창원지검 특수부는 지난 1월 8일 위변조 탐지 시스템 개발 프로젝트(FDS) 사업으로 파견된 외주 인력이 NH카드, KB카드, 롯데카드의 고객 정보 1억 400백만 건을 불법 수집해 유통시킨 협의로 관계자들을 검거했다. 개인정보보호법 등 관련 법률들이 계속 강화되고 있음에도 불구하고 왜 이런 일들이 계속 발생하며 회사는 이를 사전에 막지 못하고 있는 것일까.
 
이 사건은 외주인력이 각 회사 전산망에 접근해, USB 메모리에 고객정보를 복사해 유출하는 방법으로 유출시킨 것으로 검찰 조사결과 밝혀졌다. 이에 금융당국은 "기존의 금융사고가 내부직원에 의한 유출 혹은 제3자의 해킹에 의한 사고가 일반적이었던데 반해 이번 사건은 외주직원이 고의로 자료를 유출했다는 점이 특징"이라고 밝혔다.
 
또한 "정보가 유출될 때까지의 정보보호, 내부통제 장치가 제대로 관리, 운용되고 있었는지 집중검사를 할 것이며 관리 운용상 취약점이 드러나면 전자금융거래법 위반 등으로 신용카드 업자는 영업정지, 임직원 해임권고를 받을 수 있다. 특히 최고 관리자가 전산자료 보호 등 안전성 의무를 다했는지 여부도 점검범위에 포함 된다“고 전했다.
 
그나마 철저하게 보안을 해 왔다고 자부했던 금융사에서 너무나 쉽게 USB로 자료를 유출하게 된 원인이 무엇일까?
 
첫째 내부 인력은 각 보안에 대한 차등 권한으로 관리가 되고 있는 반면에, 외주 인력의 경우 최고등급보안의 권한을 가지고 프로젝트나 유지보수 등 업무를 수행하는 경우가 대부분이다. 다시 말해, 제한 없이 접근이 가능하고 오히려 내부 직원 보다 환경을 더 잘 알고 있는 경우도 많다.
 
둘째 수많은 보안 솔루션의 기준은 허락되지 않는 접속을 통제하는 것이 기본 베이스다. 관점을 달리해 보면, 솔루션 자체의 작동 유무나 가치를 따지기보다 작업에 대한 사전승인과 작업 내용에 대한 근본적인 통제 및 관리를 할 방법이 필요하다. 즉 외주인력에 대한 명확한 사전통제 정책설정과 통제가 필요한 것이다.
 
이에 좋을 오주형 대표는 “이번 사건과 유사한 사고가 재발하는 것을 막기 위해서는 그동안 관심을 두었던 고객정보 관리나 내부 접근 정책 등에 대한 근본적인 고찰이 필요하다”며 “현실적으로 어떻게 관리 할 것인지에 대한 구체적인 방법과 정책을 통해 외주 인력에 대한 대책 마련이 시급하다”고 밝혔다
 
이어 지란지교에스앤씨 남권우 대표는 “이번 건과 관련, 여러 인력관리에 대한 보안프로세스가 우선 적립돼야 할 것이다. 그리고 관련 솔루션으로는 외주인력작업단말관리 솔루션이 도움이 될 것”이라며 “현재 J-TOPS는 외주인력에 대한 사전정책을 적용 및 실행하며 외주인력의 작업 단말로부터 근본적으로 정보유출과 같은 행위를 차단하기 때문에 내부망 접속으로 정보를 획득하고 USB로 유출하는 등의 행위는 미연에 방지할 수 있다. 또한 모든 작업 로그를 기록해 사전에 불법 행위에 대한 감지를 할 수 있다”고 설명했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com