보메트릭코리아(지사장 이문형 www.vormetric.co.kr)는 최근 주요 카드사 고객정보 유출 사태에 대해 내부직원 관리 방안이 시급하다고 23일 밝혔다.
전산프로그램 개발 용역 수행 중이던 코리아크레딧뷰로(KCB) 직원이 국민, 롯데, NH농협 등 국내 카드사들이 보유한 1억 4000여건의 고객정보를 유출한 이번 사태로 해당 금융 서비스 이용자들의 항의와 불안감이 최고조에 달하고 있다.
유출된 고객 정보에는 고객 이름, 주민번호, 휴대전화 번호, 신용카드 이용 정보 등이 포함됐다.
해당 카드사들은 박씨가 어떤 방식과 경위로 보안을 뚫고 고객 정보를 빼냈는지에 대한 분석 결과를 정확히 확인해 주지는 않고 있지만, 대부분의 보안 전문가들은 공통적으로 기업 시스템이 내부 직원에게 무방비로 노출되고 있다는 점에 크게 공감했다.
이문형 보메트릭코리아 지사장은 “이번 사건은 대표적인 ‘접근 권한을 가진 사용자’ 제어 실패사례”라며 “모든 조직에는 권한을 가진 사용자가 존재하는데, 루트 사용자, 도메인 관리자, 시스템 관리자 등 단기 계약자인 경우가 많으며, 강력한 네트워크 접근 권한을 가지고 있는 경우가 많다. 이러한 사용자들은 소프트웨어 설치, 시스템 구성 등 작업을 수행하기 위해서 높은 수준의 권한을 필요로 하지만 이 사용자들이 컴퓨터 시스템에 저장된 데이터 및 문서를 읽고 복사 또는 변경 하는 접근권한을 가지는 경우에는 보안상의 문제가 항시 제기되기 마련”이라고 지적했다.
이 지사장은 이어 “내부 직원의 유출을 막기 위한 가장 좋은 해결책은 권한을 가진 사용자가 업무를 수행하기 위해 데이터 파일을 이동할 수는 있지만 정보를 실제로 읽거나 편집할 수 없도록 권한을 제한하는 것”이라며 “카드사 고객 정보에는 고객으로부터 받은 정보와 빌링을 위한 은행 정보가 있을 것으로 보여지는데, 두 가지 데이터를 저장할 때 DB를 분리하고 서로 다른 암호키를 사용한다면 내부자(개발자/시스템관리자)의 불법적인 데이터 접근을 방어할 수 있다”고 조언했다.
덧붙여 이문형 지사장은 “아직도 많은 기업의 DB암호화가 완료되지 않은 점, 로그/이미지 데이터에 대한 보호가 거의 이뤄지지 않은 것이 향후의 위험요소라 할 수 있겠다”며 “아직까지 대부분의 기업은 이러한 보안 기능을 제대로 갖추지 않아 이와 같은 대규모 유출 사고가 발생한 것”이라고 말했다.
보메트릭이 지난 10월 700명의 대기업 IT관리자를 대상으로 진행한 ‘내부자 위협’ 보고서에 따르면 무려 73%의 기업이, 권한을 가진 사용자가 민감한 데이터에 접근하는 것을 막지 못하고 있는 것으로 나타났다.
이문형 지사장은 “이는 기업 네트워크 내부에 높은 수준의 위협이 잠재돼 있다는 것을 의미하며, 모든 기업은 내부직원에 인한 데이터 유출사고가 지속되지 않도록 내부자 관리 방안을 마련해야 한다”고 덧붙였다.
<김동기 기자>kdk@bikorea.net