Monthly Archives: January 2013

You are browsing the site archives by month.

영업비밀, 산업기술 등 유출 기법

한 직장에서 오랜기간 근무를 하게되면 여러가지 다양한 상황에 직면하게 된다.  내부감사인의 입장에서 생각해보면 그 다양한 상황들이 결코 즐겁지만은 않을 것이다. 특히, 임직원 부정을 접하게 된다면 더더욱그렇다.

“임직원 부정” 중에서도,  최근에 빈번하게 발생하고 있는 ‘영업비밀’, ‘기술유출’에 대한 사례를 소개하겠다.

사례를 요약면, 한 부서에서 10년을 근무한 김차장이 동종업계로 이직하면서 자신이 작성했던 모든 문서를 외부로 반출 하였다.

우회

A사에서 10년동안 장기간 근무하였던 김차장이 3개월 후에 퇴사를 하기로 결심했다. 퇴사 이유는 여러가지가 있엇지만 그중에서도 연봉 불만족으로 이직을 고려하던 중 좋은 조건(고액연봉, 다양한 복지 등)을 제시한 동종업계로 스카우트 되었다.

최근에 김차장이 근무하고 있는 A사는 내부정보유출을 차단하기 위해서 다양한 정보보안 시스템을 도입하였다.

  • 첫번째로, 회사 중요 문서가 외부에 유출되더라도 열람 불가능하게 할수 있는 문서보안 솔루션(DRM)을 도입하였고,
  • 두번째로,  이메일, 웹하드, 클라우드, 메신져, USB, CD/DVD-RW 등의 매체를 통해서 외부로 유출될 가능성이 있는 다양한 경로를 차단할 수 있게하는 정보 유출방지 솔루션(DLP)을 구축하였다.
  • 세번째로,  출력물 유출을 차단하기 출력물관리 솔루션도 도입하였다.

A사는 위 시스템을 도입하면서 각 시스템을 모니터링할 수 있는 인력도 보강하였고, 수시, 정기 모니터링에 대한 보고를 받고 있었다.

김차장은 고민에 빠졌다. “어떻게 이 많은 자료를 안들키게 밖으로 나가지고가지……”

10년동안 축적한 자료를 내부 모니터링에 들키지 않게 밖으로 가지고 나가야하는데 방법이 없었다. 외부로 유출되는 다양한 경로(이메일, 메신져, CD/DVD-RW, 이동식저장장치 등)들이 차단 되어 있었고, 모든 문서를 출력을 하게 된다면 출력물 관리시스템의 모니터링에 걸리게 될 것 같아서 시도 조차 하지 못하였다.

김차장은 네이버 지식검색, 구글링을 통하여 위 정보보안 시스템을 우회할수 있는 방법을 찾기 시작했고, 마침내, 정보보안 시스템의 취약점을 찾아내어 우회를 하는 방법을 습득한 후 회사의 모니터링에 걸리지 않게 10년동안 축적한 자료를 손쉽게 가지고 나갈수 있었다.

김차장은 평소보다 일찍 출근, 늦게 퇴근하면서 보관하고 있던 중요 문서 파일들을 문서보안(DRM) 우회 기법을 통하여 별도의 폴더에 모든 파일을 저장하였다. 퇴사를 한달여 남겨두고 주말에 회사에 출근을 해서 PC 본체로 부터 하드디스크 분리하여 집으로가져가 모든 문서를 복사하는데 성공하였다.

과연 어떻게 이런일이 가능할까?

  • 결론부터 이야기하자면, A회사에서 최근에 도입한 문서보안(DRM) 솔루션에 취약점이 있었던 것을 김차장이 찾아내었다.  충분히 테스트한 후, 약 두달에 걸쳐 모든 문서를 문서보안(DRM)에 걸리지 않게 변환하였고, 다른 직원이 출근하지 않는 주말을 이용하여, PC 본체에서 하드디스크를 분리하여 집에서 모든 파일을 복사할 수 있었다.

위 사건이 재발되는것을 막기 위한 대응책은 어떤 것들이 있을까?

  • 가능한 빠른시일내에 최근에 도입한 문서보안(DRM) 솔루션의 취약점에 대해서 업데이트를 해야한다.
  • PC본체로 부터 하드디스크를 분리할 수 없게 물리적으로 차단을 해야한다. 차단에 앞서,  내부 정보보안 정책 및 지침에 반영하여야 한다.  (예: 자물쇠, Security Seal 부착 등)
  • 평소에 핵심 인재에 대해서는 모니터링을 강화해야한다.

임직원의 부정을 적발하는 것도 중요하지만, 사고가 발생하지 않게 지속적으로 모니터링을 강화하여 예방을 하는것이 더욱더 중요하다.

위 사례에 대한 예방법은 “수시/정기적으로 문서보안(DRM) 솔루션이 적절하게 운영되고 있는지를 검증하는 작업을 하는 것이다”

포렌식 관점으로 접근했을때 정보유출을 막을 수 있었을까?

반드시 막을 수 있었다 라고 말은 못하겠지만, 어느정도 막을 수 있을거라 생각된다.

퇴사 예정자의 PC로부터 인터넷 검색기록(index.dat)을 분석하였다면 “검색어” 분석을 통하여 정보유출 징후를  예측할 수 있었을 것이다.

또한, 하드디스크가 분리되었다가 다시 장착되었다면 하드디스크에는 다른 PC에 접속했던 기록이 남아 있을 것이다. 이 남아있는 기록을 가지고 추적을 한다면 정보유출을 증명할 수 있을 것이다.

 

 

환자의 개인정보보호 체계 구축 사례

1,000병상 이상의 규모의 병원에서 개인정보보호를 위한 체계 구축

Step 1.

– 개인정보보호 및 보안 규정/지침 개정
– 정보보호 및 보안 소위원회 구성
– 비밀번호 암호화 적용
– 개인정보보호 서약서 징구
– 정보보호 및 보안 뉴스레터 제공

Step 2.

– 국제표준 ISO 27001 인증 획득
– 통합진료정보 접근권한 1차 적용
– 진료정보 접근내역 모니터링 실시
– 개인정보보호의 날 개최
– 개인정보보호 교육 실시(기본 교육)
– 개인정보관리사 양성

Step 3.

– 데이터베이스 접근제어 시스템 도입
– ISO 27001 사후 심사 통과
– 통합진료정보 접근권한 단계별 적용
– 진료정보 접근내역 모니터링 실시
– 내부 감사 및 홈페이지 모의해킹 실시
– 개인정보보호 및 보안 지침서 E-Book 배포
– 도급업체 개인정보보호 서약서 징구
– 도급업체 개인정보보호 교육 실시
– CCTV 설치 및 운영지침 수립

Step 4.

– 그룹웨어, ERP 등 비밀번호 정책 강제 적용
* 영문+숫자 8자리이상
– 데이터베이스 암호화 적용
– 내부정보 유출방지 시스템 구축
* 내부정보 유출 감시 및 통제
* PC의 개인정보 파일 검색 및 암호화
– 개인건강정보 접근 권한 기준 강화
– 화면 및 출력물의 개인정보 보호 처리 강화