내부정보보호 위한 7가지 핵심 보안요소

입체적이고 유기적인 보안 설계가 필요한 시대
문서보안, 지능형 보안에서 오픈웹 지원까지 통합 구현돼야

[보안뉴스= 유창훈 마크애니 부문장] 최근 사회적으로 이슈가 되고 있는 개인정보 유출사고를 살펴보면 바이러스, 웜, 해킹을 통한 외부에서의 침입뿐 아니라 내부자에 의한 악의적 유출 사례도 쉽게 찾아볼 수 있다.

외부에서의 침입이 주로 APT(지능형지속위협)의 형태를 띠고 있어 공격의 탐지와 대응이 어렵다면, 내부자에 의한 고의적 유출은 내부 보안프로그램에 대한 우회 수단을 찾을 수 있다는 점에서 역시 위협적이라 할 수 있다.

개인정보는 생성에서부터 폐기되는 순간까지 모든 관리단계에 보안위협 홀(Hole)이 존재하고 있기 때문에, 개인정보 유출을 근본적으로 방지하기 위해서는 정보의 라이프 사이클 전반에 걸친 보안설계가 필요하다. 또한 정보는 보호할 것이지만, 비즈니스에 적극 활용할 수도 있어야 한다.

이와 같은 정보의 이중성까지 모두 실현하려면 ‘정보의 라이프사이클’과 ‘활용 경로 및 환경’ 모두를 고려해 보안을 설계하고 구성해야 한다. 즉, ‘정보 전체를 관리하는 아키텍처(Information Management Architecture)의 입체적이고 유기적인 설계’를 만들어야 하는 것이다.

정보 전체 관리하는 아키텍처의 입체적이고 유기적인 설계

이에 정보의 안전한 관리 및 효율적인 활용을 위한 아키텍처를 삽화로 구성해 보았다. 이를 통해 기업에서 현재 필요로 하는 7가지 보안요소와 올바른 해법을 제시하고자 한다.

1. 문서보안(DRM)

개인정보가 포함된 파일은 암호화가 기본이다. 내부정보 유출은 외부 침입이나 해커 등에 의해 이루어지기 보다는 내부 사용자에 의한 유출이 대부분이고, 이 경우 내부 보안프로그램에 대한 우회 수단을 찾을 수 있기 때문이다. 개인정보는 데이터 형태로 되어 있지만, 이러한 데이터는 결국 ‘파일’ 형태로 유출되기 때문에 파일 자체를 암호화하는 문서보안(DRM) 솔루션이 필요한 것이다.

문서보안 솔루션은 내부 사용자가 문서를 USB 등으로 복사하거나 이메일(e-mail)을 통해 외부로 유출하는 경우에도 암호화된 문서를 외부 사용자가 열 수 없기 때문에 문서 파일을 통한 개인정보의 유출을 원천 차단할 수 있다.

2. 지능형 보안(실시간 검색, 중앙화/가상화)

개인정보는 주민등록번호, 주소, 전화번호 등 다양한 패턴으로 존재한다. 이 같은 개인정보의 안전한 보호를 위해서는 사내 모든 서버와 사용자 PC에서 다양한 패턴의 개인 식별정보(PII, Personally Identifiable Information)를 실시간으로 검출하고 자동 암호화할 수 있는 지능형 개인정보 관리 시스템이 갖추어져야 한다.

실시간 검색 및 필터링 기술을 통해 암호화된 파일은 개인정보 관리자의 승인 없이는 열람, 출력, 전송 등에 제약을 받게 된다. 또한 PC 가상화 및 문서 중앙화를 적용하면 다양한 파일 포맷의 개인정보에 대해서도 보안이 적용된 가상화 디스크에 암호화해 저장함으로써 정보의 외부 유출을 원천 차단할 수가 있다.

3. 출력물 보안

전자문서 중심의 정보보안을 생각할 때, 놓치기 쉬운 영역은 출력물이다. 과거 고객의 이름, 주소, 주민등록번호 등 개인정보가 상세히 적혀 있는 종이가 붕어빵 담는 봉지로 사용된 사건이 있었다. 이 ‘붕어빵 봉지 사건’은 당시 기관의 고객 개인정보에 대한 허술한 보안 관리와 낮은 보안의식을 여실히 보여주는 사례였던 것이다.

이와 같은 출력물 보안사고를 방지하기 위해서는 사내의 모든 출력물을 관리해 원본 이미지, 텍스트, 사용자 정보 등을 로그로 저장하여 관리하고, 모든 출력물에 워터마크로 출력자 정보를 삽입해야 한다. 이를 통해 출력자로 하여금 개인정보 유출 위험성에 대한 경각심을 갖도록 하고, 문서가 외부로 유출되는 경우에도 쉽고 빠른 추적이 가능하도록 해야 한다.

4. 위변조 방지

대내외적으로 유통되는 공문서가 재산상 또는 책임, 권리상의 효력을 발생시킬 경우, 위조와 변조라는 위험에 노출되기도 한다. 최근 OO은행에서 고객의 서명을 위조해 대출계약내용을 조작한 사건이 발생해 사회적인 충격을 주었던 사건을 기억할 것이다. 이런 사건을 방지하려면 보안의 개념이 단순히 유출방지 차원을 넘어 정보가 위조되거나 변조되지 않도록 보호하고 진본으로써의 효력과 증거력을 잃지 않도록 보호해야 한다.

즉, 문서의 생성 시점부터 온라인 구간, 출력 구간, 그리고 출력 문서 자체에 대해서도 위변조 방지가 되어야 하며, 앞으로 보편화될 전자문서에 대해서도 전자문서 자체로 진본 검증이 가능하고 원본으로써 효력이 가능하도록 해야 하는 것이다.

5. 모바일 보안

이제 모바일도 추가적 업무환경이 아닌 기본 업무영역이 되었다. PC, 노트북, 모바일로 구분할 필요가 없는 시대가 된 것이다. 최근 기업의 근무환경이 스마트 오피스와 BYOD로 변화함에 따라 업무의 편의성은 향상된 반면, 스마트 기기를 통한 각종 보안위협 요소가 문제로 제기되고 있다. 이를 해결하고자 보안기업들은 앞 다퉈 MDM 기술을 선보이며 경쟁하고 있다.

모바일 환경에서 개인정보를 보호하기 위해서는 사내 스마트폰의 카메라, 마이크, 네트워크 등 각종 디바이스 제어관리는 물론, 분실 시 원격으로 화면 잠금, 위치추적, 데이터 백업, 삭제, 공장초기화 등의 기능을 제공하여 중요 데이터의 유출을 방지해야 한다. 특히, 애플리케이션에 대한 등록관리, 기업 앱스토어와 연계한 관리 및 모니터링 등 MDM과 MAM기능을 모두 지원해야 한다.

6. 보안 DM

기업의 업무활동에서 대놓고 고객정보를 유출해야 하는 업무가 있는데, 바로 DM(온라인/오프라인 우편) 발송 업무다. 이로 인해 고객 우편발송 과정에서 심각한 개인정보 유출이 발생할 수 있다. 특히 증권사 등의 금융기관에서 고객에게 우편물을 발송하는 경우가 많고 이는 주로 DM 전문 업체에 위탁하는데, 이 경우 DM업체에 고객 DB를 전달하고 출력하는 과정에서 개인정보 유출 위험이 발생한다.

DM 업체는 대부분 영세하여 보안 솔루션을 도입하기에는 비용적인 부담이 있고, 수많은 고객 DB를 다루는 직원에게 있어서는 고객정보 불법거래에 관련한 외부로부터의 유혹을 받을 수 있기 때문이다.

최근 개인정보 유출사고에 따른 후속 대책으로 텔레마케팅 업무를 전면중단 조치 후에 다시 허용하는 에피소드가 있었다. 무작정 보안을 강조하다 보니 당연히 있어야 할 ‘대행 비즈니스 서비스’ 영역이 대한민국에서만 사라질 뻔한 것이다. 개인정보보호법에도 위탁 업무에 대해 허용하고 있으므로 사업 자체를 막을 수는 없다. 허용하되 이에 따르는 보안대책이 있으면 되는 것이다.

7. 오픈웹 지원

개인정보가 유출되는 것을 차단하고 제어를 하지만 결국 사용자의 화면에서 보인다. 여기서도 보안 홀이 생긴다. 정보를 보는 창이 9개가 있는데, 이중 1개를 막고 8개를 못 막는 경우, 혹은 8개를 막았으나 남은 1개의 창으로 정보가 새어 나간다면 다른 8개의 창도 막을 필요가 없는 것이 아닌가. 이것은 우리가 정보를 보는 창의 보안 현실을 얘기해주고 있다.

국내 컴퓨팅 환경은 기존 윈도우 환경에서 맥, 리눅스 등 다양한 형태로 확장되어 왔으며, 장애인 차별 금지법 및 웹 접근성 문제가 대두되면서 오픈웹 환경이 주요 이슈로 떠오르고 있다. 결국 윈도우, iOS, 리눅스 등 모든 OS와 IE, 사파리, 크롬, 오페라 등 모든 브라우저상에서 화면캡처 방지가 적용되어야 보안위협을 막을 수 있는 것이다. 즉, 이제는 오픈웹 등 다양한 IT 환경을 지원하는 보안 솔루션만이 개인정보의 유출을 완벽히 차단할 수 있는 시대가 된 것이다.