Daily Archives: 2014-01-21

You are browsing the site archives by date.

[칼럼] KB금융, 은행, 카드 개인정보유출에 대해 “사과”, “피해보상”, “2차피해 방지” 도 중요하지만…

기업은 보다 적극적인 방법으로 기업정보(개인정보, 영업비밀 등) 유출에 대한 많은 관심과 투자가 필요하다. 자산규모가 크다고 해서 작다고해서 정보유출에 심혈을 기울이지 않으면 그 기업은 몇일, 몇달, 몇년 동안 언론 비난을 피할 수 없다. 몇년 몇십년동안 쌓아왔던 기업이미지 어떻게 할것인가? 감당 할수 있는 리스크라면 수용해도 된다. 하지만 그렇지 않다면 당장 지금 부터라도 관리해야한다.

시작이 반이며, 늦었다고 생각할때가 가장 빠른시점이고, 정확한 때 라는것은 없다. 바로 지금이다.

TV뉴스, 신문, 매거진 등을 통해서 이미 잘 알고 있겠지만, 이번 유출사고의 원인은 협력업체로 부터 발생했다. 그 발단은 협력업체의 직원인것이다.
대부분의 많은 기업들이 개발 관련 프로젝트(고도화 프로젝트, 차세대 프로젝트, 신규프로젝트, 개선 프로젝트 등)를 외부 협력업체와 진행을 하게되는데, 특히 개인정보를 취급처리하는 협력업체의 경우에는 내부통제를 보다 강화해야한다.

“갑”의 사업장에 들어와서 프로젝트를 수행하는 경우에도 보안을 강화해야하며 내부통제 우회가 있는지 정기적으로 모나터링을 해야한다. 외주업체가 개발관련 프로젝트를 진행할때 데이터베이스(개발DB, 백업DB, 운영DB 등)에 접근해서 프로젝트를 할때 많다. 아니 거의 대부분의 프로젝트들은 데이터베이스와 민감하게 관련되어 있다.

데이터베이스 접근 솔루션이 있다 하더라도 업무상 또는 인지하지 못한 홀(Hole)들이 발생할수 있어 위험에 상시 노출되어 있다.
이번 유출 사건에서 몇몇 회사들은 유출된건이 없다고 하였지만, “과연 그럴까? 확신할 수 있을까? 검증 방법이 신뢰성이 있을까?” 내부 통제정책이 완벽했다고 해서 가지고갈 놈이 못가져 갔을까? 현업에 근무를 해보면 알겠지만 마음먹고 작정하면 다 가져 갈수 있다고 말을 한다.

그러면, 이번 사건의 Fact 만을 보았을때, 무엇이 문제이고 어떻게 해결해야 할것인가?

예방이 그 무엇보다 우선이다. Prevention cost. 즉 예방비용을 늘려야한다. 그리고 detection 해야한다. 제조 업체에서는 리스크를 줄이기위해 prevention cost, appraisal cost 에 많은 시간과 자원을 투자하고 있다.

고객정보를 취급 처리하고 있는 기업의 대표가 이 비용이 아깝다고 생각하면, 집으로 가야할것이다. 아니 집으로 간다. 지금 당장은 아니겠지만…

그렇다면 예방을 위해서 무엇을 해야할까?

첫째, 내부통제 시스템 모니터링을 해야한다.
보안 정책이 회사 규정에 맞게 설정되고 운영되고 있는지 누군가는 모니터링 해야된다. 권한이 부여되지 않았는데 민감한 시스템에 접속을 한다던지, 우회 프로 그램을 사용하여 보안정책을 우회하는지 등등 발생 가능한 리스크를 정리하고 상시 모니터링해야한다

둘째, 잘 알겠지만 모니터링에는 한계가 있다. 컴퓨터가 모든것을 할수 있는 것이 아니다. 그래서 주기적 또는 비주기적 불시 점검을 디지털 포렌식 방법론을 사용하여 점검해야 한다.
이번 사례를 보았을때 협력업체 직원의 컴퓨터를 사고 발생 이전에 주기적 또는 불시 점검을 수행하였더라면… 아니.. 불시 점검, 주기적 점검을 한다는 것을 협력 업체 직원들에게 미리 알렸더라면.. 이런 사태가 발생하지 않았을 것이다.

셋째, 여기서 끝나면 안된다. 프로젝트가 완료되면 유지보수 계약을 하거나 또는 계약 종료가 된다.
즉 개인정보 취급처리 위탁업체에 대해서는 체계적인 관리 시스템을 마련하여 관리해야한다. 위탁업체로 개인정보가 어떻게 흘러가서 수집,이용,처리,보관되고 파기되는지 확인해야하는데, 단순히 업체 담당자 인터뷰, 업체에서 보내준 자료를 통해서 확인하면 절대 안된다. 왜냐하면 실질과 다르기 때문이다.
어떻게 실질과 다른지를 알아내는 방법이 바로 디지털 포렌식이다. 즉, 현재 시점(점검 시점)에는 잘되어 있는데 어제까지는 아니였기 때문이다.
유지보수를 하고 있다면 주기적, 불시 점검을 해야하며, 계약 종료 업체에 대해서도 마찬가지로 점검해야 한다. 불과 몇개월전 계약이 종료된 개인정보 처리 위탁업로 부터 개인정보 파기확인서를 징구 했다.
최근에 협력업체에 방문해서 파기점검을 했더니 이 협력업체는 여전히 “갑”의 고객정보를 보유 및 이용하고 있었다

사례를 들어 결론을 지어보면…

많은 관리방법 및 절차가 있게겠지만, H카드사는 디지털 포렌식 방법론을 적용해서 개인정보를 취급처리하는 협력업체를 몇년째 관리하고 있다.

그 비용이 비록 적은 금액은 아니겠지만…
이번과 같은 사고가 발생하지 않게 예방되고 있다면…
그 가치는 금액으로 환산할 수 없을 것이다.

KB 국민 카드, NH 농협 카드, LOTTE 롯데 카드 3군데 모두 개인정보가 아래와 같이 유출 되었구나…. 이번기회에 사용하지 않는 카드들 정리해야 겠다.

정보유출_20140121