2014년 대한민국은 크고 작은 사건이 곳곳에서 발생하며 안전불감증이 화두로 떠올랐다. 이는 인명피해에만 국한된 것이 아니라 여러 분야에서 나타나고 있다.
특히 보안시장에서는 상반기에 발생한 카드 3사 개인정보유출문제로 인해 정보보안에 골머리를 앓기도 했다.
IT 인프라 구축이 원활하게 이뤄진 것으로 알려진 금융권, 공공기관에서 이러한 문제가 발생함에 따라 개인정보보호법도 강화됐다.
개인정보보호법 개정 이전에는 법적 근거 없이 고객의 동의만으로도 주민등록번호 수집이 가능했으나, 8월 7일부터는 명시적으로 관련 법령이 허용한 경우 외에는 고객의 동의만으로 주민등록번호 수집이 불가능하다.
뿐만 아니라 처벌 역시 대폭 강화됐다. 온라인상 개인정보를 유출한 기업에 대한 처벌이 최대 1억원에서 ‘관련 매출의 3% 이하’ 과징금으로 변경됐으며, 피해자는 개인정보유출과 관련한 손해액을 입증하지 않아도 최대 300만 원의 손해배상을 청구할 수 있게 됐다.
그럼에도 불구하고 일각에서는 이 또한 사후 대책일 뿐 확실한 사전 예방책은 나오지 않고 있다는 지적도 나오고 있다.
개인정보유출 사건의 가장 큰 원인으로는 ‘관리 소홀’을 들 수 있다. 카드 3사 고객정보 유출 사건도 외주업체 직원이 서버 관리를 하면서 내부 자료를 몰래 빼돌린 것으로, 보안관리 부주의가 원인으로 밝혀졌다. 애초에 서버 접근에 대한 관리만 철저히 했어도 사전에 방지할 수 있었던 사건이었다.
기업에서 일반적으로 보안에 사용하고 있는 장비는 시스템 접근제어를 위한 원격접근제어시스템 등의 내부 보안 인프라 장비가 대부분이다. 이는 편리하다는 장점이 있지만 서버실 방문을 통한 직접작업을 통제할 수 없다는 것이 문제점으로 지적됐다.
그러나 최근에는 이 같은 시스템의 한계를 보완한 직접접근제어시스템이 새로 등장해 눈길을 끌고 있다.
한 보안솔루션 업체가 개발한 직접접근제어시스템 ‘에스닥(SDAC)’이 바로 그것. 이는 전산실이나 서버실 출입 후 서버 및 네트워크 장비에 직접 케이블을 연결하는 방문작업에 대한 작업통제, 접근통제, 로그수집 및 감사를 목적으로 하고 있다.
이 시스템의 경우 외주인력이 전산시스템에 직접 접속할 시 최대 4단계에 걸쳐 사용자 인증을 거쳐야 하고 전 작업과정이 감시되기 때문에 사전에 작업자에 의한 정보유출사고를 방지하는 데 도움을 줄 것으로 보인다.
㈜에스엠프로 유재은 대표는 “보안 시장은 기술적인 측면에서는 포화상태에 이르렀을 정도지만 외주업체의 관리 소홀로 인해 지속적인 정보유출 사태가 일어나고 있다”며 “관리 소홀로 일어나는 정보유출 규제가 강화된 만큼 관련 기관이 더욱 책임 의식을 갖고 안전 관리를 위해 힘써야 할 것”이라고 전했다.
온라인뉴스팀
