정보 스크랩

스크랩하기 버튼을 누르신 후 원하는 블로그에 붙여넣기(Ctrl+V) 하십시오. 본 기사는 저작권법의 보호를 받으며 기사의 원형을 변형하거나 훼손하는 것을 금지합니다.

[Hot Issue] 픽션(Fiction)으로 꾸며 본 보안 업계 뒷얘기

  • AhnLab
  • 2014-01-29

보안 사고는 발생이 아니라 발견이다!?

 

최근 발생한 카드사 고객 개인 정보 유출 사건으로 어마어마한 사회ㆍ경제적 피해를 초래했다. 금융 당국은 1월 27일 현재 이번 정보유출 사태로 카드를 해지ㆍ재발급 받는 고객은 약 540만명, 손해 비용은 최소 1000억원을 넘을 것으로 추정하고 있다.

 

더욱이 이번 사건은 전문 해커 조직이 벌인 DDoS 공격이나 APT(Advanced Persistent Threat)와 같은 고도의 기술이 사용된 사이버범죄가 아니다. 어처구니 없게도 해당 카드사의 외주 업체 개발자가 고객 DB를 유출하면서 벌어진 사건 벌어진 사건이다.

 

이번 사건을 계기로 기업들은 외부로부터의 공격뿐만 아니라 내부 통제와 외주 업체 관리에도 철저한 대책을 수립해야 한다는 인식을 갖는 것이 필요하다.


 

※ 이 글의 등장 인물과 기업 상황은 기업 보안의 이슈를 다루기 위해 가상으로 설정한 것이며 일부에 한해 사실에 근거한 것임을 밝혀둔다.

 


# 보안컨설턴트 최수석의 고언(苦言)

‘월 1회 로그분석이요? 진짜 하는 곳이 있을까요?’

 

최수석은 정보보호전문업체 소속의 보안컨설턴트이다.

 

“ 이번에 카드사 정보 유출 사고가 나니까 다들 그러더군요. 이번 일은 데이터 암호화나 USB 통제 등 보안조치를 소홀히 한 일부 기업과 부도덕한 외주직원이 일으킨 이례적인 경우가 아니냐구요. 그런 사고가 웬만해선 안 난다는 거죠. 하하하~ 그런데 그 드물게 날 법한 사고가, 지난 2011년 연이은 대형 보안사고로 사회가 온통 시끄러웠고 개인정보보호법이며 정통망법이며 각종 법령이 재개정된 이후 3년이 지나 안정화를 기대할 만도 한 시점에, 버젓이 발생했다는데 대해선 이상하다는 생각이 들지 않나 봐요.

 

IT 강국인 우리나라의 보안 관련 법령은 정말 잘 만들어져 있습니다. 전자금융이나 정보통신서비스, 최근 이슈가 되는 개인정보에 관한 법까지. 문제는 법을 안 지킨다는 거에요. 안 지키는 걸 넘어서, 피해 갑니다. 안 지키는 이유요? 힘들고 비용도 많이 들어가니까 그렇죠. 피해 간다는 의미는, 들키지 않게끔 일한다는 뜻입니다. 법을 지키지 않는 것이 드러나면 차라리 지적 받고 나서 무언가 대책을 강구할 텐데요. 그러니 모든 문제가 수뢰(水雷)처럼 물 밑에 잠겨 있을 수밖에 없어요. 언젠가 재수 없이 터질 날만 기다리면서 말이죠. 제가 보기에 우리나라 보안 사고는 발생하는 것이 아니라 발견되는 것에 가깝습니다. 어떤 기업이든 한 꺼풀만 벗겨보면 보안 운영 상황은 비슷비슷하고 다들 언젠가는 터질 시한폭탄을 안고 살아가고 있는 상태입니다. 언론을 통해 문제가 알려진 기업은 단지 운이 없었다는 거죠.


이렇듯 법 기준과 실행 사이의 괴리가 우리 기업 보안의 진짜 문제라고 저는 생각합니다. 예를 하나 들어 볼까요? 전자금융 감독규정 12조에 정보처리시스템 관리용 단말기와 이용자 정보를 열람할 수 있는 단말기는 전용 단말기를 지정 사용하거나 사전 지정 용도 외 사용을 금지하고, 노트북(laptop) 등 휴대용 전산장비를 사용 금지하는 등 보안강화 대책을 적용하라고 나와 있습니다. 그렇다면 금융기관의 시스템을 유지보수 하는 외주업체 직원들이 노트북 아닌 데스크톱 컴퓨터를 들고 와서 작업을 할까요? 아니죠. 정보통신망법과 개인정보보호법에는 개인정보취급자가 개인정보처리 시스템에 접속할 때 수행한 작업은 로그로 남겨야 하며 그 로그는 월 1회 이상 분석해야 한다고 규정되어 있는데 로그는 보통 남깁니다. 기계한테 시키면 되니까요. 하지만 로그 분석을 정말 할까요? 그것도 월 1회 이상? 사고가 나지 않는 한, 1년에 한 번도 로그를 들여다 보지 않는 기업이 태반입니다. 이것이 현실입니다. 담당자에게 물어 보면 분석할 사람도 방법도 판단할 기준도 없다고 합니다.


다른 예를 들자면 저희 컨설팅 업체가 종종 의뢰 받는 것이 기업 보안 실태 점검입니다. 기반시설점검이나 ISMS처럼 법 기준에 따라 점검할 때도 있고 업체 내부의 기준으로 진단해서 그 기업 보안수준을 측정하기도 합니다. 컨설팅 업체를 통해 진단받는 이유는 객관적으로 평가 받으려는 목적이 있는 건데 보안실태 점검 후에 정작 평가점수가 낮게 나오면 어떨까요? 감점요인이 된 진단항목을 빼고 다시 진단해달라고 요구하는 곳이 적지 않다는 겁니다. 결과를 고치면 불법행위가 되지만, 진단자체를 아예 없던 일로 하고 진단기준을 재조정해서 다시 하는 거라면 안 될 일도 아니라는 거죠. 물론 법적 기준에 따른 특정 진단은 그런 요구를 절대 수용할 수 없습니다. 그런데 일부 소규모 컨설팅업체 입장에선 그 요구를 거절하기 힘들어요. 고객이 결과를 수긍하고 검수를 해줘야 대금을 받으니까. 그래서 같은 일을 중복해서 하느라 힘이 들더라도 조정된 기준으로 다시 진단합니다.

 

그렇게 하면 해당 기업의 보안 수준은 쑥 올라가죠. 즉, 잘 정리된 보고서, 적절한 보안수준 점수, 고객사 CSO도 흡족, 질책을 면하게 된 고객 보안담당자도 만족, 검수 받고 대금 받아야 할 컨설팅업체도 안도하는 것으로 훈훈하게 프로젝트가 마무리가 된 겁니다.


그렇다면 이런 문제의 원인과 대책은 뭘까요? 원인을 콕 집어 말하긴 힘들지만 보안 인력 부족이 대표적인 이유 중 하나입니다.

 

보안 업무를 할 인력이 아예 없거나 부족해서 어려운 기업이 있고, 보안 인력이 있긴 하지만 현업 부서를 통제할 힘이 너무 없어서 실제로는 일이 안되는 곳도 있습니다. 매출 1조원이 넘고 전국에 수십 개 지점이 있는 대형 기업인데도 보안담당자는 단 1명인 곳이 있어요. 그 담당자가 초능력자가 아닌 이상 그 조직 전체의 보안을 어떻게 다 관리하겠습니까? 아무튼 법에는 예외가 없고 법을 어기면 자기가 덤터기를 써야 하니 컨설팅 업체를 통해 의무화된 보고서라도 작성해서 남길 뿐이죠. 보안인력이 있지만 현업 부서를 통제할 파워가 없으면 유명무실하긴 마찬가지입니다.


저의 조언은 어떤 대책을 세우든 그 전에 기업 보안 현황을 투명하게 관리하는 것이 전제가 되어야 한다는 것입니다. 그러기 위해서 컨설팅 업체를 통해 진단을 받을 때 계약을 하는 주무부서가 그 결과에 직접 영향을 받는 부서가 되어서는 안됩니다. 보안팀이 컨설팅업체에 보안 실태 점검 발주를 내고 진단을 받는다면 진단 결과가 나쁠 경우 그 결과를 조정하고자 하는 유혹을 벗어나기가 쉽지 않기 때문입니다.


또 한 가지는 법의 테두리 안에서 업무를 하는, 주기적 보안 점검의 틀을 벗어나야 한다는 점입니다. 대부분의 법령 기준은 1년에 1회 또는 2회의 보안 점검을 할 것을 요구하고 있습니다. 이 기준은 기업 규모와 관계없이 적용해야 할 보편적인 최소한의 기준이지 중요 정보를 대량으로 보유한 기업들에게 충분한 수준은 아닙니다.  6개월에 1회만 점검을 한다면 점검이 없는 나머지 기간은 어떤 위험에 노출되고 있는지 모르고 있는 상황이 되니까요. 중요한 시스템이나 데이터에 관련된 보안 절차는 주기적인 점검이 아니라 절차의 준수 상황을 실시간으로 수집하고 체크하는 체계를 갖출 필요가 있습니다. 실제로 일부 기관에서는 보안 인증 심사 때가 되어서야 부랴부랴 증적을 갖추기 위해 절차에 관련된 기록을 한꺼번에 만들어내는 웃지 못할 일이 벌어지곤 합니다.


마지막으로, 보안 관련 법령은 지금도 충분하다고 강조하고 싶습니다. 보안사고만 났다 하면 일부 전문가들은 보안 강화 대책과 법안을 언급하는데 그건 현실과의 괴리를 더 깊어지게 할 뿐이라고 봅니다. 실제로 법이 너무 강하다 보니 법의 테두리 안에서만 움직이는 부작용도 있습니다. 보안 현황 관리가 투명하지 않다면 그 어떤 법도 은폐의 장막 뒤에 묻힐 뿐 실효를 거두기 힘듭니다. 현재의 법 기준 아래서 그 법을 제대로 충족할 수 있도록, 법 수준과 실행 수준의 간격을 좁히려는 노력이 지금은 더 중요합니다."

 

 

 보안컨설턴트 최수석의 제안 
  
1. 보안 법령과 지침을 강화하는 것보다 이를 준수하고 실행하는 것이 더 중요하다.


현재의 문제를 해결하기 위해서는 더 강력한 법이 필요한 것이 아니다. 법 수준과 실행 수준의 간극을 좁히려는 노력이 필요한 때다.


2. 기업의 보안진단은 평가를 받으려는 부서가 아닌 제3의 부서에서 발주를 해야 한다. 보안팀에서 보안수준진단 컨설팅을 발주한다면 그 결과에 관여할 가능성이 높다.


3. 중요한 시스템과 데이터에 관련된 보안절차는 주기적 점검이 아니라 실시간으로 절차의 준수여부를 수집하고 확인할 수 있는 체계를 갖출 필요가 있다.


주기적 점검이란, 일정 기간 동안은 위험을 방치시킨다는 의미와도 같다.


4. 중요한 권한을 가진 직원들의 업무에 대한 보안 모니터링을 강화해야 한다.


 

내부인력 중 DBA나 시스템관리자처럼 중요한 권한을 가진 직원들은 정작 보안 모니터링 이나 보안통제에서 예외대상인 경우가 많다. 크게 보면 유지보수하는 외주인력도 그런 예외대상에 포함되는 것이다. 현재의 보안대책은 권한 없는 대상의 비정상적인 접근을 감시하고 통제하는데 집중되어 있다. 앞으로는 허가 받은 인력이 허용된 업무를 하는 과정에서 발생 가능한 보안위험을 식별하고 통제하는 쪽으로도 주의를 기울여야 한다.

 


# 외주 업체 직원 김과장의 푸념

 ‘외주업체 직원 못 해먹겠어요’

 

 

김과장은 소프트웨어 유지보수 업체의 시스템 엔지니어이다.


“저희가 제일 들어가기 싫어하는 고객사는 금융기관인 S사에요. S사의 유지보수담당자로 선정되면 다들 한숨부터 내쉬죠. 저희처럼 여기저기 다니면서 소프트웨어 유지보수하려면 유지보수용 툴이나 자료를 노트북에 다 넣어서 가지고 다니는 게 편합니다. 하지만 S사는 아예 노트북을 갖고 들어갈 수가 없어요. 저희 솔루션을 납품할 때 유지보수에 필요한 소프트웨어나 자료 목록을 요구해서 CD로 제출해야 했구요. 그것들을 설치한 S사의 유지보수용 장비가 외주업체 작업실에 미리 세팅되어 있어서 그걸로만 작업을 해야 하죠. 그 컴퓨터가 성능은 좋지만 USB 포트나, CD 드라이브 같은 장치가 아예 없어요. 외부 네트워크가 안 되는 건 물론이고 내부망도 저희가 들여다 봐야 할 테스트장비나 개발환경에만 접속되어 있습니다.


몇 년 전에는 사실 지금처럼 방문까지 할 필요도 없었죠. 저희 솔루션이 각 지역의 지사에도 많이 설치되어 있었지만 원격으로 처리가 가능했습니다. 고객사에선 전화로 어디어디 시스템 문제 있으니 봐달라고 연락하고 그러면 저희는 터미널서비스나 SSH 같은 걸로 원격 접속해서 시스템 들여다 보고 문제를 해결해 주곤 했어요. 이젠 그런 식으로 작업하는 건 꿈도 못 꾸죠. 운영시스템 접속은 저희 같은 외주업체에는 절대 허용 안 해요. 저희는 운영시스템과 비슷하게 만들어진 개발 시스템이나 테스트 서버에서만 작업을 해야 하고 거기 담긴 데이터도 형식만 비슷할 뿐 실제 값은 변경된 가짜 데이터죠. 그래도 정말 프로그램 고치다보면 도저히 혼자서는 해결할 수가 없어서 문제가 된 코드를 좀 복사해서 갖고 나와야 하는데 이게 정말 보통 일이 아니에요. 인간적인 모멸감까지 느끼는 감시 모드가 가동되고 있거든요.


S사 유지보수 작업실에 가서 제가 써야 할 장비를 켜고 제 아이디를 입력하고 로그온을 하면 그때부터 제 키보드 작업은 로깅이 됩니다. 제가 쓰는 컴퓨터의 화면도 동시에 녹화되어 저장되기 시작하구요. 또 컴퓨터 위에 설치된 웹캠은 저를 제가 하는 동작들을 다 촬영하고 있어요.


그러니 화면 보면서 뭔가를 베껴 쓰는 건 꿈도 못 꾸죠. 제가 그날 작업을 끝내고 퇴근하면 S사 보안담당자인 박과장은 제 작업 녹화 화면과 키보드 로그를 당일로 확인하고 팀장에게 결재를 받아야 한다더군요. 박과장 얘기가 예전엔 외주업체 보안관리 방식이 존디펜스(Zone-Defense)였는데 이젠 맨투맨(Man-to-man) 방식이라네요. 무슨 얘기인가 하면 존디펜스 때는 외주업체나 방문작업자 수가 얼마가 되든 간에 보안담당자 한 두 사람이 그들 전체를 관리했는데 그러다 보니 아무래도 관리가 좀 허술했다는 거죠. 보안절차라고 해 봤자 기껏 처음에 보안 서약서나 쓰는 것이고 담당자랑 일단 안면을 트고 나면 그 다음부턴 한 식구처럼 내버려두었으니까요. 맨투맨 방식은 저희 같은 외주업체 직원 한 명당 관련된 현업부서 한 사람이 1대1로 보안관리 책임을 맡는 거에요. 업체직원이 회사에 들어와서 일하게 되면 기본적으로 함께 다니거나 그렇지 않으면 아까 말한 것처럼 그날 한 작업에 대한 보안 확인 조치를 전담직원이 책임져야 하는 거죠. 담당자 확인부터 책임자 결재까지 모두 제가 퇴근 후 24시간 안에 끝나야 한다니 사실 S사 직원들도 힘들긴 하겠죠.


S사는 작업 마치고 나갈 때도 피곤합니다. 들어올 때는 X선 검색대에서 노트북컴퓨터 반입 검사하고 휴대폰을 맡기고 들어갈 뿐이지만 나갈 때는 휴대용 금속탐지기로 온 몸을 다 검색합니다. 제가 혼자 생각에 마이크로SD 같은 건 신발 밑창 쪽에 테이프로 붙이면 모를 텐데 헛수고 아니냐 여겼는데 신발까지 검사하는 걸 보고 두 손 두 발 다 들었다니까요. 이런 상황이니 정말 외주업체 직원이란 게 서럽기도 하고 일하기 너무 힘들다는 생각이 듭니다. 하지만 어쩌겠습니까? 고객사도 그만한 리스크가 있으니 그리 하는 걸 저희도 알고 있고 사실 얼마 전 발생한 카드사 유출사고의 경우엔 저 자신도 피해자니까요. 시대 상황이니 받아들일 수밖에 없다 여기고 적응 중입니다." @

 

 

외주업체 김과장을 힘들게 만든 S사의 보안 조치 
  
1. 외주업체 노트북컴퓨터와 휴대폰은 반입이 금지되어 있다.


대신 유지보수용 전용장비와 전화기를 제공해 주는데 유지보수에 필요한 도구와 자료는 사전에 CD로 입수하여 보안 검사 후 전용장비에 설치해 둔다.


2. 유지보수용 전용 장비에는 외부 미디어와 접속할 인터페이스가 없다.


고객이 지급하는 유지보수용 전용장비에는 USB, Serial, CD 드라이브 등 외부미디어와 접속할 인터페이스 유닛이 아예 없다. 네트워크도 관련된 개발 장비와 테스트 서버만 연결되어 있다.


3. 외부 작업자의 모든 행동을 모니터링한다.


외부 업체의 작업자가 유지보수 전용장비에 로그인하면 모든 키 작업이 로깅되며 작업화면 역시 자동 녹화된다. 또한 컴퓨터에 설치된 웹캠이 작업자의 행동을 녹화 촬영한다.


4. 외부 작업자의 작업 사항은 결재 프로세스를 거친다.


외부 업체 작업자의 작업사항에 대한 로그 및 화면녹화는 작업 종료 후 24시간 이내에 전담 담당자에 의해 확인되고 해당 보안책임자 결재를 받아 보관된다.


5. 외부 작업자를 맨투맨 방식으로 관리한다.


모든 외부 업체 작업자에 대해서 맨투맨(man-to-man) 방식으로 전담 직원이 지정되어 보안관리를 책임지고 있다.
6. 외부 작업자의 입출 시 철저한 검색을 실시한다.


외주업체 직원 출입시 X선 검색대와 금속탐지기 등을 이용한 정밀검색을 하며 금지물품 적발 시엔 업체 CEO가 호출되어 문책을 받는다.

  • AhnLab 로고
  • 관리컨설팅팀 이장우 이사

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

확인