[지디넷코리아]
신한카드에서 19만2천건의 가맹점 대표자 휴대전화번호가 유출되는 사고가 발생했다.
신한카드에 따르면 유출된 정보는 가맹점 대표자의 ▲휴대전화번호 18만1천585건 ▲휴대전화번호, 성명 8천120건 ▲휴대전화번호, 성명, 생년월일, 성별 2천310건 ▲휴대전화번호, 성명, 생년월일 73건 등 총 19만2천88건이다.
다만 롯데카드 해킹 사태 때처럼 외부 공격으로 이번 유출 사고가 발생한 것은 아니다. 내부 직원이 신규 카드 모집 영업을 위해 해당 개인정보들을 유출한 것으로 파악됐다.
현재 금융위원회, 금융감독원 등 금융당국과 개보위가 조사에 착수한 상태다. 외부 공격자의 침해사실이 확인된 경우에는 한국인터넷진흥원(KISA)에 24시간 내로 침해 사실을 알려야 한다. 또한 침해 과정에서 개인정보가 유출된 경우에는 72시간 내로 개보위에 신고를 마쳐야 한다. 단 금융권의 경우 관련 법에 따라 KISA가 아닌 금융감독원 등 금융당국에 신고해야 하는 규정이 있다.
신한카드의 경우는 외부 공격자의 침입으로 내부 데이터가 유출된 ‘침해사고’가 아니라, 내부자가 고의 혹은 과실로 정보를 유출한 ‘내부자 위협’에 해당하는 공격 유형이다. 당시 신한카드 일부 직원은 신규 카드 모집을 위해 가맹점 대표자 정보를 유출한 것으로 확인됐다.
내부자위협은 외부에서 공격이 이뤄지는 것이 아니라 내부에서부터 공격이 이뤄지기 때문에 치명적인 결과를 낳는 경우가 많다. 실제로 쿠팡의 경우 외국인 직원이 3천370만건의 개인정보를 유출해 사회적 파장이 끊이질 않고 있다.
내부자위협은 최근 부상한 ‘새로운 위협’이 아니다. 과거서부터 방산업체의 설계도면 유출, 제조 공정 데이터, 소스코드 유출 등 기업 기밀 유출에 주로 악용되며, 국가 안보까지 위협하는 공격 유형이다. 신한카드의 경우처럼 직원의 일탈이나 퇴사자나 현직자의 고의적 정보 탈취부터 협력사 직원과 외부 공격자의 거래를 통한 공격 등 다양한 형태로 이뤄지는 것이 내부자 위협으로 통칭되는 것이다.
글로벌 기업에서도 내부자 위협으로 인해 기밀 정보가 유출되는 사례가 있다. 지난 2018년 테슬라 내부 직원이 제조 공정 데이터와 소프트웨어 코드를 빼돌려 피해를 입히기도 했으며, 애플의 경우 내부자에 의해 차세대 아이폰의 핵심 정보가 유출된 바 있다.
신한카드의 경우 적절한 보안 조치가 이뤄졌다면 충분히 사고를 방지할 수 있었다. 내부자 위협은 데이터 유출 방지(DLP) 솔루션을 통해 예방이 가능하다.
DLP는 여러 종류가 있지만 내부자 위협을 효과적으로 방지하는 기능을 하는 종류도 있다. 이메일, 웹 업로드 등을 통해 민감 데이터가 유출되는 것을 차단하고, USB나 외장하드 등으로의 복사 및 유출도 막는 기능을 한다. 유출 시도가 감지되면 DLP를 통해 보안 담당자에게 알림이 가고 보안 담당자가 조치를 취할 수 있도록 돕는다. 또 직원이 외부로 개인정보가 포함된 문서 등을 보낼 때에도 암호화를 적용하는 등의 기능을 수행한다.
구체적으로 지란지교시큐리티의 경우 메일스크린 솔루션을 통해 기밀이나 개인정보가 포함된 문서가 메일을 통해 외부로 반출되는 것을 막는다. 발송 이전에 보안 담당자에게 알림이 가는 구조다. 또 개인정보 필터 솔루션을 통해 개인정보를 걸러서 별도로 암호화 저장하는 것도 가능하다.
문서 중앙화 솔루션의 경우도 DLP와 연계돼 기밀 정보는 별도 보관하도록 하는 조치도 가능하다. 내부 결재 프로세스를 통해서만 외부로 보내는 것이 가능하도록 별도 솔루션을 통해 방지할 수 있는 영역이라는 것이다. 소만사, 파수, 지란지교시큐리티 및 지란지교데이터, 사이버다임 등 SLP 및 문서중앙화 솔루션을 공급하고 있는 기업도 적지 않다.
특히 신한카드의 경우 개인정보를 유출한 직원이 개인정보 조회 화면을 사진을 찍는 방식으로 공유한 것으로 확인됐다. 이 경우도 특정 구역이나 업무 환경에서 카메라를 제어하는 ‘MDM(모바일 디바이스 매니지먼트)’ 솔루션 등으로 충분히 대응할 수 있다.
글로벌 기업이 제공하는 UBA(사용자 행동 분석) 솔루션도 내부자 위협을 효과적으로 방어할 수 있는 기술로 알려져 있다. UBA 솔루션은 네트워크 내 사용자 행동을 추적하고 정상 행동 패턴을 모델링한다. 평소 사용자가 하지 않는 작업을 수행하는 경우를 탐지하기 때문에 내부자 위협을 효과적으로 방어할 수 있다.
신한카드가 내부자 위협 방지 솔루션을 갖고 있는 지, 또 어떤 솔루션을 갖고 있는 지는 아직 알려지지 않았다.
보안 전문가들은 내부자 위협으로 인한 사고가 잇달아 터져 나오고 있는 만큼 국내 인증 제도 등에서도 내부자 위협을 얼마나 잘 방어하고 있는지 검증하는 평가 체계도 마련돼야 한다고 주문했다.
이용준 극동대 해킹보안학과 교수는 “DLP, UBA 등 솔루션을 효과적으로 결합해 사용하는 것도 물론 중요하지만, 기업이 얼마나 내부자 위협을 잘 방어하고 있는지 그 수준을 가능하는 체계도 마련할 필요가 있다”며 “미국의 경우 연방정보기관 산하 공공기관이나 국가기관에는 내부자 프로그램에 대해서 솔루션을 만들고 어느 정도 성숙도에 도달해 있는지를 점검하는 체계가 마련돼 있다”고 설명했다.
이 교수는 “반면 한국에는 아직 내부자 위협에 대한 인증이나 성숙도를 측정하는 체계가 없다”며 “외부 공격 세력과 내부자가 공모해 위협을 가하는 공격 형태도 강화되고 있기 때문에 내부자 위협에 대한 평가 체계가 마련돼야 조직이 내부자 위협에 대해서 어느 정도 대응하고 있는지 객관적인 평가가 가능하다”고 역설했다.