올해는 보안 거버넌스 체계화 원년

새로운 원칙 세워야한다
카드사 대란 이후, 보안 휴유증 극복해야

올해 들어 초유의 카드사 보안 사태가 벌어짐에 따라 금융권 전체가 긴장상태에 돌입했다. 이번 카드사 고객정보 유출사례는 기존의 해커나 시스템적 보안보다는 외부 파트너사에 의해 이뤄진 고객정보 유출 사건이어서 이전과는 다른 패턴을 보여주고 있다. 따라서 업계에서는 당장의 미봉책보다는 중장기적이며 구조적으로 보안패러다임의 새로운 방향 전환과 보안체계 정립이 필요할 것이라고 입을 모으고 있다.

방창완 편집국장 bang@ciociso.com

기존에는 금전적인 이익을 노린 해커에 의한 침입이 주류를 이뤘지만, 이번 사건은 협력사 등 사람에 의해 자행된 고객정보 유출 사례여서, 시스템적 솔루션 구축만으로는 한계가 있다는 지적이 높다. 따라서 회사 내부의 근본적인 보안 거버넌스 체계 구축과 강력한 법시행, 내 외부 관계자들에 대한 보안 및 안보의식에 대한 계도가 필요할 것으로 보인다.
A금융사 관계자는 이번 사태에 대해 “사람이 가장 큰 문제로 지적된 만큼 해결하기까지의 과정이 쉽지는 않을 것”이라며 “지금까지 생각 없이 자행되어 왔던 보안사고가 앞으로는 ‘범죄행위’라는 사실을 인지해야 할 것”이라고 말했다. 하지만 사람에 의해 발생되는 보안사고는 몇 번의 교육과 규제만으로는 이뤄질 수 없는 것이 가장 큰 문제이다. 시스템적인 통제와 솔루션을 구축한다고 해도 마음먹고 이뤄지는 범죄행위에는 당해낼 도리가 없다는 것이다.

사람에 의한 ‘사고’는 해결방법 없어

따라서 앞으로 제2, 제3의 카드사 고객정보 유출사례가 발생할 여지가 충분히 있다는 것. 현재의 보안 패턴은 ‘소 잃고 외양간 고치기’식의 후속 조치만 이뤄지는 것이 전부였지만, 어쨌든 현 시점에서는 기존의 보안체계를 점검하고, 향후에 벌어질 수 있는 사태에 대해서라도 미연에 방지하는 것이 최선의 방법이 될 것으로 보인다. 기본적인 보안체계는 시스템운영 및 정보망, 이용자망을 체계화하고 개인정보보호 부분에 있어서 미흡한 점을 보강하는 것이다.

기본적으로 망에 대해서는 물리적 망분리를 통해 기업 보안성을 구축하는 것이 급선무이다. 하지만 업계에서는 시스템적인 측면보다는 보안거버넌스 체계 확립이 시급하다고 지적하고 있다. A금융사 관계자는 “우리의 경우, 외부손님(유지보수)에게는 일종의 보안절차를 만들었다. 기본적인 점검을 받도록 하고 있으며, 내부절차를 따르도록 규정하고 있다. USB의 경우도 쓰기는 원천적으로 되지 않도록 강제하고 있다”고 말했다.
그는 모든 업무 절차에 대해 매뉴얼을 통해 관리하고 있으며, 고객 정보에 대해서도 기업마다 차이는 있겠지만, 망 자체에 전화번호나 주민번호 자체를 보유하고 있지 않다고 말했다. 데이터를 가져간다고 해도 암호화를 통해 사용할 수 없도록 미연에 방지하고 있으며, 방화벽에 대해서도 이중화 장치를 갖추고 있다고 밝혔다.
하지만 A금융사 관계자는 이런 절차와 시스템적 보안 체계를 갖춘다고 해도 사람이 저지르는 행위에 대해서는 도리가 없다고 지적했다. 프로세스와 절차 및 강제만을 가지고 모든 일이 해결될 수는 없다는 것이다. 그는 “사람에 대한 교육이 중요한 부분이며, 그 사람이 갖추고 있는 인성에 문제가 있다면 그것을 회사차원에서 계도하는 거시적인 차원에서 바라봐야 한다”고 말했다.

지나친 감독이 업계 자율성 해친다?

B금융사 관계자는 “금융감독기관의 보안가이드라인 기준과 감독절차에 대해 이의를 제기하고 싶지는 않지만, 감독규정이 지나치게 세세한 것도 문제”라고 지적했다. 지나친 규정은 감독대상 기업들에게 새로운 부작용을 낳을 수 있다는 것이다. 일률적인 규정 절차를 따르다보면 기본적인 보안체계를 갖출 수 있을지는 모르지만 능동적인 보안체계가 이뤄질 수 없으며, 엇비슷한 보안 체계는 해커들에게 새로운 빌미를 제공할 수 있다는 것이다.
정해진 룰과 패턴이 같다면, 분명히 거기서 허점은 발생할 수 있으며 새로운 공격 루트로 활용할 여지가 있다는 것이다.
대표적인 것이 ‘액티브X’체계라는 지적이다. 보안의 방법은 기업마다 능동적으로 달리 가져가야만 대량 유출과 같은 사태를 미연에 방지할 수 있다는 생각이다.
또한 보안을 바라보는 관점에 있어서 해외 선진국과 많은 시각차를 보이고 있는 것도 문제라는 지적이다. 해외 선진국의 경우는 사람에 대한 신뢰를 기반으로 하고 있으며, 문제가 발생했을 때에는 이를 대처하는 방법에 있어서도 근본적인 부분부터 풀어가는 경향을 보이고 있지만, 국내의 경우 사람에 대한 신뢰없이 기본적으로 부정적인 시각에서 바라보는 처벌위주의 관행이 만연되어 있어 근본적인 보안문제를 풀어가는 것에 대해 많은 어려움이 있다는 것이다.
업계 관계자는 “사실 몇 개의 카드사가 표면위로 부상했을 뿐이다. 블랙해커나 내 외부 이용자들이 마음을 먹는다면 일반 기업들의 보안망은 뚫릴 수 있다는 것이 문제”라고 지적했다.
모든 보안망과 체계를 갖춘다고 보안에 있어서 안정성을 답보할 수 있을까? 대부분의 금융 관계자들은 안정성을 답보할 수 없다고 잘라 말한다. 시스템적 안정망은 큰 피해를 줄이기 위한 보조적 수단일 뿐이며 보다 근본적인 대책은 ‘사람과 문화에 대한 계도와 관리’가 필요할 것으로 보인다. 또한 보안을 바라보는 시각도 예전과는 달라져야한다는 지적이다.

정책과 운영은 보안관리의 뼈대

C금융사 관계자는 “무엇보다 정책과 운영이 중요하다. PC보안을 유지하고, DRM을 설치하며, USB를 통제하고 있지만 근본적인 정책과 운영방법이 선행되지 않으면 무용지물이 될 수 있다”고 말했다.
그는 다양한 보안 솔루션을 도입한다고 해도 99%까지는 가능할지 모르지만, 나머지 1%는 허점이 될 수 있다. 이 1% 때문에 모든 노력이 허사가 될 수 있다고 지적했다. 나머지 1%까지 막는 방법이라면, 극단적인 방법으로 인터넷을 아예 사용하지 못하도록 하는 방법을 취할 수 밖에 없다는 것. 결국 이런 시스템적인 측면으로는 해결이 될 수 없다는 것이다.
D금융사 관계자는 “문서보안에 있어서도 출력시 보안이 적용된 복합기를 통해 출력을 하고 있으며, 팀장 승인이 나야만 업무가 이뤄진다. 고객정보가 있는 문서에 대한 출력이 3번 이상 발생하면 제제조치를 취하고 있다”고 말했다. 그는 또 “하지만 프린터 출력을 하는데 있어서 일일이 통제를 가하다보면 현업에서 들고 일어날 것이다. 다행히 요즘 사회분위기가 보안을 강조하는 상황이어서 그나마 업무통제를 따르는 편”이라고 말했다.
정책과 운영방법의 필요성에 대한 부분은 앞으로 보안전략에 주요 과제로 떠오를 것으로 보인다. 업무의 흐름을 유지하면서 보안과제를 어떻게 풀어나갈 것인가가 앞으로의 큰 숙제라는 것.
D금융사 관계자는 “하루에도 수백, 수천건이 오고가는 메일을 모니터링하는 것도 문제지만, 사생활에 대한 침해소지도 있다. 메일 모니터링에 있어서도 어디까지 허용하고, 어디까지 통제할 것인가에 대한 규제가 필요하다. 특히 카드나 보험사의 경우는 마케팅 활동이 많기 때문에 보안 통제를 일률적으로 적용할 수 없다”고 말했다.

보안 강화는 데이터를 보유하지 않는 것

정책에 있어서 꼭 필요한 데이터만 보관하고, 불필요한 것들은 점차 삭제하는 방법을 적용해 볼 수 있지만 보험사의 경우, 설계사를 통해 이뤄지는 입회신청서를 관리하는데 있어서 규제가 심해진다면 영업자체가 어려울 수 있다. 대부업체들에게 고객의 이름과 핸드폰번호, 연체정보는 영업에 있어서 가치가 있기 때문에 장기 채권에 대한 정보도 보관해야하는 금융사 입장에서는 부담이 따를 수 밖에 없다.
사실 개인정보보호법을 온전히 지키기 위해서는 사업 자체를 하지 말아야하는 극단적인 상황까지 몰릴 수 있다는 지적이다.
현재 금융당국의 권유에 의해 보안투자를 한다고 하지만, 투자 이후 “권한을 누구에게 줄 것인가?”에 대한 정책도 선행돼야할 것으로 보인다. 지금의 상황이라면 사람을 어떻게 믿고 일을 맡길 수 있느냐는 것이다. 보안 솔루션에 대한 투자와 교육, 내부적인 모니터링 체계가 갖춰진다고 해도 권한을 맡긴 사람을 믿을 수 없는 지경까지 이르면 그야말로 보안문제에 있어서는 해결책이 없다는 지적이다.
한 보안부서 담당자는 “보안업무를 충실하게 이행하기 위한다면 모두를 범법자의 시각으로 바라볼 수 밖에 없다. 회사 동료도 믿을 수 없으며, 본인조차도 믿을 수 없기 때문”이라고 토로했다. 이 담당자는 “DRM과 매체제어 솔루션을 구축했지만 그래도 믿음이 안가서 개발자들의 PC에 장착된 USB 자체를 막았다. 시리얼 넘버를 붙여서 관리하고 있다. 하드디스크도 물리보안을 위해 자물쇠로 채웠다. 시리널 넘버를 뗄려면 결재를 맡아야 한다”고 말했다.

사람을 믿을 수 없다는 것이 문제

그는 무엇보다 사람이 사람을 믿을 수 없다는 것은 무서운 부분이라고 말했다. 이것은 서로에 대한 신뢰성을 잃을 수 있는 문제라는 것이다. 또한 이런 규제 일변도의 정책은 대기업도 문제지만 중소기업의 경우, 법을 지킬 수 있는 여력이 없어 사업자체가 힘들어 질 수 있다는 것이다.
결국 기업의 보안성을 답보하기 위해서는 기본적인 보안시스템을 구축하는 것도 중요하지만, 정부차원에서 원점에서 다시 생각해보고, 기업은 회사에서 추구하는 목적이 무엇인지를 분명히 하며, 이런 체계 위에서 정책과 운영방법을 다시 세우는 대책이 필요하다는 지적이다.
E금융사 관계자는 “이번 사태에 대해 사고를 일으킨 당사자들의 제재가 필요하며, 해당 기업들의 대처와 책임이 따라야한다는 것은 당연하다. 하지만 앞으로의 대처 방안도 중요한 부분이다. 현 사회의 상황을 봤을 때 일반 기업들이 사업하기 힘든 구조로 가는 것 같아 안타깝다. 앞으로는 주민번호를 아예 사용하지 않도록 하고, 주민번호를 대체하는 키를 만들고 자연스럽게 영업이 이뤄질 수 있는 환경이 조성돼야 할 것”이라며 “국가 차원에서 보안환경을 재검토하는 고민이 필요한 시점”이라고 말했다.

선제적 보안 거버넌스 체계를 마련해야

F금융사는 보다 체계적인 보안구축을 위해 보안 거버넌스 환경을 조성하고 있다. 보안부서지만, 전 회사 차원에서 보안 프로세스가 자연스럽게 녹아들어가야 한다는 철학을 기반으로 프로세스 정립에 주력하고 있다. 우선 통제에 앞서서 보안관점에서 영업점, 사용자 부서의 필요사항 및 개선사항을 발굴하고 있다.
이 회사의 특이점은 선제적으로 보안환경 조성에 적극적으로 나서고 있다는 점이다. 시스템적인 부분보다는 조직 차원에서 새로운 보안 환경을 마련하는 것이다. 이를 위해 CIO와 CISO 분리를 명확히 하고, CISO에 대한 임기 보장을 하고 있다. 이 금융회사의 보안 철학은 몇 가지로 압축된다.
첫 번째로는 기존 보안 시스템을 강화하는 것과 선제적으로 보안에 대응한다는 것, 사람과 기기, 프로세스에 대한 취약성을 점검하고, 알려지지는 않았지만 발생할 수 있는 위협에 대응하는 것과 궁극적으로는 보안 거버넌스 체계를 구축하는 것이다.
이 회사 관계자는 “선제적인 보안을 위해서는 패턴 분석을 통해 일종의 시나리오를 만들고, 블랙리스트가 수립되면 이상 징후를 발견해 인터넷뱅킹이나 이체거래를 자동으로 막고 있다”고 말했다. 하루에 많게는 100건 이상의 분석이 이뤄진다. 정상적인 고객이 거래가 중지 되면 “은행에 연락 바랍니다”라는 통보를 하고, 확인 후 다시 거래가 이뤄지도록 하고 있다.
또한 24시간 내에 거래가 이뤄지지 않으면 자동으로 거래가 이뤄지도록 하고 있다. 사고가 발생하기 전에 미리 막겠다는 이런 선제적인 보안 시스템의 핵심은 ‘이상징후 모니터링 시스템’이다. 이 시스템은 전자금융 이상거래 탐지 및 사전대응체계 구축을 위해 이뤄지고 있다.

빅데이터로 패턴분석 추진

▲ “외부손님(유지보수)에게는 일종의 보안절차를 만들었다. 기본적인 점검을 받도록 하고 있으며, 내부절차를 따르도록 규정하고 있다. USB의 경우도 쓰기는 원천적으로 되지 않도록 강제하고 있다. 데이터를 가져간다고 해도 암호화를 통해 사용할 수 없도록 미연에 방지하고 있으며, 방화벽에 대해서도 이중화 장치를 갖추고 있다. 이런 절차와 시스템적 보안 체계를 갖춘다고 해도 사람이 저지르는 행위를 막는다는 것은 어려움이 따른다. 보다 계도적인 차원에서 거시적으로 바라봐야 한다” 이건국 보험개발원 정보서비스부문장

보다 정교한 이상징후 감지를 위해서는 패턴 연구가 지속적으로 이뤄여야 하며, 이는 빅데이터 환경에서 거래 데이터를 중심으로 지속적인 연구가 이뤄져야하는 부분이다. 이 관계자는 “사고위험이 있는 거래에 대해서는 차단하고 확인 후 다시 거래가 이뤄지도록 시나리오를 만들고 있다”고 말했다.
업무 수행에 있어서 반복되는 업무는 자체 관리 인력이 많은 IT 시스템 부서에 이관하는 ‘운영의 묘’도 꾀하고 있다. 하지만 선제적으로 이상징후를 탐지해 관리하는 방식은 결과치를 정확하게 파악하기가 어려운 부분이 있다. 망분리의 경우는 망분리전과 후를 비교해 유입되는 악성코드 유입 수가 현저히 줄었다는 것을 결과 값을 통해 알 수 있고, 보이스피싱의 경우도 대응 이후 사고가 줄어든 점을 확연히 알 수 있다. 선제적 대응의 속성상 ROI를 정확하게 산정할 수 없는 점을 보완해 가능하면 수치화할 계획이다.
이 회사는 효율적인 정보체계 관리를 위해 IT에서 CISO를 독립시키고, IT 감사업무 등 보안업무를 일부 이관 받았다. 그만큼 통제 기능을 강화해서 보안 정책을 확실하게 가져가겠다는 각오다. 해커들에 의한 사이버 공격을 미리 앞서 탐지하고 공격 패턴을 분석해 대응하는 것은 자체 부서에서 진행하고 있지만 예외적인 것들, 예를 들어 우회적으로 들어오는 보안이슈는 최신 솔루션과 툴을 활용할 계획이다.

사실 이번에 터진 카드사 고객정보 유출 사건은 개인정보에 대한 오남용이 가장 큰문제로 지적되고 있다. 이 회사는 개인정보 오남용을 막기 위해 볼 수 있는 권한을 적절하게 하고, 확인하는 시스템도 구축할 계획이다. 누가 고객의 개인정보를 봤는지에 대해 확인하고, 적정한 상황에서 본 것인지를 확인하는 시스템을 구축하며, 문서파일의 경우, 몇 건 이상에 대해서는 승인을 받는 절차도 마련하고 있다.
직원들에 대한 교육도 가장 큰 부분이다. 대부분의 금융 기업이 그렇지만 개인정보에 대한 개념이 명확하지 않은 것이 사실이다. 개인정보의 중요성에 대해 설명하고, 함부로 조회할 수 없도록 다양한 프로그램과 훈련 방법을 모색하고 있다. 이를 단순히 하달식의 주입식 교육보다는 스토리보드화해서 드라마 형태로 제작하는 방식을 염두 해 두고 있다.
또한 관리 체계에 있어서도 총괄적으로 점검할 수 있도록 메트릭스 체계를 갖춰갈 계획이다. 모든 보안사항을 나열하고, 이를 확인하는 작업을 진행한다. 모니터링과, 조치, 추가적인 점검, 확인에 이르는 과정을 거치며 제대로 프로세스가 이뤄지지 않을 경우는 적절한 통제를 가하도록 하고 있다.

사람이 사람을 믿을 수 있어야 한다

거시적으로는 위협요소에 대해 기업이 갖추고 있는 보안장치를 매칭시켜 허점이 발견되면 이에 대한 대안을 마련하는 방식이다. 이 회사 관계자는 “고객정보가 넘어가면 확인을 했는지 파악하고 이를 수치화해서 정적 수준이상이 되면 적극 대처하는 방법을 모색하고 있다”고 설명했다.
이번 카드사 고객정보 유출사례는 그동안 안일하게 생각했던 고객정보의 중요성을 다시한번 일깨우는 계기가 되고 있다. 사태 이후 이를 올바르게 해결하는 자세도 중요하지만, 앞으로 보안 정책을 어떻게 세워가는가가 중요한 부분이 될 것으로 보인다. 회사마다 독특한 형태의 보안 거버넌스 체계를 구축하는 것도 방법이겠지만, 무엇보다도 사람이 사람을 믿을 수 있는 신뢰가 구축돼야 한다는 것이 업계의 의견이다.
업계의 한 관계자는 “공공성과 책임, 신뢰는 사회인으로서의 인격이며 발전의 토대가 된다. 사람이 사람을 믿지 못하는 사회가 되어서는 곤란하다. 통제하고, 규칙을 세우는 것도 중요하지만 사회의 자정적인 노력이 필요하다. 이 부분이 선행돼야만 기업의 안정적인 보안환경이 구축될 수 있을 것”이라고 말했다.