솔루션

사회적 파장 불러온 내부자 정보유출…업계, 대응책 마련에 골몰

이민형


[디지털데일리 이민형기자] 은행, 카드사 등 최근 금융권에서 연이어 일어난 개인정보유출 사고로 기업들이 내부자 보안 대책 마련에 골몰하고 있다.

고객 개인정보에 접근권한을 가진 내부 직원이나 협력사 직원이 대량 정보를 빼내는 이같은 내부자 정보유출 사고를 방지하기 위해 금융권, 의료기관, 기업 등에서 데이터 암호화 솔루션과 내부자 관리 솔루션 도입 검토가 활발히 이뤄지고 있다. 이를 위한 주요 보안 기술로는 데이터 암호화와 접근통제는 물론 데이터 생성부터 파기까지 모든 라이프사이클 관리를 수행할 수 있는 시스템이 지목된다.

16일 한 보안업계 관계자는 “연이어 발생한 대규모 개인정보유출 사고 이후 금융권, 의료기관들이 데이터암호화 솔루션과 내부자 관리 솔루션 도입을 검토하고 있다”며 “고객사들은 데이터에 대한 접근권한 관리, 데이터 이동에 따른 추적 등에 대한 기능을 요구하고 있다. 아울러 내부자 보안을 위한 대책도 수립하고 있다”고 설명했다.

국민은행, 우리은행 등 제1금융권에서는 지난해 말부터 최근까지 데이터암호화 솔루션에 대한 검토를 진행하며 암호화 수준과 범위를 고민하고 있는 것으로 알려졌다. 금융권의 경우 암호화솔루션 구축 시 성능의 문제와 데이터 무결성 보장 문제를 무시할 수 없기 때문이다.

이 관계자는 “금융권은 새로운 솔루션을 도입, 운영하는데 있어 보수적인 측면이 있으나 내부자 정보유출에 대한 사회적 파장이 커짐에 따라 도입은 불가피 할 것”이라고 덧붙였다.

주요 병원, 기업들은 기존에 구축한 데이터암호화 솔루션의 고도화와 함께 내부자 파일유출에 초점을 잡았다.

주목할 점은 고객사들이 과거부터 유통되던 디지털저작관리(DRM), 데이터유출방지(DLP) 솔루션을 더 강화해주길 기대하고 있다는 점이다.

국내 보안업체들은 데이터의 라이프사이클 관리와 계층적 보안체계 수립을 제안하고 있다. 보안사고를 100% 막는 것은 불가능하지만 수십, 수백가지의 시나리오 기반 보안체계를 만든다면 피해를 최소화할 수 있다는 주장이다.

최근 의료기관에서 두각을 보이고 있는 파수닷컴은 데이터의 생성, 저장, 관리, 유통, 협업 등을 하나의 라이프사이클로 관리하는 방안을 내놨다.

안혜연 파수닷컴 부사장은 “기존에는 특정 디바이스, 애플리케이션에만 DRM 솔루션을 적용해 일부 영역에서 구멍이 발생하기도 했다”며 “이를 차단하기 위해서는 모든 애플리케이션과 사용자들에 대한 DRM을 적용해야 하고 이를 위해서는 데이터라이프 사이클에 주목해야 한다”고 설명했다.

DRM기술을 기반으로 한 파수닷컴의 솔루션은 데이터의 생성시점부터 지속적인 암호화 상태 유지가 가능하다. 특히 DRM 모듈에 의한 사용자 인증, 권한관리가 가능해 암호화와 권한관리를 동시에 만족시킬 수 있다.

지난해 출시한 DB암호화 솔루션과 연동해 DB에 접근하는 애플리케이션과 이를 사용하는 내부자에 대한 권한도 관리할 수 있어 시스템 전반적인 보호가 가능하다.

지란지교소프트는 망분리를 통해 내부자 정보유출 대응에 나섰다. 이 회사의 오피스하드는 클라우드 기반 파일서버를 구축하고 기업별 환경에 맞는 권한·보안 설정을 지원하는 업무용 보안 웹 파일서버다.

이 솔루션은 이동식 저장장치 없이 언제 어디서든 안전하게 자료 저장과 외부 전송을 할 수 있고 사내에서는 디지털 자산 저장과 공유, 협업, 자료보안, 정보통합 등이 가능하다. 다양한 브라우저 환경지원과 문서관리 표준화·중앙집중화를 통한 통합관제가 특징이다.

협력업체, 내부자가 파일을 유출하기 위해서는 반드시 관리자 승인이 필요하고 개인정보가 포함된 데이터의 경우 자동으로 암호화되는 점이 특징이다.

미라지웍스는 논리적망분리로 내부자 위협에 대응할 수 있다고 주장한다. 윈도 가상화 솔루션인 아이데스크(vDesk)를 통해 내부망과 인터넷망을 구분하고 내부에서 파일이 유출되는 것을 원천 차단할 수 있다. 특히 외부저장장치의 사용을 통제함으로써 외부 공격에도 대응할 수 있다.

<이민형 기자>kiku@ddaily.co.kr

‘차세대 기업보안 세미나(NES) 2014’에 여러분을 초대합니다.

최근 지능형지속가능위협(APT)을 비롯해 사물인터넷에 대한 보안위협이 확산됨에 따라 이에 대한 대응이 시급한 상황입니다.

또 금융회사 개인정보유출 사고와 같은 내부자에 의한 정보유출에 대한 문제도 다시 불거짐에 따라 내부단속도 소홀히 할 수 없는 상황입니다.

이에 디지털데일리는 ‘차세대 기업보안 세미나(NES) 2014’를 통해 기업의 핵심 과제인 ‘지능형 공격 대응과 내부자 보안 : 최선의 방어, 최소한의 손실, 그리고 재발방지’을 주제로 다양한 보안위협에 대한 최선의 방안과 피해를 최소화할 수 있는 전략을 모색해 보고자 합니다.

또 비슷한 유형의 사이버공격이나 보안사고가 발생할 경우 선제적으로 대응할 수 있는 재발방지 방안도 함께 논의해보는 자리를 마련할 예정입니다.

독자 여러분의 많은 관심과 참여 부탁 드립니다. 감사합니다.

▶자세한 행사 일정 및 프로그램 안내

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널