보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
금융기관과 공공기관이 바라보는 IT외주인력의 위험성… 대응 방안은?
[이스트시큐리티 SecureCloud 영업팀 김동민 팀장]
지난 2017년 1월 19일, 금융감독원은 모 증권사에 대한 행정지도를 확정했다. 금융투자검사국은 위탁 대상 정보처리시스템과 관련한 보안대책, 대량의 업무 변경과 중요한 패치, 서비스 운영의 적정성 등 외주 업체의 업무를 제대로 점검하지 않고 미흡하게 관리한 것을 지적했다.
그리고 2017년 1월 24일, 금융보안원은 신년 기자간담회에서 "지금까지 금융사를 대상으로 종합 점검을 진행했다면, 앞으로는 주요 침해가 예상되는 금융사의 취약점을 발굴해 테마 점검을 실시하겠다"는 내용을 발표했다.
특히 대형 침해사고의 주요 원인이었던 개발·외주용역 PC 등 금융사의 고위험 시스템과 관련된 ‘디지털 포렌식 분석’을 지원해, 침해 사고 예방 역량을 높일 방침이라고 전했다.
금융보안원에서 언급한 대형 침해사고의 가장 적절한 예는 아마도 2014년에 발생한 ‘카드사 고객정보 대규모 유출 사태’가 아닐까 싶다.
▲ 카드사 고객정보 대규모 유출 사태 보도자료 참고
2013년 6월, 카드사로 파견된 신용평가사의 직원 한 명이 주요 카드사의 고객 개인정보를 탈취하여 대출광고업자와 대출모집인에게 팔아 넘겼다. 그러나 정보가 유출된 카드사는 7개월 동안이나 사고가 발생한 것을 인지하지 못했고, 2014년 1월 검찰의 발표로 사건이 세간에 알려졌다. 이후 검찰은 해당 신용평가사 직원과 정보를 구입한 대출광고업자를 구속 기소하고, 정보를 구입한 대출모집인은 불구속 기소했다.
대형 보안사고가 발생한지 3년여의 시간이 흐른 지금도 외주 업체와 IT외주인력으로부터의 보안 위협은 여전하다. 비슷한 유형의 보안사고, 왜 계속해서 유사한 사고가 발생하는 것일까?
공공기관의 보안 인식, 그리고 관리 현황은?
먼저, 공공기관의 보안 인식이 어떠한지 살펴보자. 국가정보원(NIS)의 2016 국가정보보호백서에 따르면, 공공기관에서 가장 취약한 정보보호 분야로는 ‘인적보안’이 50%를 넘기며 압도적 1위를 차지하고 있다.
▲ 국가정보원 2016 국가정보보호백서 ‘소속 기관이 가장 취약한 정보보호 분야’
▲ 국가정보원 2016 국가정보보호백서 ‘가장 우려되는 정보보호 위협요인’
가장 우려되는 위협요인으로는 범죄자 외에 ‘아웃소싱업체(직원 포함)와 재직 직원’이 꼽혔다.
▲ 국가정보원 2016 국가정보보호백서 ‘정보시스템 운영 ∙ 관리방법’
또한 대부분 공공기관은 정보시스템의 운영과 관리를 위해 주로 ‘자체 관리와 외부 위탁을 병행’ 하는 것으로 나타났다. 일부 기관들은 좀 더 안전한 시스템 운영을 위해 정부통합전산센터에 입주하는 방법을 택하기도 한다. 외부위탁에 상당 부분 의존하는 자체 관리는 보안상 허점이 많은 것으로 평가되고 있다.
▲ 국가정보원 2016 국가정보보호백서 ‘상주 외부인력 보안관리 방법’
특히, 대부분 기관들은 외주 인력에 대한 보안관리를 시스템이 아닌, 인적 관리 차원에서만 실시하고 있다. 인적 관리 또한 주기적인 방문 관리가 아닌, 상시 관리에 그치는 수준도 많은 것으로 나타났다. 이는 언제든 대규모 보안 사고로 직결될 수 있어 매우 위험하다.
조사에 따르면 공공기관은 인적보안, 특히 외주 인력의 위험성을 매우 잘 인지하고 있다. 그러나 그에 대한 철저한 관리는 미흡해 보인다. 비슷한 유형의 보안 사고가 계속해서 발생할 수 밖에 없는 원인은 바로 여기에 있다.
기존 문서 보안 솔루션, 그 한계점
다시 2014년 카드사 개인정보 대규모 유출 사태로 되돌아가 보자. 다량의 개인정보가 담긴 문서 파일은 어떤 방법으로 외부로 유출될 수 있었을까?
대부분 금융기관은 문서를 암호화하는 DRM 솔루션과 매체 복사를 차단하는DLP 솔루션을 함께 도입한다. DRM솔루션은 문서를 암호화 하는 기능을 주로 수행하지만, 모든 문서를 암호화시키는 것은 아니다. MS Office 등의 범용 문서작성 프로그램을 통해 생성된 파일만이 암호화될 뿐, Toad와 같은 특수 프로그램을 통해 DB에서 추출한 대량의 개인정보 파일은 암호화 대상이 아니다.
DLP솔루션은 모든 유출 경로를 차단하는 강력한 솔루션이다. 그러나 DLP 에이전트가 동작하지 못하는 환경에서는 제대로 된 효과를 발휘할 수 없다. 예를 들어, 디스크를 분리하여 다른PC에 Slave 디스크로 연결한다면? 강력한 솔루션은 한순간 무용지물이 되어버릴 수 있다. 카드사로 파견된 신용평가사의 직원은 이러한 기존 문서 보안 솔루션의 허점을 이용해 개인정보를 손쉽게 유출해낼 수 있었다.
차세대 문서 보안 솔루션, 효과적인 대안이 될 수 있을까
IT외주인력에 대한 강력한 보안 시스템은 중앙기관을 넘어, 산하기관과 지자체 등으로 확산되는 추세이다. 또한 금융회사의 차세대 시스템 개발에 앞서 반드시 검토되는 것이 IT외주인력의 개발 소스, 산출물의 보안관리 솔루션이다. 금융기관과 공공기관은 같은 보안 사고를 번복하지 않도록, 기존 문서 보안 솔루션의 한계를 보완한 새로운 기술을 찾고 있다.
▲ 정부통합전산센터에 성공적으로 구축 완료한 이스트시큐리티의 시큐어디스크
한편, 공공기관의 수많은 정보시스템을 운영하고 관리하는 정부통합전산센터는 최근 1,500명에 달하는 모든 외주 인력에 대하여 PC에 문서 저장을 차단하는 강력한 문서중앙화 시스템을 도입하기에 이르렀다. IT외주인력이 생산하는 모든 문서는 센터의 보안서버 내에 암호화 상태로 저장되어 외부 유출이 원천 차단된다. 문서를 중앙화하여 로컬 PC 저장을 원천 차단하는 문서중앙화 시장은 최근 몇 년 전부터 각광받기 시작했다. 기존 문서 보안 솔루션의 한계를 다수 보완하는 장점 때문에 공공 및 금융기관, 일부 기업에서도 도입을 검토하거나 부서 단위의 도입을 시도하고 있다. 과연 효과적인 대안으로 자리잡을 수 있을지 그 귀추가 주목된다.
한국인터넷진흥원(이하 KISA)과 국가정보원은 IT 외주인력에 의한 보안 사고가 번복되지 않도록 권고 지침을 안내하고 있다. KISA의 ‘IT 외주인력 보안통제 안내서’와 국가정보원의 ‘국가 정보보안 기본지침 제63조, 외부 용역업체 자료에 대한 보안관리’에는 “용역사업 관련자료 및 사업과정에서 생산된 모든 산출물을 발주기관의 파일 서버에 저장하거나, 보안담당자가 지정한 PC에 저장하고 관리할 것”을 명시한다. 몇차례 대규모 침해 사고를 겪은 금융기관과 공공기관들은 이제 이와 같은 지침에 대한 관리 감독을 강화하고 있다. 그만큼 IT 외주인력의 위험성을 전보다 더욱 진지하게 바라보고 있는 것이다.
중요한 데이터를 탈취하기 위한 보안 위협은 계속해서 증가하고 있으며, 매우 치밀해지고 있다. 보안 위협이 거대한 침해 사고로 진화하지 않도록 대응하기 위해서는 기본적으로 인적 관리 포인트들을 주기적으로 점검해야 한다. 위협은 늘 작은 것에서부터 번진다. 미처 확인하지 못한 작은 불씨가 초가삼간을 다 태워버리지 않도록, 금융기관과 공공기관은 보안에 더욱 주의해야겠다.