외주인력에 의한 개인정보 유출 사고, 근본 대책부터 마련해야

아주경제 장윤정 기자 =  지난 8일 위·변조 탐지 시스템 개발 프로젝트(FDS) 사업으로 파견된 외주 인력이 NH카드·KB카드·롯데카드의 고객 정보를 불법 수집해 유통시킨 사건이 드러났다.

그 동안 가장 많은 보안에 대한 방침과 철저한 체계가 잡혀 있을 것이라 믿었던 카드사에서 고객정보 1억400만 건에 달하는 역대 최대 규모의 개인정보 유출로 시민들은 충격에 빠졌다.

이 사건은 외주인력이 각 회사 전산망에 접근, USB 메모리에 고객정보를 복사해 유출하는 방법으로 밝혀졌다.

금융당국은 "기존의 금융사고가 내부직원에 의한 유출 혹은 제3자의 해킹에 의한 사고가 일반적이었던데 반해 이번 사건은 외주직원이 고의로 자료를 유출했다는 점이 특징"이라고 밝혔다.

또한, "정보가 유출될 때까지의 정보보호, 내부통제 장치가 제대로 관리·운용되고 있었는지 집중검사를 할 것이며 관리·운용상 취약점이 드러나면 전자금융거래법 위반 등으로 신용카드 업자는 영업정지, 임·직원 해임권고를 받을 수 있다. 특히 최고 관리자가 전산자료 보호 등 안전성 의무를 다했는지 여부도 점검범위에 포함 된다“고 했다.

가장 철저하고 발 빠른 보안을 해 온 금융사에서 쉽게 USB로 자료를 유출하게 된 원인이 무엇일까?

첫째, 내부 인력은 각 보안에 대한 차등 권한으로 관리가 되고 있는 반면에, 외주 인력의 경우 최고등급보안의 권한을 가지고 프로젝트나 유지보수 등 업무를 수행하는 경우가 대부분이다. 다시 말해, 제한 없이 접근이 가능하고 오히려 내부 직원 보다 환경을 더 잘 알고 있는 경우도 많다.

둘째, 수많은 보안 솔루션의 기준은 허락되지 않는 접속을 통제하는 것이 기본이다. 관점을 달리하여 보면, 솔루션 자체의 작동 유무나 가치를 따지기보다 작업에 대한 사전승인과 작업 내용에 대한 근본적인 통제 및 관리를 할 방법이 필요하다. 즉 외주인력에 대한 명확한 사전통제정책설정과 통제가 필요하다.

오주형 좋을 대표는 본 사건과 유사한 사고가 재발하는 것을 막기 위해서는 그동안 관심을 두었던 고객정보 관리나 내부 접근 정책 등에 대한 근본적인 고찰이 필요하다고 밝혔다. 현실적으로 ‘어떻게’ 관리 할 것인지에 대한 구체적인 방법과 정책을 통하여 외주 인력에 대한 대책 마련이 시급하다고 설명했다

남권우 지란지교에스앤씨 대표는  "외주인력작업단말관리 솔루션 J-TOPS 등 솔루션으로 가능하다"고 언급했다.

J-TOPS는 외주인력에 대한 사전정책을 적용 및 실행하며, 외주인력의 작업 단말로부터 근본적으로 정보유출과 같은 행위를 차단하기 때문에 내부망 접속으로 정보를 획득하고 USB로 유출하는 등의 행위는 근본적으로 불가능하다. 또한 모든 작업 로그를 기록하여 사전에 위해 행위에 대한 감지를 신속하게 할뿐만 아니라 사후 관리가 가능하다.