탈 많은 서버 보안시장, 직접접근 통제 가능한 보안솔루션이 대안

아주경제 라이프팀 기자 = 요즘 사회적으로 가장 화두가 되는 단어는 단연 ‘안전’이다. 곳곳에서 크고 작은 사건, 사고가 발생하면서 2014년 대한민국은 안전불감증으로 고생하고 있다. 이는 한 분야 또는 지역에 국한되지 않고 여러 방면에서 발생하고 있다. 특히 올 초 발생한 카드 3사 개인정보유출 사고는 현 보안시장의 안전 문제에 대해 곱씹어 볼 수 있는 사건이다.

현재 금융권을 비롯한 공공기관은 IT 인프라 구축이 잘되어 있음에도 불구하고 개인정보유출이라는 치명적인 오점을 남겼다.

상황이 이렇다 보니 최근 이를 예방하기 위해 개인정보보호법 또한 강화됐다. 법 개정 전에는 법적 근거가 없어도 고객이 동의만 하면 주민등록번호를 수집할 수 있었으나, 8월 7일부터는 명시적으로 관련 법령에서 구체적으로 허용한 경우 외에는 고객으로부터 동의를 받아서 주민등록번호를 수집할 수 없다.

처벌도 대폭 강화됐다. 앞으로 온라인상 개인정보를 유출한 기업에 대한 처벌이 최대 1억원에서 ‘관련 매출의 3% 이하’ 과징금으로 변경됐으며, 이용자는 개인정보유출로 인한 손해액을 입증하지 않더라도 최대 300만 원의 손해배상 청구할 수 있게 됐다. 하지만 일각에서는 이 또한 사전 예방이 아닌 사후 대책이 아니냐는 얘기가 나오는 상황이다.

그렇다면 이러한 보안 사고가 왜 발생하는 것일까? 이러한 문제가 발생한 가장 큰 이유는 ‘관리 소홀’을 꼽을 수 있다. 몇 번의 개인정보 대량 유출 사건에서도 알 수 있듯이 외주업체의 보안관리 부주의로 인해 사고가 발생하고 있다. 카드 3사 고객정보 유출 사건도 외주업체 직원이 서버 관리를 하면서 내부 자료를 몰래 빼돌린 것으로, 서버 접근에 대한 관리만 제대로 했어도 방지할 수 있었던 사건이었다.

일반적으로 기업체는 시스템 접근제어를 위하여 원격접근제어시스템 등의 내부 보안 인프라 장비를 사용하고 있는데, 이는 편리한 반면 서버실 방문을 통한 직접작업에 대한 통제가 불가능한 것이 문제점으로 지적돼 왔다. 그러나 최근에는 원격접근제어시스템의 한계를 보완한 직접접근제어시스템이 새롭게 등장해 기업체에서 환영 받고 있다.

한 보안솔루션 업체에서 개발한 직접접근제어시스템 ‘에스닥(SDAC)’은 전산실이나 서버실 출입 후 서버 및 네트워크 장비에 케이블을 직접 연결하는 방문작업에 대한 작업통제, 접근통제, 로그수집 및 감사를 목적으로 하는 시스템이다.

이 시스템을 이용하면 외주인력이 전산시스템에 직접 접속하는 경우 최대 4단계에 걸쳐 사용자 인증을 거쳐야 하고 전 작업과정이 감시되기 때문에 작업자에 의한 정보유출사고를 미연에 방지하는 데 도움을 줄 것으로 보인다.

㈜에스엠프로 유재은 대표는 “보안 시장은 기술적인 측면에서는 포화상태에 이르렀을 정도로 시스템을 갖추고 있지만 외주업체의 관리 소홀로 인해 지속적인 정보유출 사태가 일어나고 있다”며 “관리 소홀로 발생하는 정보유출에 대한 법 규제가 강화된 만큼 관련 기관이 더욱 책임 의식을 갖고 안전한 관리를 위해 힘써야 할 것”이라고 전했다.

[탈많은 서버보안시장 보안솔루션 대안은?]