최근 심심찮게 기업의 정보 유출 사고가 뉴스 헤드라인에 등장한다. 피해 예상 금액이 수백억 원에 이르는 사건은 ‘흔한 편’이다. 피해자가 수천만 명에 이르거나, 가치가 수조 원에 이르는 핵심 기술이 새나가는 사례도 있다. 정보 유출은 기업에 금전적 피해뿐만 아니라 고객의 신뢰 상실이라는 엄청난 손실도 가져온다.
필자는 먼저 질문을 하나 던지고 싶다. 이런 정보 유출 사고를 일으킨 사람 중에는 외부인(해커)이 많을까, 아니면 내부인이 많을까? 일반인의 생각과 달리, 정보 유출 사범 중에는 내부인의 비중이 훨씬 높다. 특히 최근 불황이 닥치면서 일반 사원은 물론이고 임원이나 경영진까지 기술 유출에 가담하곤 한다.
직원 경제적 압박이 유출 위험 높여
시만텍은 올해 1월 정보기술(IT) 보안 전문 조사기관 포네몬인스티튜트(Ponemon Institute)와 공동으로 미국의 2008년 퇴직자 1000명에게 설문조사를 실시했다. 조사 결과 응답자의 59%가 직장에서 고객 리스트 등 기밀 정보를 유출했다는 놀라운 사실이 드러났다.(그림1) 이들은 CD나 DVD, USB 메모리 등 다양한 저장 매체와 개인 e메일로 정보를 유출했다고 답했다. 미국의 비영리기관인 신원절도자원센터(Identity Theft Resource Center·ITRC)가 최근 발간한 보고서에 따르면, 2008년 내부 정보 유출과 관련한 위협은 15.7%로 2007년보다 2배 이상 늘어났다.
정보 유출의 위험은 미국만의 문제가 아니다. 전 세계의 정보 유실 사례를 공유하는 데이터로스디비(datalossdb.org)에 따르면, 한국 기업의 정보 유출 사고 발생 빈도는 세계 8위다. 전문가들은 등록이 안 된 사례까지 고려하면 10위권 안에 최소 2개 이상의 국내 기업이 들어갈 것으로 추정한다. 물론 이 중 상당수가 내부자의 소행이다.
앞서 지적한 대로 경제 위기가 닥치면서 기업 내부로부터 정보가 유출될 위험이 더 높아졌다. 이와 관련해서는 다음과 같은 2가지 하부 이슈가 있다.
첫째, 인원 감축과 인건비 동결 등으로 직원들의 경제적 압박이 심해지면서 금전적 이득을 취하기 위한 정보 유출이 늘어날 가능성이 높아졌다. 내부 직원의 정보 유출은 주로 장기적인 계획보다 순간적인 감정이나 결정으로 일어난다.
둘째, 경기 불황으로 인수합병(M&A)이 활성화되면서 정보 유출이 늘어날 수 있다. M&A에는 종종 대규모 인력 감축이 따른다. 이런 조치는 고용 불안과 직원 불만을 가져와 내부자의 정보 유출 가능성을 높인다. 특히 M&A 관련 협상이 진행 중일 때 계약 내용이 유출돼 계약 자체가 무산되는 사례가 많다.
딱정벌레의 딜레마
문제는 많은 기업들이 외부 공격에는 어느 정도 대비하고 있지만, 내부로부터의 공격에는 상당히 취약하다는 점이다. 내부 공격은 경우에 따라 외부 공격보다 기업에 훨씬 큰 타격을 준다. 이는 딱딱한 ‘갑옷’ 덕분에 외부 적의 공격을 쉽게 막아내는 딱정벌레가 조그맣고 약한 내부 기생충 때문에 죽거나 병이 드는 것과 비슷하다.
필자의 경험에 따르면 아직도 많은 기업들이 정보 관리, 특히 내부로부터의 정보 유출 위험에 대한 경각심이 부족하다. 실제로 최근 정보 유출 피해를 입은 한 기업은 자사의 전산 기록에 자료가 대량 복사된 흔적이 남아 있는데도 전혀 알아채지 못하는 등 정보 관리의 허점을 드러냈다.
그렇다면 기업은 방대한 디지털 정보를 보호하기 위해 어떤 조치를 취해야 할까?
첫째, 내부의 정보 유출 위협이 어디에 있으며, 누가 그 책임자인지를 명확히 알고 있어야 한다. 아울러 내부 정보 유출을 지속적으로 감시해 이를 방지하는 노력도 중요하다. 시만텍은 내부 위협으로부터 정보를 보호하기 위해 다음 3가지 기본적인 질문을 던진다. ①기밀 데이터는 어디에 저장돼 있는가? ②기밀 데이터는 누구에 의해, 어떻게 사용되는가?(또는 이와 관련한 기록이 이뤄지고 있는가?) ③데이터 손실을 막기 위한 최선의 방법은 무엇인가?
둘째, 직원들에게 기밀 유출 방지 교육을 실시해야 한다. 시만텍 조사에 따르면 내부 정보 유출의 대부분은 직원들이 정보를 다루는 과정, 즉 직원들의 부주의와 비즈니스 프로세스상의 업무 흐름 때문에 생긴다. 따라서 기업은 체계적인 직원 교육과 의식 훈련(정보 유출 방지의 중요성과 직원 의무, 그와 관련한 기술) 등의 노력을 기울여야 한다.
셋째, 변화하는 IT 환경에 적절히 대처할 수 있는 방안을 끊임없이 고민하고, 필요한 솔루션을 도입해야 한다. 이를 위해 기업은 오로지 외부 위협에만 대응하는 수준에서 벗어나 내부 위협을 막기 위한 보안 수단을 마련하는 것이 좋다. 내부 보안 수단에는 여러 가지가 있지만, 가장 바람직한 것은 중앙 집중적 보안 정책을 통해 사용자 PC와 네트워크, 데이터베이스(DB)를 총체적으로 보호하는 체계다. 대표적 사례는 최근 업계의 화두인 데이터 손실 방지(Data Loss Prevention·DLP) 솔루션이다. DLP는 △권한 밖의 저장(예: 고객 DB 접근이 허용되지 않은 직원이 본인의 PC에 고객 정보 보관) △기밀 데이터의 이동(예: 직원이 제품 설계도나 고객 정보를 USB에 복사) △기밀 데이터의 외부 전송(예: 영업부 직원이 실수로 협력사에 제품 가격 리스트를 e메일로 전송) 등을 실시간으로 파악하고 감시하게 해준다.
정보는 기업의 가장 중요한 자산이자 가장 취약한 자산이다. 오늘날 많은 기업은 편리하게 정보를 저장하고 이용할 수 있는 시스템을 갖추고 있으나, 이에 대한 반대급부로 정보 유출의 위험을 항상 걱정할 수밖에 없다.
이제 기업은 핵심 자산인 정보를 효과적으로 보호하기 위해 외부뿐 아니라 내부를 통한 정보 유출 위협에도 주의를 기울여야 한다. 계속되는 경기 침체 속에서도 보안에 대한 투자와 노력이 지속돼야 하는 이유가 여기에 있다. 이제 우리나라 기업들도 내부 정보 유출 문제의 심각성을 인식하고, 효과적인 정보 보호를 위해 행동에 나서야 한다.