제33회 정보보호리더쉽 세미나에 가다!

제 33회 정보보호리더쉽 세미나가 CISSP주최로4월2일 한국과학기술회관에서 열렸다. 각 기업의 보안을 담당하는 전문가를 대상으로 진행되었으며, CISSP자격증이 있는 사람들에게는 해당시간 CPE를 부여하였다. 세미나는cissp협회 강용남회장의 인사로 시작하였다. 많은 인재들이 협회에 프로필을 제공하고 정보보호 인력을 찾는 기업에게 컨설팅해주는 cissp의 역할을 강조하면서 보안이 큰 이슈인 만큼 관련 전문가에 대한 수요가 많다고 하였다. 세미나의 순서는 1부에서 4부로 나뉘어 각 담당자가 진행하였다.  

 

1부 ciso의 법적대응과 전망 / 조희준 이사

CISO란 정보보호관리책임자의 약자로서 chief of information security officer라고도 칭한다. 지금까지 한국에서 정보보호 전문가가 단순히 엔지니어에 불과했다. 하지만 현재 기업의 중요한 책임자로서의 면모를 과시하고 있다. 특히 올해 국내 금융권 전체에 신설된 최고정보책임자(CIO)나 정보보호최고책임자(CISO)의 자리만 최소 70여 개에 달하는 것으로 나타났다는 것을 보면 그 위상이 변했다는 것을 알 수 있다. 이처럼 금융권에 정보보호 수요가 폭발하는 이유는 대규모 개인정보유출 피해가 발생했기 때문이라고 유추해볼 수 있으며 이런 사건에 대한 해결책으로서 내린 금융당국의 방침 때문이기도 하다. 그 방침의 내용은 금융당국은 ‘금융전산 보안 강화 종합대책’과 ‘개인정보 유출 재발방지 종합대책’등을 통해 최고정보책임자(CIO)가 정보보호최고책임자(CISO)의 자리를 겸직하지 못하게 하는 것이다. 이를 통해 좀 더 확고한 정보보안에 대한 의지를 표출한 것이다. 또한 정부는 연 매출 8000억 원 이상 대기업, 금융위는 총자산 2조원 이상 금융회사 의무 지정 등의 제도를 설치하였다. 그 후로 2013년 2월에는 개정된 정보통신망법에 의하여 최고정보보호책임자 지정을 강화하는 ISMS 인증제도를 실시하게 되었다. 대표적으로 ISMS 인증제도의 내용은 최고정보보호책임자 지정 조직 구성강화, 최신기술과 보안사고반영의 항목, 경영진책임강화 등이 있다.

 

정보보호책임자의 역할과 의무가 증대된 것은 언제부터일까?

그것은 2000년대 등장한 제4세대 정보보호 거버넌스 때부터였다고 한다. 제1세대 암호, 제2세대 기술적·관리적 보안, 제3세대 조직화·제도화를 거쳐 현재는 제4세대에 이른 것이다. 제4세대인 정보보호 거버넌스에서 기업보안의 성패를 좌지우지할 정도로 중요한 것을 조희준 이사는 GRC 즉 Govermance, RiskManagement, Compliance를 이야기한다. 카드 정보유출사고와 KT홈페이지 해킹 등을 통해 내부통제, 거버넌스 이슈가 발생하고 있고 빈번하게 발생되는 보안사고는 기술적, 관리적 보호조치가 허술했다라는 측면에서의 비판이 계속되면서 GRC에 대한 전략적인 대응에 대한 중요도가 높아지고 있다.

GRC란 깅버에서 보안정책, 위험관리, 내·외부 규제 준수 이 세가지를 나타내는 것으로서 이 세가지는 보안에 있어 매우 중요한 역할을 한다는 것이다.

보안은 조직구성원이 따라주지 않는다면 얼마든지 재발할 수 있으며 IT위주의 보안에서 내부통제시스템 등 관리적 보안 중심으로 변화하고 있다. 보안사고가 기업에 미치는 영향이 커지면서 조직의 존폐까지 위험해지고 있어 사회의 변화와 보안의식 패러다임의 변화를 보여줄 필요가 있을 것이다.

 

2부 SDP / 한승수 부장

IT환경은 나날이 복잡해지고 경계선이 불분명해지는 등 변화·발전하고 있다. 때문에 보안위협이 정교해지고 보안에 있어 관리해야 할 부분이 점점 늘어나고 있다. 체크포인트의 한승수 부장은 이에 대한 대책으로 자회사의 최신 보안구축 방법론인 ‘SDP(Software Defined Protection)’를 소개하였다. SDP는 변화·발전하는 IT인프라 시대에 맞추어 ‘Modular’, ‘Agile’, ‘Secure’라는 세 가지의 원칙으로 개발되었고, 집행·제어·관리의 3단계 보안계층으로 구성되어 각각 계층이 연계되어 동작하는 아키텍쳐다.

 

 

1. 집행레이어는 사용자와 시스템간의 통신내용을 검사하고 보안을 집행하는 계층이다.

Endpoint 보안, 네트워크 보안 게이트웨이, 사용자의 모바일제품 보안, 클라우드 보안, 가상화에 대한 보안시스템 등의 중요한 보호객체들을 이 계층에서 정의하고 있다. 이들은 경계선이 없는 환경을 동일한 보안을 적용할 수 있는 최소한의 집단으로 구성하여 세그먼트로 정의하고 이를 비슷한 속성끼리 그룹으로 묶어 보안요소를 적용하고 통합적으로 집행해 보안의 효율성을 높인다.

 

2. 제어 레이어는 실시간적으로 새로운 위협정보들을 분석하고 모아서 보안을 정의하고 동적으로 업데이트해 Enforcement Layer에 보내주는 역할을 한다.

엑세스 컨트롤과 데이터 프로텍션을 체계적으로 정의하여 Enforcement Layer에 있는 보호객체들이 동작을 잘 할 수 있도록 한다.

 

3. 관리 레이어는 기업의 비즈니스의 흐름을 보안정책에 반영해 기능을 제공하는 역할을 한다. 모듈화, 자동화, 가시화라는 세 가지의 기능으로 보안기능을 모듈로 관리하거나 각종 API를 사용하여 전반적인 비즈니스의 흐름에 자동적으로 대응하고 가시화 할 수 있다.

체크포인트가 제안하는 보안 구축론인 SDP는 미래의 있을 수 있는 위협에 대비한 오늘의 보안아키텍처로 통제하고 위협 정보에 대해 빠르고 신뢰 가능한 실시간 보안을 제공한다.

 

3부 산업기술유출 수사사례 및 보호방안 / 정점영 팀장

서울지방경찰청 산업기술수사대의 관리팀장인 정점영팀장은 먼저 산업기출 유사대를 소개하고, 산업기술 유출적용 법조의 수사방법, 산업기술 유출 수사 사례, 마지막으로 산업 기술 유출 방지방안에 대해 마무리하는 순으로 세미나가 진행이 되었다.

 

 

먼저 산업기술유출수사대 소개에 앞서 수사대 발대배경인 산업기술유출에 관한 전반적인 소개로 세미나가 시작이 되었다. 산업기술유출이란 기업이 소유하고 있는 물품의 제조방법, 판매방법, 기타 산업상 영업상 유용한 기술이나 경영정보 등 산업체의 업무에 관한 비밀을 부정하게 압수하거나 정탐하는 일체의 행위를 말한다. 산업기술유출은 해외 유출이 전체 23%를 차지하며, 중국, 미국, 독일, 일본, 스페인 등으로 다양화되어 있다. 지식재산권의 종류에는 특허, 실용신안, 디자인, 저작물, 상표 등 여러 가지가 있지만 산업 기술 유출 면에서 주목해야 할 것은 영업비밀이라는 다소 특수한 지식재산권이다. 영업비밀이란 공공연히 알려져 있지 아니하고 독립된 경제가치를 가지는 것으로서 상당한 노력에 의하여 비밀로 유지된 생산방법, 판매방법, 그밖에 영업활동에 유용한 기술성 또는 경영성의 정보이다. 또한 영업비밀은 비공시성, 경제성, 비밀(유지)관리성의 세 요건이 충족되어야만 한다. 이러한 영업비밀의 유출의 징후에는 여러 가지가 있는데, 대표적으로 ‘개발중인 제품과 유사한 제품을 다른 회사에서 생산할 때’, ‘주요고객이 갑자기 구매를 거절하며 거래선을 바꿀 때’, ‘핵심인력이 갑자기 사직할 때’를 꼽을 수 있다.

산업 기술 유출의 수사진행과정은 먼저 피해자의 상태와 상황을 면밀히 조사하고, 유출된 기술이 영업비밀으로 성립될 수 있는지에 대한 객관적인 자료를 확보한다. 그 후 증거자료를 확보하고 피의자를 조사하며 검찰에 송치하는 순으로 이루어진다.

 

정점영 팀장은 두 가지 산업기술유출사례를 소개 하였는데 먼저, 최근에 발생한 스테인리스 와이어 생산기술 및 영업자료 유출사건을 들 수 있다. 국내 모기업의 20년 가까이 종사해왔던 A씨가 중국의 경쟁업체로부터 억대 연봉과 사장, 부사장 채용 제의를 받고 국내 스테인리스 와이어 생산 업체의 제조 기술과 거래 정보 등 영업비밀을 이동식 저장장치에 담아 중국 경쟁업체에 유출한 사건이다. 다행히 신속한 검거로 인해 제품생산 계획에만 그쳐 연간 500억의 손실을 막을 수 있었다고 한다.

두 번째 사례는 미 출시 자동차의 외부디자인 유출사건이다. 이 또한 국내 자동차기업의 현 직원으로부터 발생된 사건이며, 국내 모자동차기업의 직원 B씨는 경쟁기업의 사내품평회에 참석했다가 자신의 스마트폰으로 차량의 외형을 몰래 촬영하여 사진을 인터넷에 올렸다. 그 후 유출된 사진이 불특정다수의 파워블로그 등에 의하여 급속도로 전파된 사건이다. 피해기업은 당시 개발중인 신차디자인이 일반에 공개돼 200억 원의 피해를 입었다.

이처럼 산업기술유출사건의 발생시, 피의자의 범주는 다양하지만 현 직원이 82%나 차지한다고 한다. 그러므로 이러한 산업기술유출을 방지하기 위해서는 임직원을 새로 채용할 때와 퇴직하는 직원을 관리할 때 면밀히 주의를 기울여야 한다. 먼저 직원을 채용할 때는 일차적으로 채용시 위험요소를 확인하여야 하는데, 출력물을 포함한 타사의 비밀정보 보유여부를 확인하고, 포렌식 인터뷰를 실시하거나, 비밀유지동의서를 체결하여야 한다. 퇴직하는 직원에 있어서는, 전직장 퇴직 시 각종 서약서 서명여부를 확인하고, 퇴직자의 관련성 없는 핵심정보를 보유하고 있는지, 정보의 외부 유출흔적은 없는지에 대해 주의 깊게 점검하여야 한다. 또한 현 직원들에 대해서는 보안서약서, 정보검색동의서, 경쟁사 핵심정보 반입금지 각서 등 각종 동의 양식을 작성하도록 시행하여야 한다.

마지막으로, 발표를 맡은 정점영팀장은 효과적인 유출사고 예방과 대응체계 구축을 위해서는 말로만 하는 보안 보다는 현실성 있게 눈으로 보고 하지 않으면 안 될 수 밖에 없는 환경을 구축해야 한다고 말했다. 또한 관리적보안과 기술적보안, 물리적보안이 함께 이루어진 보안인력 전문화와 정보보안시스템관리를 통해서만 첨단산업 기술유출차단이 이루어질 수 있다고 하였다.

 

4부 기업과 담당자가 놓치기 쉬운 보안체크 포인트 / 장기려 CEO

 

장기려 CEO는 마지막 파트를 담당하며 보안에 관해 놓치기 쉬운 점을 설명 하였다.

 

보안에는 인적 보안과 기술적 보안이 있으며 인적 보안이 중요하다고 하였다. 기술적 보안은 외부에서 접근하지만, 인적 보안은 내부에서 일어나기 때문이다. 또한, 내부자료를 외부로 유출하는 것이 가장 큰 손실이자, 일어나기 쉬운 일이다.

인적보안은 지나치게 허용되는 사내 환경에서 일어나며, 믿을 수 있지만 가까이 있는 사람을 주의해야 한다. 산업스파이 같은 경우 치밀한 계획을 통해 침입하기에 이에 대한 대비를 철저히 해야 하며, 직원이 내부의 자료를 노리는 이유는 금전적, 물질적인 이유이다. 이를 막기 위해서는 정보의 하나하나가 회사원들에게 자산이란 것을 명시해야 한다.

 

 

내부 정보 유출 사례

1. 사내 모습을 보면 책상 위에 정리되어 있지 않은 문서를 볼 수 있다. 이러한 것에 무심코 관심을 갖게 되고 파기가 되어야 할 문서를 보게 된다. 또한, 대리작성 하는 일을 하게 되는데 이것이 유출의 길로 번지게 된다. 회사의 일을 외부에서 하게 되는 일과 외부에서 문서를 제작하다 유출되는 일도 있다. 예를 들어 까페에서 사내 망에 이메일을 보낼 때 스푸핑을 당하는 경우이다.

 

2. 문서를 인쇄하다 보면 몇 장 더 인쇄할 경우가 생기는데 파기하지 않고 분리수거 함에 넣는 경우가 있다. 이럴 경우 외부 분리수거하는 곳에서 유출 되는 상황이 생길 수도 있다. 계정과 패스워드를 적어놓은걸 그냥 버리는 경우, 병원에서 환자의 인적 사항을 그냥 버려 외부로 유출 시키는 사례를 초례한다. 따라서 회의, 인적 사항이 들어간 문서는 꼭 회사 내부에서 폐기를 해야한다.

 

정보보안 담당자가 해야 할 일

1. 정보보안 담당자가 직원에 대한 평가가 있어야 하고 사람에 대한 감시가 있어야 한다.

산업 기술에 대한 보안은 해당 데이터를 분산시켜 놓는 것이 좋은 해결책이고 필요할 때 다시 합쳐 복구시키는 방향으로 사용하는 것이 좋은 보안체계이다.

 

2. 장비에 너무 의지하지 마라. 보안 장비를 좋은 것을 이용해도 내부에서 일어나는 해킹에 관해서는 취약하고 외부에서 해킹을 한다 하더라도 100% 막지는 못한다. 계산기 마다 같은 수식이라도 결과값이 다르다. 이처럼 변수에 대응하기 위해서는 장비에만 의지하지 말고 담당자들이 기술에 관한 지식을 길러야 한다. 형식적인 공격이 아니라 APT와 같은 지능적인 공격은 쉽게 막지 못한다. 장비든 솔루션이든 유명하고 강력한 보안 기술이 있으며 보안체계가 있다 하더라도 이것만으로는 막을 수 없다. 최적의 효율을 뽑아낼 수 잇는 장비와 솔루션을 채택할 수 있는 능력을 길러야 한다. 또한, 채택 후 꾸준한 관심과 관리가 필요하다. 기존의 체계와 적합한지 문제가 없는지 체크하는 것도 중요하다.

 

3. 보안 담당자가 최적의 보안을 만들기 위해서는 외부와 내부의 밸런스를 맞춰야 한다. 장비와 솔루션 이외에서 가장 낮은 단에 잇는 어플리케이션을 확인 해야 한다.

KT사건을 예로 들 수 있다. 웹 사이트 제작을 담당자가 아니라 대행업체에서 만들었기에 취약하였다. 보안 솔루션에서는 문제가 없다고 생각하며, 트래픽 이상징후를 정확히 모니터링 하지 않았다고 생각한다. 어플리케이션 취약점을 제대로 테스트 하지 않아서 생긴 것 같다.

 

4. 보안 담당자는 환경에 대해서 탐구를 가지고 호기심을 가지고 찾아 보면서 위협들이 될만한 요소들을 제거해나가야 한다. 유출 사건에 대한 기업을 보면 고객의 정보, 데이터를 암호화 시켜 놓지 않는다. 보안 담당자는 정보가 유출 되면 피해 규모를 예측 할 수 있어야 하고 본인들의 가족과 같다고 생각하고 보호 해야 한다. 위에서의 지령이 아니라도 본인이 관심을 갖고 행동해야 한다.

 

회사의 문제

1. 경영진의 보안 예산 축소와 무관심

보안의 예산이 줄어들면 응용할 수 있는 효율적인 장비도입과 솔루션 도입에 차질이 생긴다.

보안 담당자는 아무것도 없기 때문에 슈퍼컴퓨터가 되어 모든 것을 대처해야 하지만 환경이 없어 불가능 하다.

보안 인력과, 보안에 대한 예산이 없어 보안에 대한 것이 축소 되고 소수의 사람이 많은 것을 책임지게 되어 절대 발전 할 수 없다.

 

2. 비전문가를 보안실무에 배치하는 것

실제로 비전문가가 보안에 배치되어 경영하는 경우가 있다. 웹 개발자가 보안을 담당, DB관리자가 DB보안까지 담당하는 경우가 있다. 이럴 경우 민감한 정보를 보게 되고 외부의 물질적인 유혹으로 인해 정보가 유출 될 수 있다.

 

3. 지나치게 매뉴얼과 가이드라인에 얽매인다.

규정은 지정된 것이기에 지켜야 하지만 이것으로 인해 기업들의 보안 수준이 달라지고 있다.

이미 잘하고 있는 회사는 잘하고 있지만 규정으로 인해 낮춰야 하고 기준 선에 있는 회사는 정체 되어 있어야 하기에 좋지 않은 보안상태를 보여주게 된다. 가이드 라인은 가이드 라인 일 뿐 최고의 보안 상태를 유지하기 위해서는 자체적으로 보안할 능력이 있어야 하고 꾸준히 개발해 나가야 한다. 국가는 이러한 규정을 전문가를 초빙해서 개편해야 하고 기업들간에 자체적인 가이드라인을 만들어 개선해야 한다.

 

4. 임원진의 문제

임원들이 실적을 내기에 급급하다. 이로 인해 보안을 무시하게 된다. 임원들의 생각이 바뀌어야 한다. 회사의 수익만을 위해서가 아니라 보안에 신경을 써야 한다. 공격에 철벽 같은 수비로 고객에게 신뢰를 주어 향후의 더 큰 효과를 생각하고 볼 수 있어야 한다. 장기적으로 보았을 때 보안이 중요하다. 보안은 기본적인 부분이고 의무적인 부분이라는 것을 잊지 말아야 한다.

 

5. 보안 담당자에게 충분한 권한을 주어야 한다.

보안은 기업의 자료와 기술을 보호하기 위한 것이다. 경영, 전략, 보안까지 포함해 모두 맞물려야 일이 진행 된다. 보안이 빠진 경영은 장기적으로 원할하게 진행 될 수 없다. 많은 사람의 자료와 기술을 보호하기에 충분한 환경을 투자해야 하고 존중해 주어야 하며 보안담당자의 인력과 의견을 중요시 해야 한다.

 

 

이날 회사업무를 마친 후 평일임에도 불구하고 많은 정보보안 전문가와 보안에 관심을 갖는 학생 및 일반인들이 참석하여 자리를 끝까지 채웠다. CISSP협회에서 좋은 자리를 마련하여 다양한 주제로 강연자들이 속이 꽉 찬 강연을 할 수 있었고, 참석자들은 경청하여 들을 수 있었다. 2014년 초부터 많은 보안 사고가 일어나고 있지만 아직 그에 대한 대처는 미흡한 점을 볼 수 있기에 이러한 많은 강연에서 사례로 나타나진다. 보안이 잘 되있어도, 잘 되어있지 않아도 이러한 강연을 통해 항상 관심을 갖고 주의 깊게 생각해야 한다는 것을 느끼게 해주고 다시 한 번 보안의 중요성을 알려주는 세미나였다.

서원대학교  정보통신공학과 / 대학생기자 최주연

성균관대학교 신문방송학과 / 대학생기자 김진영

성균관대학교 행정학과 / 대학생기자 주영준

세종대학교 디지털콘텐츠학과 / 대학생기자 손지혜