의도적 정보유출 방지위한 관리적 접근 ‘필요’ … 관리 한계, 기술적 접근으로 ‘보완’
정보유출은 기업에게 유무형의 막대한 피해를 줄 수 있는 위험이다. 기술정보 유출로 인한 직접적인 피해는 물론, 기업 신인도의 하락도 불가피하다. 오늘날 증가하고 있는 정보위협에 대해 기업은 어떠한 대응을 수행할 수 있는지에 대해 관리적·기술적인 관점에서 살피고, 사례를 중심으로 조직의 환경에 따라 적용 가능한 대응 방안에 대해서도 알아본다. <편집자>
김범근 // 에이쓰리시큐리티컨설팅 책임컨설턴트
robust2k@a3sc.co.kr
최근 산업기술의 부정한 유출을 방지하고 기술을 보호하기 위한 ‘산업기술 유출 방지 법률’이 시행되면서, 조직의 중요 자료 보호에 대한 중요성이 강화되고 있다. 이러한 때에 발생한 와이브로(Wibro) 관련 기술 유출, 선박설계도 유출 사건 등은 내부 구성원에 대한 정보보호의 강화가 외부의 위협보다도 중요하다는 것을 생각하게 하는 중요한 사건이라고 할 수 있다.
최근 시행된 산업기술 유출 방지 법안에서는 산업 기술을 “제품 또는 용역의 개발·생산·보급 및 사용에 필요한 제반 방법 내지 기술상의 정보 중 소관 분야의 산업경쟁력 제고 등을 위하여 법령이 규정한 바에 따라 지정 또는 고시·공고하는 기술”로 정의하고 있다. 이는 국가적으로 중요 정보의 관리 소홀로 인해 미치는 영향이 조직의 피해는 물론 국가적 경쟁력을 저해할 수 있는 중요한 사안이란 것을 의미하며, 이러한 산업기술을 보호할 수 있도록 법적으로 뒷받침을 하고 있다는 것이다.
지속적 임직원 교육 ‘필수’
일반적으로 정보보호측면에서의 관리적인 접근은 정보보호관리체계의 유지를 위한 규정을 수립하고 이를 준수하는 것을 의미한다. 이때 가장 소홀할 수 있는 부분이 정보보호 교육에 대한 부분으로 임직원에 정보보호인식이 부적절한 경우 관리의 소홀로 인한 정보유출 등의 피해가 적지 않은 편이다.
한 예로, 퇴직자의 경우 조직의 정보에 대한 보안인식이 부족할 경우 어떠한 일이 일어날지 생각해보자. 실제로 많은 기업에서 내부 직원이 이직하기 이전에 많은 양의 자료를 가져가기 위해 정보에 접근한다. 그리고, 필요한 경우 그 정보는 공개돼 2차, 3차 정보유출 위험이 가중되게 된다. 즉, 기술적으로 정보에 대한 접근통제도 필요하지만, 의도된 정보유출을 예방하기 위해 선행돼야 할 부분이 바로 관리적인 부분이다.
이러한 조직의 정보를 보호하기 위해 발생 가능한 유출경로에 대하여 분류해보면 다음과 같다.
- 내부 인가자 : 스카우트, 관계자 매수, 복사, 이메일
- 내부 비인가자 : 비인가 접속, 절취, 폐지수집
- 외부 인가자 : 기술협력, 공동연구, 산업연수, 견학
- 외부 비인가자 : 해킹, 도청
이중 주로 발생되는 경우로 내부 인가자, 외부 비인가자에 의한 정보 유출의 경우가 가장 위험하고 발생사례가 많은 편이다. 이처럼 다양한 위협이 존재하는 상황에서 조직의 중요정보에 대해 어떠한 관리적 보호대책을 수립해야 하는지를 단계별로 정리하면 다음의 3단계로 나눠볼 수 있다.
1단계 - 보호대상의 구체화
정보보호컨설팅 단계에서도 정보자산에 대한 파악은 모든 단계에 앞서 선행돼야 한다. 이는 대상이 명확하지가 않다면 그에 대한 보호대책도 수립하기가 어렵기 때문이다. 일반적으로 정보자산의 중요도는 <표 1>과 같이 분류할 수 있다.
2단계 - 보호방안의 현실화
조직에서 보호돼야 할 대상이 파악됐다면 다음으로 이 대상에 대한 보호방안을 수립해야 한다. 보호대상의 중요도를 <표 1>과 같이 분류하였다면, 이에 대한 보호방안을 <표 2>와 같이 도출할 수 있다.
3단계 - 위험 예측 및 관리
정보관리의 중요성을 감안해 대부분의 조직에서는 상기와 같이 정보자산의 중요도를 고려, 적절한 관리 대책을 수립·운영하고 있다. 그러나 보호 대책의 수립도 중요하지만, 발생 가능한 위험의 예측을 통해 대책방안을 고려할 수 있어야 이에 대한 효율적인 관리가 가능하다. 위험분석은 정보보호프로세스에서 간과할 수 없는 중요한 절차로, 조직에서 개선해 나가야 하는 수행과제와 대책을 마련할 수 있도록 도와준다. <표 3>은 정보자산을 대상으로 위험분석을 수행하는 사례이다.
이러한 단계를 거쳐 모든 위험에 대한 대책을 수립했다고 하더라도 가장 취약할 수 있으며, 지속적으로 관리돼야 하는 부분이 바로 임직원에 대한 부분이다. 임직원에 대한 지속적 관리를 위해서는 정보보호 정책 및 지침을 수립하고, 이를 기본으로 하는 정보보호 교육을 수행해야 한다. 특히, 가장 소홀할 수 있는 부분이 정보보호에 대한 경각심을 소외시 하는 경우로, 입사 혹은 퇴사 시, 정보시스템 계정 신청 시, 직무 변경 시 등에는 항시 정보보호와 관련된 교육 및 서약서 징구 등의 적절한 통제와 감사를 적용함으로써 보안에 대한 중요성을 항시적으로 인식할 수 있도록 노력하는 것이 필요하다.
보안 환경 변화 직시해야
IT 인프라의 변화에 따라 정보 유출에 대한 환경도 다변하고 있다. 오늘날 유선 형태에서 무선랜, 와이브로, HSDPA 등 모바일 기기의 커넥티비티(Connectivity) 증가로 정보공유 및 노출범위는 더욱 다양화되고 있다. 이에 따라 조직에서도 관리해야 할 대상과 그에 대한 관리적/기술적 비용이 비례하게 증가함을 고려해야 한다.
기술적 측면에서 고려할 사항으로는 최근 IT보안 위협이 금전적 이익을 목적으로 해커들이 조직적인 움직임을 통해 특정 기업으로부터 기밀 정보를 남몰래 빼가려 한다는 것이다. 또 네트워크를 직접적 대상으로 하는 공격보다 보안이 취약한 엔드포인트(사용자 PC)를 겨냥한 타깃공격이 증가하고 있다는 사실에 주목해야 한다. 엔드포인트를 겨냥한 공격은 손쉽게 개인정보의 취득을 가능케 할 뿐 아니라 조직의 네트워크 통제에 대한 우회공격의 수단으로 사용될 수 있기 때문이다.
조직에서 정보를 보호하기 위해서는 관리적인 정보보호 요구사항을 고려해 적용하는 것이 바람직하다. 정보자산에 대한 중요도 및 발생 가능한 위험을 고려해 보안시스템에 대한 강화 및 내부적으로 권한에 맞는 적절한 접근통제를 수행하고, 관리적으로만 수행하기 어려운 부분을 기술적으로 보완하도록 해야 하는 것이다.
일반적으로 볼 때 접근에 따라 인터넷영역, 내부영역, 외부영역에 따라 보안을 강화하기 위한 수단을 고려해야 한다. 예를 들어 인터넷 영역의 경우 이른바 DMZ라고 볼 수 있다. 인터넷 영역은 비인가 외부자에 대한 위협으로부터 조직의 정보자산을 보호하기 위한 1차적인 접점지역이며, 이에 공개된 시스템에 어떠한 취약점이 존재해 정보가 노출되지 않도록 하는데 최우선 적으로 관리가 이뤄져야 한다. 그리고 내부영역의 경우는 조직의 정보자산 중요도에 따라 내부 인가자만 접근 가능하도록 접근통제를 수행해야 하며, 외부영역의 경우 PC보안솔루션 등을 이용해 발생하는 접근 정보를 유지해 향후 감사기록으로 활용될 수 있도록 하는 방안도 고려될 수 있다.
정보의 유출이 가능한 상황별 시나리오 분석에 따라 고려돼야 할 주요 위험 및 통제방안을 정리하면 <표 5>와 같다.
이와 같이 조직의 구성요소에 대해 발생 가능한 위험을 분석하고, 통제방안을 수립해 대응 방안을 수립함으로써 정보유출을 관리하기 위해서는 어떤 보호대책을 적용해야 하는지 체계적으로 접근할 수 있게 된다.
사례별 보안 고려사항
앞서 파악된 정보유출에 대한 관리적 및 기술적 관리방안을 고려, 각 조직의 현황에 따라 적용방안을 세 가지로 구분해 적용 가능한 사례를 살펴보면 다음과 같다.
● Level 1 : 정보의 가치가 정보보안에 대한 투자비용대비 중요도가 적거나 투자가 어려운 경우(최소한의 교육 및 감사 증적 유지)
- 정보보호 교육 - 직무분리, 보안운영지침
- 기술적 보안 - 시스템 접근 기록 및 문서 기록 유지
● Level 2 : 중요 정보에 대해 한정돼 있으며, 접근 가능한 범위 및 인력에 대해 한정이 가능한 경우(중요정보에 대한 보호 기능 강화)
- 암호화 - DRM, DB 암호화 등
- 물리적 보안 - 저장매체 폐기
● Level 3 : 중요 핵심기술을 보유하고 있으며, 정보유출로 인한 손실에 대하여 최소화를 원하는 경우(예방기능을 고려한 정보유출 통제)
- 인증기술 - PKI, 생체인식
- 접근제어 기술 - 보안OS, EAM(통합인증권한관리), 피싱방지
- 물리적 보안 - 핸드폰 카메라 스티커, 엑스레이(X-ray) 촬영, 이동저장매체 반출입 금지
대부분의 조직은 보유하고 있는 정보를 보호하기 위해 비용이라는 요소를 상당히 중요시하는 편이다. 그러나 정보의 유출이 조직에 미치는 영향이 더 크다면 그만큼의 비용투자가 이뤄져야만 한다. 즉, 보호돼야 하는 수준을 고려해 필요한 보안솔루션이 도입돼야 하는 것이다. 이 때 참고로 삼을 만한 좋은 예는 [위험도(3) × 발생가능성(1)], [위험도(1) X 발생가능성(3)]의 경우다. 수치상으로 산정을 한다면 3이라는 동일한 수준을 나타낸다. 하지만, 발생하기는 어렵지만 발생 시 그 피해가 큰 것과 발생 가능성이 높지만 피해 규모는 적은 것 중 어떤 것을 더 중요하게 관리해야 할지 한번쯤 생각해 보아야 할 문제라고 할 수 있다.
최근, 조직의 비즈니스는 파트너 또는 협력회사 사이에 비즈니스 정보 교환이 다양한 형태로 이뤄지고 있으며, 서비스 전체를 외부에 위탁하는 아웃소싱도 증가하고 있다. 이러한 사업 환경변화에 따라 조직의 핵심정보 및 업무정보들이 복잡한 IT 인프라 및 업무 프로세스 경로를 통해 유통됨에 따라 이를 적절히 통제 하고 관리할 수 있는 수단이 기술적으로 보완돼야 할 것이다.
정보보호, 기업 경쟁력 제고 ‘바로미터’
정보 유출로 인한 피해는 조직의 신뢰도의 하락은 물론 경쟁력을 한 순간에 무너뜨릴 수 있는 최대 위협 요소가 될 수 있다. 이러한 위협으로부터 조직을 보호하기 위해서는 조직 구성원이 정보보안에 대한 중요성을 인식하고 이에 대한 경영층의 지원이 선행돼야 한다. 그러한 후에 관리적, 물리적 및 기술적인 보호대책을 수립해 추진할 수 있다.
또한, 아직 체계적으로 접근은 어렵지만 정보자산에 대한 가치를 산정하고 이에 대한 비용 적정선을 고려해 최대 효과(Best Effort)를 거둘 수 있는 보호대책을 마련하고, 이행함으로써 정보화 사회에서의 조직 경쟁력을 한층 제고할 수 있을 것이다.
