀔 때에도 정보에 어떻게 접근하도록 할 것인지 절차를 만들어야 한다. 가장 중요한 것은 이 규칙을 따르는지 점검하는 것이다.
정보의 양이 방대해지고 정보를 다루는 사람의 수도 늘어나기 때문에 기술의 힘을 빌려야 하는 것은 물론이다. 내부 정보 유출을 방지하는 기술로는 크게 세 가지가 주목을 받고 있다. 정보가 이동하는 경로를 차단하고 관리하는 기술과 정보 자체에 암호를 걸어 외부에서는 볼 수 없도록 하는 기술, 또 이러한 툴들이 제대로 설치돼 있는지 등을 점검·관리하는 기술로 나눌 수 있다.
김홍선 안철수연구소 사장은 “내부 정보 유출을 막기 위해서는 네트워크·애플리케이션 등 모든 분야에 걸쳐 보안하고 관리해야 한다”며 “가장 중요한 것은 관리인만큼 전문컨설팅이나 서비스 등도 중요한 항목이 된다”고 말했다.
문보경기자 okmun@etnews.co.kr
관련 통계자료 다운로드 내부정보 유출 방지 기술 현황