내부정보유출, 외부침입보다 더 큰 피해 ‘유발’ … 내부정보보호 시스템 구축 ‘대두’
산업기밀 유출은 내부자에 의해 더 빈번하게 일어나고 있다. 중소기업청의 최근 조사에 따르면, 전현직 사원, 협력업체 직원이 산업기밀 유출에 관련된 경우가 경쟁업체 직원 등에 의해 발생하는 경우보다 월등히 높았다. 내부정보보호를 위한 보안 방안이 필요함을 반증하는 결과다. 2회에 걸쳐 내부정보보호 솔루션에 대해 알아본다. <편집자>
연재순서
1회 : 내부 정보보호 시스템 도입 시 고려사항(이번호)
2회 : 실제적인 내부정보보호 구현방안
김정은 // 소프트캠프 팀장
jekim@softcamp.co.kr
최근 신문지상에는 다양한 정보 유출 사건들이 보도되고 있다. 국정원에서는 연구 및 개발 비용만 5천억원이 투입된 조선 기술을 중국에 유출시키려던 전직 조선업체 직원을 검거했으며, A사의 휴대인터넷 기술유출 사례가 검찰에 적발되는 등 정보 유출 사건사고는 끊임없이 이어지고 있다.
만일, 국정원에 의해 검거되지 않고 조선 기술 및 설계도면 유출이 이뤄졌다면, 이를 받은 중국 업체는 앞으로 5년간 최소 35조원 규모의 수주가 예상될 정도. 나아가 중국이라는 나라의 인건비를 감안한다면 국내 조선업계 전체가 경쟁력 저하로 피해를 입을 수 있었을 만한 사건이라고 평가된다.
검찰이 적발한 A사의 휴대인터넷 기술유출 사건은 다소 어이없는 경우다. A사는 기술을 개발해놓고도 누구나 열람할 수 있도록 방치하는 등 허술한 보안 관리로 15조원에 달하는 천문학적인 손실을 입을 뻔했다.
남의 이야기처럼 들리는 이와 같은 사건 사고는 단순히 신기술을 개발하거나 고부가가치 산업에서만 발생하는 것이 아니다. 2007년 초 조사에 따르면, 국내 기업의 20% 정도의 기업에서 중요 기밀이 유출돼 피해를 본 적이 있고 피해기업의 기밀유출 횟수도 평균 3회에 달하는 등 피해가 심각한 것으로 나타났다.
기업의 정보 유출 사건 사례와 고객 정보 유출 사건 사례들은 기업의 이미지에 영향을 끼치는 것은 물론 기업의 생존 여부를 좌우하기도 하는 중요한 정보 자산이다. 특히 오랜 시간 투자를 통해 이뤄낸 연구성과, 기술자료, 도면, 소스코드 등 유출 시 기업의 투자비용 회수나 재투자가 어려운 정보의 유출은 기업의 생존은 물론 국가 전체의 산업 기반에도 영향을 미칠 수 있는 중대한 사안이다.
기업 내부 정보를 보호하는 것은 더 이상 기업만의 역할이 아니라 국가가 국가의 경쟁력을 확보하고 나아가 안전한 경제 활동을 위해 지원해야 하는 의무 사항인 것을 고려할 때 국가는 기업의 기밀 보호를 위해 정책적인 지원과 함께 실질적인 지원 방안을 수립해야 한다.
기업 정보 유출 방지 솔루션, DRM
기업의 내부 정보 유출 방지 솔루션에 대한 이슈가 증가하며 DRM으로 분류되는 문서보안, 콘텐츠보안 등 다양한 솔루션이 등장하고 있다.
정확한 DRM에 대한 정의와 분류를 살펴보면, DRM은 ‘Digital Rights Management’의 약자로 디지털 저작권 관리, 디지털 컨텐츠 저작권 당사자들의 이익과 권리를 보호해 주는 기술과 서비스를 의미한다.
1990년대 후반 미국에서 등장해 국내에도 확산됐지만, 저작권에 대한 국내의 인식이 낮아 넓게 확산되지 못했다. 하지만, 2000년대 초 기업 내부 정보 유출이 이슈로 대두되면서 DRM 기술에 기반한 문서보안 솔루션이 대기업을 중심으로 도입되기 시작했다. 이러한 움직임을 반영해 IDC, 주피터리서치, 가트너 등 시장조사기관에서는 DRM을 C-DRM
(Commercial DRM)과 E-DRM(Enterprise DRM)으로 분류하고 있다.
C-DRM과 E-DRM은 사용권한제어의 개념에서는 유사하다고 볼 수 있으나, 솔루션의 구현 기술과 사용 환경은 매우 상이하다. C-DRM과 E-DRM의 특장점은 아래 <표>에서 살펴볼 수 있다.
내부 정보 보호 방안
국내 E-DRM 시장, 즉 문서보안 시장은 점점 확대돼 가고 있으며 국내 E-DRM 전문기업들의 해외 진출도 성공적인 사례들을 많이 보여주고 있다. 실제로 E-DRM 전문 기업인 소프트캠프는 일본 시장에 제품을 공급해 일본 내 시장 조사를 통해 넓은 시장 형성과 더불어 일본 내 중견기업 및 공공 기관에 다수의 공급 사례를 보유하고 있다.
E-DRM 시장이 점차 확대되는 까닭은 무엇일까? 최근까지 해킹 및 바이러스 등 외부로부터의 침입에 대비하려는 목적에서 대부분 보안 시스템의 도입이 이뤄졌다. 하지만, 기업의 중요 정보에 대한 유출경로가 외부의 침입으로 인한 것보다는 기업 내부자에 의한 사례가 훨씬 높은 비중을 차지할 뿐만 아니라 기밀정보에 대한 접근 용이성으로 그 피해액도 외부에서의 침입보다 내부자를 통한 유출이 훨씬 더 큰 경제적 손실을 주게 된다. 이에 내부로부터의 정보유출에 지적 자산 보호를 위한 근본적인 보안대책 마련이 시급하게 요구되는 것이다.
정보통신기술의 급격한 발전과 함께 기업 내 정보는 출력물 형태에서 전자 정보 형태로 변화하고 있다는 점도 E-DRM 시장을 성장케 하는 요인이 되고 있다. 전자문서관리시스템(EDMS), 지식 관리 시스템(KMS) 등의 정보화 시스템의 발전과 함께 기업 내 모든 전자 정보는 통합적이고 유기적으로 관리되고 있으며, 이러한 업무 환경의 변화로 인해 기업 내 정보 공유가 쉬워짐에 따라 업무의 효율성이 증가한 반면, 정보에 대한 접근 용이성 및 통합 관리의 어려움으로 인한 기업 내 중요 정보 유출이 정보화 역기능의 화두로 떠오르고 있다.
그러나 아직까지도 대기업을 제외한 대부분의 기업은 이러한 내부의 심각한 위협요소를 상대적으로 덜 인식하고 해킹, 바이러스 등 사회적 관심이 높은 외부자 중심의 대책인 방화벽, 침입탐지 시스템, 바이러스 백신 솔루션 등 외부 보안에 치우치는 것이 우리의 안타까운 현실이다.
오늘날 기존 단편적인 보안솔루션 도입이나 관련 정책, 지침들은 그 한계를 드러내고 있는 것은 부인할 수 없다. 체계적인 정보보호 방안을 고민해 안전한 기업 경영환경을 위한 내부 정보보호시스템과 체계적인 보안 정책, 그리고 조직원들에 대한 인적 보안 방안 수립은 오늘날 기업이 당면한 절실한 과제라고 할 수 있다.
성공적이고 안전한 정보 보호를 위해서는 우선 기업의 공동의 보안목표가 설정해 임직원의 이해와 적극적인 참여 하에 보안 프로세스를 수립하고, 사용자들의 교육이 실시돼야 한다. 또 인적 보안을 확립할 수 있도록 공동의 보안 목표는 사용자들이 인식할 수 있어야 하며, 그 구체적인 방향까지 명확히 제시돼야 한다.
보호 정보의 명확화, 수단의 구체화
기업의 안전한 정보보호 환경을 위해 우선 기업은 보호할 대상을 명확화해야 한다. 가장 중요한 정보가 무엇이며, 보호돼야 할 정보는 무엇인지, 그것이 어느 정도의 가치를 가지고 있는지, 그리고 정보는 조직 내에서 어떻게 존재하고 있는지 등을 명확히 정의하고 보호할 방안을 세워야 한다.
보호가 필요하다고 정의된 정보는 정확한 업무 흐름에 대한 파악을 통해 보호할 대상의 접근방식에 대한 전략을 세워야 한다. 정보를 보호하기 위해서는 적절한 대응 방안이 필요함으로 보호 대상 정보가 조직 내에서 어떠한 식으로 생성, 저장, 사용, 전송, 폐기되는지, 즉 라이프사이클이 어떻게 되는지 또 그것이 업무 속에서 어떻게 취급되고 있는지를 알아야만 해당 라이프사이클 또는 취급상에서 정보가 유출될 수 있는가를 파악할 수 있을 것이다.
앞서 살폈듯 인적 보안은 성공적인 보안 관리 수립에 필수적인 항목으로 내부 정보를 실질적으로 사용하는 사람에 대한 관리 방안이나 적절한 통제 방안을 제시해야 한다. 정보를 다루는 것도, 정보를 유출하는 것도 역시 ‘사람’으로부터 발생하는 것으로 모든 정보 보호 방안의 중점은 사람이 우선시돼야 한다.
하지만 안타깝게도 인적 보안은 교육만으로는 이뤄질 수 없는 것이 현실이다. 시스템을 통해 내부 사용자와 악의적인 외부 침입자들을 통한 정보 유출 가능성을 배제하고 강력한 보안 정책을 통해 내부 사용자들을 통제하고 보안 의식을 고취시켜야 할 것이다.
내부 사용자들의 변화관리를 통해 사용자들에 대한 적절한 권한과 접근 통제를 수행하고 사용자들의 행위에 대한 기록과 감사를 통해 정보 유출의 예방, 추적 그리고 나아가 예측이 가능해야 한다.
내부 정보보호를 위한 문서보안 솔루션 도입
기업의 정보 유출 방지를 위한 방안으로 E-DRM 솔루션을 도입을 희망하는 기업에서는 보호돼야 하는 정보에 대한 명확한 구분과 보호 방안을 세우는 것 외에도 몇 가지 고려 사항들이 있다. 이러한 고려사항은 다음과 같다.
1. 보안정책 수립의 중요성
- 기업 환경에 적합하며 다양한 사용자 업무 환경을 고려한 보안 정책 수립이 가능한가
- 문서의 용도에 따른 다양한 보안 정책 수립이 가능한가
- 권한정책 변경 시 문서보안 관리자가 각 사용자에 대한 정책을 일괄적으로 모두 적용해야 하며, 추가나 수정되는 정책에 대해서도 관리자가 모두 담당 가능한가
2. 사용자에 대한 강력하고 유연한 관리 방안 마련
- 다양한 사용자 별(아웃소싱 인력, 상주외주 인력 등)로 관리가 가능한가
- 인사 정보 연동을 통한 사용자 관리가 가능한가
- 이용자 인증 수단을 위해 공인 인증서 연동 및 협업 체계 구축이 가능한가
3. 기존 업무 시스템과의 연동 가능성
- KMS, EDMS 등의 정보계 시스템, 인사정보 시스템 등과 같은 기존 업무 시스템과 연동이 가능한가
- 업무 시스템과의 연동 시 기존 시스템의 수정을 최소화 하여 적용이 가능한가
4. 장애 대응 방안 및 기타 고려 사항
- 시스템 장애 발생 시 연동 시스템의 문서에 대한 사용이 가능한가
- 기업 내부 규정에 따른 문서의 유통 및 생명 주기 관리가 가능한가
- 중앙통제 시스템으로 각 사용자에 대한 보안 현황을 쉽게 관리 및 감시가 가능한가
- 임직원의 관심 및 인식을 제고하기 위한 적절한 교육 및 홍보활동이 가능한가
이 사항들은 대부분의 기업 업무 환경에 존재하는 부분으로 기업 정보 유출 방지 방안에 대한 절차를 수립하고 시스템을 도입하기 위해서는 이에 대한 면밀한 검토가 필요하다. 즉, 기업의 정보보호를 위한 최적의 솔루션을 도출하기 위한 필수적인 검토 사항인 것이다. 이는 또한 다음호에서 소개할 정보보호 솔루션의 기능 및 역할을 뒷받침하는 부문이기도 하다.
