“ 정보 유출 사고의 핵심, 내부 사용자부터 막아라”
그동안 국내 보안시장을 주도해왔던 것은 해킹 및 바이러스 등의 외부침입에 효과적으로 대응할 방화벽, VPN 등의 외부침입 방지장치였다. 하지만 빈번하게 발발하고 있는 금융권 등에서의 횡령, 고객 DB유출 등 내부자 정보유출 사고는 해당 기업의 금전적 손실뿐만 아니라 고객의 불신, 기업이미지 하락 등 돈으로 환산할 수 없는 막대한 피해를 입게 된다.
또한 보안사고의 90% 이상이 의도적이라기보다 실수에 의해 저질러지는 경우가 대부분이며, 업계에서는 전체 보안사고 가운데 내부자에 의한 정보유출 비율이 약 70% 이상이라고 추정하고 있다. 이런 현실에서 더 이상 내부자에 의한 정보유출 사고를 ‘우리 식구니까 믿을 수 있다’는 안일한 생각으로 내버려둘 수만은 없는 것. 내부자 보안을 강화할 수 있는 솔루션으로는 시스템 측면에서 EAM(Extranet Access Management), IAM(Identity Access Management), 호스트 IDS/IPS, 사이버포렌직 등과 사용자단까지 포괄할 수 있는 문서보안, DB보안, 데이터유출 방지 솔루션 등을 꼽을 수 있다.
하지만 여전히 내부자 보안 솔루션은 사용자들의 거부감이 크고 전사적 차원에서의 CEO의 결정이 뒤따라야하기 때문에 더디게 형성되고 있는 형편이다. 또 지속되고 있는 IT 경기침체는 내부 보안까지 신경 쓸 여력이 없는 상태이다. 그러나 더디지만 서서히 형성되어가고 있는 내부자 보안 솔루션 시장은 포화된 국내 보안시장에 새로운 틈새시장으로서 무한한 가능성을 열어줄 수 있을 것으로 기대되고 있다. 국내 내부자 보안 솔루션 시장의 현황과 향후 전망 그리고 문제점 등을 통해 내부자 보안의 필요성과 이점에 대해 알아본다. <편집자>
제 1 부 국내 내부자 보안 시장 동향 144 쪽
제 2 부 국내 내부자 보안 솔루션의 종류와 특징 149 쪽
제 3 부 내부자 보안 시장 기술 동향 160 쪽
제 1부 국내 내부자 보안 시장 동향
안일한 대처방식이 큰 걸림돌 … 정책 수립 마인드 형성 시급
“사용자 거부감부터 해소하라”… 수면위로 부상중
최근까지 보안의 경향은 외부로부터의 침입에 대비한 물리적인 보안 중심이었다. 방화벽, IDS, IPS, VPN, 하물며 백신까지도 모두 외부로부터의 해킹이나 바이러스, 웜 등으로부터 네트워크와 시스템을 보호하기 위한 솔루션이었던 것. 하지만 이제 외부로부터의 침입을 대비한 보안시스템들은 어느 정도 갖춰졌으며 내부 보안 역시 중요하다는 인식이 확산되고 있다.
기본 인프라만 갖추면 외부 보안은 막을 수 있지만 내부 보안은 제품 한 두 개 설치로 끝나는 것이 아니다. 더욱이 외부에서 침입시 내부 보안이 제대로 되어있지 않으면 위험은 더욱 치명적이 된다. ‘안에서 새는 바가지가 밖에서 새지 않을 리가 없는 것’처럼 내부를 단속하지 못하면서 외부의 위험을 막을수는 없는 법이다. 국내 내부자 보안시장의 움직임을 살펴본다. | 장윤정 기자·linda@datanet.co.kr |
얼마전 서울 경찰청 사이버범죄수사대는 H은행 인터넷뱅킹 서버에서 고객 개인정보를 빼내고 이들의 은행계좌에서 거액을 인출한 협의로 인터넷뱅킹 솔루션 개발업체 W사의 직원 고모(21)씨 등 2명을 구속했다. 수사대에 다르면 고씨는 H은행 인터넷뱅킹 시스템 개발과정에서 고객 18명의 이름, 계좌번호, 비밀번호 등 개인정보를 빼낸 뒤 인터넷 동호회에서 알게된 김모(21)씨와 공모해 이들 명의로 인터넷뱅킹 사설 인증서를 발급받고 3명의 계좌에서 10여 차례에 걸쳐 모두 7천여만원을 빼낸 협의를 받고 있다.
또 경찰청 사이버테러대응센터는 경쟁사를 설립한 후 자신들이 근무했던 회사의 DB 서버를 해킹, 중요정보를 빼내 영업에 이용한 이모씨(30) 등 30여명을 구속했다. 이에 앞서 병원 진료차트 관리프로그램을 제작, 공급하던 J정보통신 관계자 최모(31)씨 등 20여명이 전국 병원 50여곳에서 환자 230여명의 진료정보를 빼낸 협의로 검찰에 구속됐다.
이는 신문지상에서 흔하게들 접하게 되는 기사지만 위의 세 사건은 모두 공통점이 있다. 내부인들에 의한 공모, 또는 퇴사직원, 관계사들에 의해 저질러진 악의적인 범죄라는 점이다.
정보침해사고의 70%는 내부자 소행
각종 조사에 따르면, 조직 내에서 발생하는 정보 침해 사고의 70% 이상이 내부자에 의해 발생하는 것으로 분석되고 있다. 한국산업기술진흥원 조사<표 1>에 따르면 조직 내 산업기술정보의 유출자의 90% 이상이 현직/퇴직 사원이 차지하고 있다(퇴직사원: 70.2%, 현직사원: 10.5%, 경영진: 1.8%). 또 경찰청 집계에 따르면 내부자에 의한 정보유출 및 해킹 등의 범죄건수는 지난 2000년 278건에서 2001년 7천595건으로 급증했으며 그 이후에도 2배 이상씩 해마다 급격히 증가하는 추세다. 국가정보원이 파악한 결과 지난 98년 이후 5년 동안 기술 유출 사례는 총 47건이며 피해규모는 약 38조원에 이른다고 발표하는 등 내부 보안에 의한 피해사례는 갈수록 증가하고 있으며 피해규모 또한 급증하고 있다.
경찰청의 한 관계자는 “기업의 주요 정보가 문서가 아닌 디지털 파일 형태로 기록되면서 내부자가 이를 악용하는 범죄사례가 늘고 있으며 피해금액도 큰 폭으로 증가했다”며 “특히 금융권이나 기업의 연구소 등 사세를 좌우할 수 있는 핵심정보가 있는 곳의 경우 내부 보안에 만전을 기해야한다”고 언급했다.
그럼에도 불구하고 대부분의 조직은 방화벽, 네트워크 보안, 서버 보안, PC 보안 제품을 주로 도입해 내부자보다 외부자에 의한 침해 사고에 치중하고 있다. 이처럼 기업들이 외부로부터의 시스템 해킹에 의한 피해보다 중요한 정보의 유출로 인한 피해가 더 크게 발생되고 있어 경쟁사의 중요한 정보를 노리는 산업 스파이나 이에 매수된 내부 직원들에 의한 경쟁력있는 노하우의 유출, 그리고 서비스하는 고객들의 개인 신상에 대한 중요 자료 누출 등에 의한 피해가 더 큰 것이 현실이다.
또한 대부분의 내부자 해킹이 밝혀지지 않기 때문에 실제로는 이보다 훨씬 높은 비중을 차지할 수 있다. 대부분의 기업들이 가장 심각한 내부자 해킹에 대해 제대로 대처하지 않고 있지만 시스템을 잘 이해하고 있는 내부자 해킹이야말로 회사시스템에 가장 큰 위협요소다. 앞서 언급한 통계자료에서 보여지듯이 바이러스나 외부해킹의 피해보다 내부자 정보유출 및 권한 없는 내부자 접속 등의 보안 구멍이 매년 가장 큰 보안사고 원인으로 불거지고 있다. 그렇다면 이를 효과적으로 막을 수 있는 방법은 없을까? 사람이 악의적인 마음을 먹고 저지르는 범죄를 어떻게 막겠냐며 마냥 손을 놓고 있을 수는 없다. 사람이 저지르는 범죄를 일일이 사람이 막을 수 없다면 시스템에서 자동적으로 차단하는 방법도 있는 것이다.
예를 들어 내부 보안 위협의 종류중에서 사용자, 클라이언트단에서의 타인의 ID도용, 바이러스 침투, 자료(메일) 위/변조/ 유출, OS 취약점 공격 등을 막기 위해서는 암호화와 사용자 인증 솔루션 사용, 문서(메일)보안, 등급별 자료 관리로 인가되지 않은 사용자에게 자료를 오픈하지 않거나 OS취약점 공격을 차단하는 시큐어 OS 등의 소프트웨어 프로그램을 사용하는 등의 방법을 이용하면 된다. 이외에도 서버, 네트워크, 애플리케이션, DB 등을 보호하기 위해 사용자 인증, 암호, 전자서명, 접근권한 통제, 애플리케이션 모니터링, 로그확보, 로그 기록, 데몬 확보 등을 전사적으로 구현할 수 있다.
이와 같은 방법을 사용해 내부 보안을 구현하기 위해서는 부분적인 적용만으로는 효과를 보기 어렵다. 내부 보안 위협에 대응하기 위해서는 단계별 보안 대책, 정책을 수립하고 수행해 나가야 한다. 즉 기술적 보안과 물리적 보안, 관리적 보안을 통합적으로 운영해야 한다는 것. 출입관리와 시스템 파손방지 등의 물리적인 보안을 기본으로 네트워크 보안, 서버보안, DB보안, 응용 애플리케이션 보안, 로깅 등의 기술적 보안 그리고 조직의 정보보호 정책 및 지침을 수립하고 비상대책과 교육훈련과 감사 등에 대한 고유의 보안 정책을 함께 구현해야 한다.
업계의 전문가들은 “기업의 보안 형태가 바뀌어가고 있으며 내부 보안 강화는 당연한 추세이고 가야할 방향”이라며 “내부 보안 강화를 위한 EAM, IAM, 시큐어 OS, 사이버포렌직 등의 시장은 지속적으로 커질 전망이며 사용자단까지 포괄, 안전한 작업환경을 보장할 수 있는 문서보안, DB보안, 데이터유출 방지 보안 솔루션들은 점진적인 성장을 지속해 갈 것”이라고 언급했다. 또한 관계자들은 “개인정보보호법 등이 발효될 것으로 예상되는 내년경부터 기업들이 개인정보 유출 방지 솔루션에 더욱 많은 관심을 기울이게 될 것”이라고 전망하고 있다.
기업의 CCTV, 내부자 보안 솔루션
내부자 보안 솔루션의 목적은 내부자의 악의적 또는 오용에 의해 조직 내 정보자산이 침해되고 유출되는 것을 방지하는 것이다. 여기서 조직 내 정보자산이란 조직에서 생성되고 사용, 유통되는 모든 정보를 지칭할 수 있다.
외부자에 의한 침해 사고를 방지하기 위한 보안 솔루션은 사용자 인증에 따른 접근을 제어하는 방식과 네트워크와 시스템 취약성을 이용한 공격을 차단하는 방식으로 나뉜다. 그러나 내부자 보안 솔루션은 내부 직원이 조직 내 정보에 접근해 업무를 원활히 수행할 수 있으면서 허용된 범위를 벗어나 접근하거나 외부로 유출하는 행위를 할 수 없도록 하는데 기본을 둔다.
즉 내부자 보안 솔루션을 한 마디로 말하면 사용자의 불편을 최소화하면서 내부의 중요정보를 안전하게 지키는 것이다. 방화벽이 일종의 대문이라면 내부 보안 솔루션은 CCTV같은 내부 감시 카메라에 비유할 수 있다.
현재 시장의 요구에 의해 다양한 솔루션들이 출시되고 있으며 내부 정보 자산으로의 접근을 제어하기 위한 EAM, IAM, 문서보안, 서버보안, DB보안, 사이버포렌직, 호스트 IDS/IPS 그리고 외장 HDD/USB, 메일, 메신저 등을 통해 전송될 수 있는 유통 경로를 차단하는 장치 등의 데이터 유출방지 보안, PC보안 등이 주를 이루고 있다. 또한 보안 관리의 중요성에 대한 인식이 높아져 정보보안관리체계 등에 대한 컨설팅 서비스도 증가하는 추세다.
내부 보안을 위한 솔루션들은 이처럼 여러 종류가 있지만 우선 기업의 시스템적인 측면에서 본다면 접근권한을 운영체제 레벨에서 통제하는 시큐어 OS, 시스템 내부에서 일어나는 기술적인 침입까지 탐지하는 호스트 IDS/IPS 등과 네트워크, 서버시스템 등을 포괄해 해킹, 정보유출 등의 사고를 검출해낼 수 있는 사이버포렌직, 통합인증권한관리를 위한 EAM 등을 꼽을 수 있다. 시스템적인 측면에서의 내부 보안 솔루션들은 서버, 네트워크 등에 설치돼 사용자들의 권한을 인증하고 제어, 감시할 수 있다.
또한 사용자 PC 등에 클라이언트 프로그램 등을 설치하고 사용자단까지 제어할 수 있는 솔루션으로는 주요 데이터의 위변조를 방지하는 DB보안, 중요한 데이터를 암호화해 저장하는 문서보안, 또 네트워크 트래픽이나 이메일 등의 메시지를 감시, 추적하는 각종 데이터 유출 방지 솔루션 등을 들 수 있다. 여기서는 앞서 나눈 것처럼 시스템측면에서의 보안 솔루션과 사용자단까지 제어할 수 있는 클라이언트 보안 솔루션으로 나눠서 살펴보기로 한다. 문서보안, DB보안 등은 중앙 서버 시스템을 통해 전체적으로 제어, 관리돼 시스템보안 솔루션으로 넣을수도 있지만 사용자 PC마다 클라이언트 시스템이 깔리고 각 개인사용자들을 직접 통제할 수 있으므로 사용자측 솔루션으로 구별하기로 한다.
관련 전문가들은 “크게 내부자 보안이라고 하면 문서보안 시장을 떠올린다”며 “이는 문서 유출로 인한 기밀 유출로 인해 내부자 보안 필요성이 등장하게 된 배경에 기인한 것으로 보인다. 최근에는 문서나 파일 보안을 위한 제품이외에도 해킹 등 사이버 범죄수단이 다양해지면서 단순한 문서보안 뿐 아니라 시스템적 보안을 위한 IDS, 시큐어 OS, EAM, 사이버 포렌직 등으로 확대되고 있다”고 언급했다.
보안은 기본, ‘관리·예방·비용 절감’ 등 효과 많다
이처럼 다양한 내부자 보안 솔루션들을 사용하면 기업 유무형 정보 자산 보호, 궁극적으로는 주요 정보자산의 효율적인 보호와 기업의 신뢰도에 영향을 줄 수 있는 정보보안 사고를 사전에 예방할 수 있다.
또 내부 정보에 대한 통일된 유지, 보안과 PC라는 다양한 환경의 단말에서의 보안, 그리고 보안 사건 대응력을 키우기 위한 법적인 근거와 지원 등의 이점도 얻을 수 있다. 외부직원이 들어와서 프로젝트를 수행하는 경우가 많은데 사고가 났을 경우 아웃소싱 업체, 외주업체들을 의심하는 경우가 많지만 내부자 보안 솔루션이 구축돼 있다면 이들에 대한 근거 없는 의심을 방지할 수 있으며, 외주업체에 대한 실질적인 사고가 날 수 있는 위험도 줄일 수 있다. 웜, 바이러스의 온상인 노트북 등 이동식 매체에 대한 불안감도 없애고, 기회비용을 줄일 수 있다는 것도 장점이다.
그러나 뭐니뭐니해도 내부자 보안 솔루션 도입으로 얻을 수 있는 가장 큰 효과는 내부자 보안의식의 미비로 무의식적으로 유출되는 정보자산을 효율적으로 감소시킬 수 있다는 점이다. 은행이 아무리 보안설비를 갖고 있어도 은행강도사건은 발생하는 것처럼 실제적인 악의를 가진 내부자에 의한 보안사고의 경우에는 내부자 보안 솔루션만으로 해결하지 못하는 경우가 많다. 하지만 실수에 의해 발생될 수 있는 보안사고, 퇴직시 무심코 가져갈 수 있는 자료들의 외부유출을 방지함으로써 보안사고를 미연에 예방, 기업 자산을 보호할 수 있다는 점은 내부자 보안 솔루션 구축의 가장 큰 장점이 될 수 있다. 업계의 한 관계자는 “내부에서는 보안할 만한 내용이 아니라고 생각하지만 외부로 나가면 보안이 되는 자료들이 많다”며 “내부자 보안 솔루션을 도입하면 의도하지 않은 사고를 막을 수 있고 자연스럽게 보안의식이 고취되는 효과가 있다”고 언급했다.
또한 설혹 보안사고가 발생하더라도 내부자 보안솔루션이 구축돼 있다면 더 빨리, 더 쉽게 관련된 내부자를 탐지할 수 있다는 것도 큰 장점이다. EAM, 시큐어 OS 등과 같은 내부 보안 솔루션은 보안을 하면서도 관리적 측면의 이점이 있다는 것도 장점으로 꼽힌다.
사용자 불편·거부감 최소화 ‘시급’
이렇게 많은 장점을 보유하고 있지만 내부자 보안 솔루션은 아직 대중화되지 못했다. 보안이라는 성격 자체가 만일의 사고에 대비하는 보험과 같은 것이지만 내부 보안의 경우는 평상시에 더욱 필요성을 절감하지 못한다.
특히 사용자들의 거부감이 가장 큰 걸림돌이다. 내부자 보안 솔루션이 도입된다고 하면 ‘직원들을 못 믿는가’라는 생각에 일단 무의식적인 거부를 한다는 것. 또한 내부자 보안 솔루션이 도입되면 어떤 솔루션이든 간에 구현되지 않았을 때보다 불편해지는 것은 사실이다. 따라서 공급업체들의 사용자에 대한 마인드 형성과 교육 및 사용자 불편을 최소화하는 간편한 인터페이스 개발이 무엇보다 시급한 과제다.
외부자 보안에 비해 적용 대상 시스템이 많고 보안 솔루션의 적용에 따른 부작용이 크다는 것도 단점이다. 실제로 외부자에 대한 보안은 내부 시스템에 대해서는 물리적/논리적으로 분리된 경우가 많으나 내부자에 대한 보안은 물리적/논리적으로 연결된 환경에서 보안 솔루션을 적용해야 한다. 결과적으로 연결 접점과 해당 비즈니스 애플리케이션이 다양하므로 쉽게 솔루션을 적용하기 어렵다.
또한 내부 보안은 솔루션 도입에 따른 ROI를 측정하기 힘들고 고객의 보안 투자 변경이 빈번하다. 물론 보안 솔루션이 사고가 나기 전까지는 ROI를 측정할 수 없다고 말할 수도 있지만 방화벽, 백신 프로그램 등은 구축 효과를 즉시 눈으로 확인할 수 있는 반면 내부 보안 솔루션은 상대적으로 공격에 대한 효과를 측정하기 어려워 도입을 고려하는 업체들이 효과에 대해 절감하지 못한다는 것.
이 때문에 내부 담당자 및 사내의 타 사업 추진시 내부 보안 투자의 우선 순위가 뒤로 밀리는 경우가 허다하다. 또한 내부 보안 솔루션은 간단히 솔루션 하나만을 도입하는 문제로 그치는 것이 아니라 기업 전체의 전사적인 정책 차원의 결정이기 때문에 최고 경영자의 결정이 있어야만 구축을 추진할 수 있다. 한 업계의 관계자는 “전산담당자들이 결정권이 없어 경영층에 보고되고 실행되기까지 너무 많은 시간이 소요된다”라며 “전사적으로 도입하기 위한 최고 경영자의 마인드가 우선되지 않는다면 쉽지 않다”고 언급했다.
하지만 업계에서는 내부자 보안 솔루션을 원하는 기업이 증가하고 있다. 도입해야한다는 명분은 있지만 도입 시기의 문제라는 것. 정보화 사회로 변해 가는 우리의 기업 환경은 개방된 네트워크 및 시스템 활용의 확산에 따라 정보화의 역기능인 불법행위 및 시스템의 위험 수준이 증가하고 있고 정보 보안의 대상 역시 네트워크, 시스템, 애플리케이션에서 이제 데이터를 보호해야 기업의 경쟁력을 갖출 수 있는 시대로 변화해 가고 있다.
이제 단순히 방화벽 등의 제품 한 두개만으로 외부의 침입에 대응할 수 없다. 전사적인 차원에서의 기업 내부 자원을 보호할 수 있는 솔루션들을 보유해야만 진정한 경쟁력을 갖출 수 있을 것이다.
관련 전문가들은 “현재 기업들이 경기상황이 좋지 않아 내부 보안 솔루션 도입이 활발하지는 않지만 정보를 중요시하는 반도체, 제조, 개발업체의 연구소, 군, 대기업 등을 중심으로 조금씩 수요가 형성되고 있는 중”이라며 “경기가 호전된다면 내부자 보안 솔루션은 빠르게 확산될 것”이라고 전망하고 있다.
한편 관련 전문가들은 내부자 보안 솔루션 도입도 중요하지만 솔루션 도입에 앞서 내부 보안에 대한 정책을 세우고 이를 시행하려는 기업의 마인드 형성이 우선돼야한다고 지적한다. 보안은 곧 정책이며 그 정책을 수행하는 것이 진정한 보안이지만 내부 보안은 특히 사용자들에 대한 전사적인 권한 부여, 관리, 인증 등을 아우르는 기업 전체의 변화이기 때문이다. 따라서 시행전에 기업의 보안 정책을 먼저 검토하고 수행할 수 있는 범위내에서의 정책을 먼저 수립해야만 진정한 내부 보안 솔루션 구축의 효과를 얻을 수 있을 것이라는 조언이다.
한 업계의 관계자는 “고객들은 아직도 솔루션 도입만으로 문제를 해결하기 바란다”며 “물론 안티바이러스, 방화벽 등 외부 보안위협요소에 대한 대응은 솔루션만으로 해결할 수 있는 경우가 있지만 내부 보안의 경우 적절한 솔루션의 도입과 함께 기업 내부의 보안 수준 및 프로세스의 강화 노력이 뒷받침돼야 성과를 거둘 수 있다”고 언급했다.
