#인천경찰청은 삼성바이오로직스 A 직원이 A4용지 300장에 달하는 출력 문서를 무단으로 반출하려다 보안요원에 현행범으로 체포돼 수사하고 있다고 지난달 23일 발표했다. A 직원은 업무용 PC에서 미국식품의약국(FDA) 표준 규격 등 관련 문서를 프린터로 출력해 몰래 빼돌린 혐의를 받고 있다. 회사는 이에 앞서 지난해에도 몇몇 직원이 퇴사 직전 많은 문서를 인쇄한 뒤 외부로 반출해 법적 대응을 한 바 있다.
삼성바이오로직스 사례처럼 민·관에서 종이 문서의 불법 유출 사고는 빈번하게 발생하고 있다. 내부 인력에 의해 정보 유출 사고를 겪은 민·관은 내부 물리 보안 체계를 철저히 재점검하고 정보 시스템을 강화한다. 하지만 개인정보, 기밀정보 등 민감한 문서 정보 유출 사고를 100% 막는 것은 불가능에 가깝다.
종이 출력물 생성부터 파기 과정까지 문서 보안 전 주기 관리를 소홀하게 관리하면 출력물 사고는 언제든지 발생할 수 있다. 따라서 조직 내부에서 문서 출력 후 식별 정보 표기, 파기 이력 관리 등 여러 절차를 모니터링하고 유출 사고 시 신속하게 추적·대응하는 출력물 통합 보안 시스템을 갖춰야 한다.
정보 유출 사고 시 전자문서는 암호화란 방호복을 걸치면 파급력을 그나마 줄일 수 있지만 종이 문서 유출로 인한 경제적·사회적 피해 심각성은 그 파장이 적지 않다. 이에 대기업·공공기관을 중심으로 인쇄물 유출 경각심이 높아지고 있다. 종이 문서 출력·복사·파기 관리가 가능한 솔루션을 도입하고 있지만 그 도입 속도는 매우 더딘 편이다.
이는 통상 전체 IT 예산에서 정보보안 예산 비중이 가장 적은 편인데 정보보호 책임자들은 그나마도 출력물 보안 투자를 후 순위에 두고 있기 때문이다. 특히, 클라우드, 재택근무 등 최근들어 급격한 환경변화로 내·외부 보안 경계가 허물어지면서 내부 인력에 의한 보안 유출 사고 보다는 사이버 공격에 대한 위기 의식이 비대칭적으로 우리 경제·사회에 더 크게 작용하고 있는 것으로 풀이된다.
일례로 국가정보원이 '2022 국가정보보호 백서'를 발간하면서 정보보호 10대 이슈를 짚었지만 정작 민감한 정보를 담은 문서 유출 보안 사고를 키워드로 다루지 않았다. 정보보호 10대 이슈는 랜섬웨어 진화, Log4j 보안 취약점, 스마트홈·IoT기기 취약성, 비대면 서비스 환경 등 사이버 공격 중심이어서 출력물 보안의 그림자는 짙어만 가고 있다.
반면 글로벌 기업들은 세계 경기 침체 속에서도 IT 보안 투자를 더욱 강조하고 있다. 글로벌 기업 레드헷의 글로벌 기술 전망 보고서(2022년)에 따르면 IT 최우선 투자 분야는 △보안(46%) △클라우드 관리(38%) △클라우드 인프라(35%) 등 순으로 조사됐다.
정보보안전문가는 “기업 경영에 IT을 더 많이 접목하면서 사이버 공격과 함께 물리적 보안사고 위험수위도 올라가게 마련인데 정보보호 책임자 시선은 지나치게 한쪽에만 몰려있다”고 지적했다.
이어 “정보보호책임자도 문서유출 사고 예방을 위해 최고경영진 층의 관심과 예산 지원을 받을 수 있도록 사고 대응 절차, 과제 및 효과 등을 지속적으로 전달하는 공세적 자세도 중요하다”고 덧붙였다.
문서 유출 사고의 주원인이 경제적 이득 또는 관리 소홀이란 점에 비춰볼 때 내부 직원 위협에 대한 철저한 보안 시스템 마련이 중요하다. 우선, 내부 직원 보안 의식 교육 등을 통해 내부 통제시스템이 가동되고 있다는 점을 인식시켜야 한다.
또한, 내부 보안 시스템은 사이버 공격 대응책과는 차별성을 둬야 한다. 단순한 보안 소프트웨어 솔루션만으로는 중요 정보에 대한 의도적인 불법 접근과 문서 출력을 예방하기 쉽지 않을뿐더러 휴먼 에러도 놓치기 십상이다.
외부에 일단 유출된 문서는 외부 전달 경로를 추적하기 힘들뿐더러 조직에 미치는 내상은 적지 않다. 외부 유출 전 내부에서 이를 차단하기 위한 출력물 통합보안 솔루션을 구축해야 하는 이유다. 출력물 정책을 관리하는 '보안정책', 출력물 보안을 수행하는 '출력 통제', 출력물 이력을 관리하는 '모니터링' 등 기능을 갖춘 출력물 통합보안 솔루션들이 잇따라 출시, 존재감을 알리기 시작했다.
이들 솔루션 핵심은 '문서 출력-출력물 관리-출력물 파기' 등 종이 문서의 생명주기를 통합로그(출력 이력, 원본 이미지, 원본 텍스트)를 통해 관리해 위·변조를 검증하고 불법 유출 방지와 추적이 가능하다는 점이다.
출력 시 출력물에 다양한 워터마크를 삽입해 사용자 정보를 기록하고 중요 정보를 포함한 문서는 정보보안 담당자 승인을 받아야만 반출이 가능하다. 또, 인쇄물의 고유 식별코드가 주요 문서 파기 일정 관리를 도와줘 파기 만기일이 다가오면 알림을 자동으로 보내 보안 파쇄기가 출력 문서 파쇄를 진행한다.
안수민기자 smahn@etnews.com
