종이문서 등 출력물을 통한 정보유출이 증가하고 있다. 기업 정보보안이 강화되면서 메일 및 USB 메모리를 통한 정보유출이 감소하는 것과 대조적이다. 이에 따라 출력물 통제 및 보안을 위한 다양한 방안이 쏟아지고 있지만 파기 등 출력 후 이력관리는 여전히 취약하다는 지적이다.
최근 내부 중요문서 불법유출에 대한 보안 방안은 파일 암호화·온라인 및 오프라인 통제·애플리케이션 접근통제와 같은 다양화된 보안솔루션 적용으로 보안 인프라가 고도화되고 있다. 이에 따라 회사 서버 등에 저장된 파일을 다운로드 받아 외부로 유출하는 보안사고는 줄어들고 있다.
그러나 종이문서 등 출력물을 통한 고객 및 회사 기밀 유출은 여전하다. 정보유출사고 중 종이문서가 차지하는 비중이 40%로 메일(20%)보다 높을 정도로 보안사고에 취약하다. 기관이나 기업에서 출력되는 개인정보 및 중요문서에 대해 출력부터 파기까지 체계적 관리가 미흡하기 때문이다.
출력물 유출사고는 △출력물 PC통제 솔루션 미흡 △허가받지 않는 프린터 단말기 사용 △복사물 내용 및 사용량 통계 및 관리 불가 등이 주요 원인으로 꼽힌다. 일부 기업은 이같은 사고에 대응해 모든 출력물에 이미지 및 텍스트 로그 및 워터마크를 적용하거나 문서 출력 전 개인인증을 통해 출력 승인결재를 받도록 했다. 또 인가된 프린터 단말기 외 출력을 차단을 차단하거나 복사시 사용자 인증을 받도록 하는 등 출력물 유출방지에 힘쓰고 있다. 최근에는 키워드 모니터링으로 출력 문서의 보안여부를 확인하는 방식 등 출력물 보안을 위한 다양한 방안이 쏟아지고 있다.
그러나 이렇게 관리된 출력물도 파기 관리가 미흡해 보안사고로 이어지는 사례가 종종 발생하고 있다. 출력 후 관리되지 않는 종이문서는 개인 부주의로 인해 이면지 및 폐기물 형태로 외부로 유출, 심각한 문제를 일으키고 있다.
한 정보기술(IT) 대기업은 내부 중요문서 반출을 통제하기 위해 출입통제시스템을 구축했지만 서류가방에 중요핵심 기술문서를 종이로 출력한 후 외부로 반출되는 사고가 수 차례 발생했다. 또 한 지자체에서는 직원 부주의로 주민정보가 담긴 공문서가 폐지 수거함에서 발견되기도 했다.
이같은 출력물 유출사고는 출력 후 이력관리가 제대로 이뤄지지 않고 있기 때문이다. 개인정보보호법은 개인정보 보유기간 경과 후 지체없이 그 개인정보를 파기해야 한다고 규정하고 있다. 그러나 실제 파기되었는지에 대한 이력관리 부재로 언제든지 개인정보가 외부에 유출될 수 있는 여지가 있다.
이에 따라 개인정보가 포함된 인쇄물이 보유기간 경과 후 실제 파기되는지에 대한 관리가 중요하다는 지적이다. 일반적으로 출력물에는 보유기간이 기재되지만 제대로 지켜지지 않는 경우가 많다. 따라서 출력물이 정해진 기간내에 실제 폐기로 이어졌는지 파악하고 관리하는 이력관리가 필요하다. 이를 위해서는 파쇄기를 사내 IT인프라에 포함해 고도화할 필요가 있다. 출력물 관리 솔루션과 파쇄기를 연동해 보관기간내 파기여부를 확인하고 파기시 출력·복사 이력정보와 위변조 방지여부를 확인해야 한다는 지적이다.
한 대기업 관계자는 “문서 관리 담당자가 오프라인으로 파기여부를 체크하고 관리하는데는 한계가 있다”면서 “파쇄기를 출력물 통제 솔루션과 연동하면 회사 자원을 효율적으로 활용하는데 큰 도움이 될 것”이라고 말했다.
권상희기자 shkwon@etnews.com