Ⅳ. 기업 정보 유출 유형



2.3 스파이웨어/애드웨어

스파이(spy)와 소프트웨어의 합성어로, 본래는 어떤 사람이나 조직에 관한 정보를 수집하는 데 도움을 주는 기술을 뜻한다. 광고나 마케팅을 목적으로 배포하는 게 대부분이어서 애드웨어(adware)라고도 불린다. 그러나 최근에는 다른 사람의 컴퓨터에 몰래 숨어들어가 있다가 중요한 개인정보를 빼가는 프로그램을 지칭한다. 대개 인터넷이나 PC통신에서 무료로 공개되는 소프트웨어를 다운로드받을 때 함께 설치된다. 비교적 유용한 소프트웨어를 무료로 제공하므로 일반 해킹프로그램과는 성격이 다르다.

미국의 인터넷 광고전문회사인 라디에이트(Radiate)에서 개인 사용자의 취향을 파악하기 위하여 처음 개발되었다. 처음에는 사용자의 컴퓨터에 번호를 매겨 몇 명의 사용자가 광고를 보고 있는지를 알기 위한 단순한 것이었다. 그러나 최근에는 사용자 이름은 물론 IP주소와 즐겨찾는 URL, 개인 아이디, 패스워드까지 알아낼 수 있게 발전되어 악의적으로 사용될 소지가 많다.

문제는 사용자가 동의 절차에 미감하지 않는데 있다. 대부분 사용자들은 [그림1]와 같이 프로그램을 설치할 때 보여지는 동의절차에 별 생각 없이 [예]를 클릭하는데 있다. 물론 영문일 경우 더 관심 있게 보지 않는다.



그림 1. 프로그램 설치 동의 절차 화면

대부분 자신이 받고 있는 스팸(spam) 메일이 스파이웨어와 애드웨어에 의해 자신의 정보가 광고업체에 노출되었다고 할 수 있다.



2.4 검색엔진에 의한 정보 유출

인터넷 검색엔진은 방대한 정보를 쉽게 찾을 수 있도록 하는 나침반임은 분명하다. 하지만, 인터넷 검색엔진의 대부분은 방대한 정보를 사람이 직접 인터넷을 돌아 다니며, 정보를 가공/분류하는 것은 아니다. 이때 사용되는 것이 웹봇(WebBot)이다. 웹봇은 자동으로 인터넷을 돌아다니며 정보를 가공/분류한다.

최근에는 정보의 가공/분류 기술이 발전하여 웹페이지 뿐만 아니라 pdf, doc, xls, hwp등 문서 파일을 가공 분류하기에 이르렀다. 그런 이유로 검색엔진에서는 적절한 검색어만으로 기업의 정보를 유출할 수가 있다.

다음은 간단한 예로 최근 가장 많은 사용자가 사용하고 있다는 구글(www.google.co.kr)에서 주민등록번호중 앞부분에 해당하는 생년월일만 임의적으로 입력해본 것이다. [그림2]에서 보는 바와 같이 쉽게 개인 정보로 추측되는 문서를 발견하였고 이를 통해 획득한 개인의 정보가 실명인지를 확인하고 있다.

인터넷에 문서를 잠시동안만이라도 올릴때에는 해당 문서를 압축하여 암호를 설정해두는 것이 좋을 것이다. 그렇지 않다면 금방 웹봇이 지나가면서 해당 문서를 검색엔진에 정보로써 등록될 것이다.




그림 2. 검색엔진에서 발견한 이름과 주민등록번호



그림 3. [그림2]에서 얻은 정보로 실명 인증



그림 4. 아무런 문제없이 실명이 확인되어 회원 가입




Ⅴ. 대안책



지금까지 기업 정보 유출 유형 및 간단한 사례들을보았다. 그렇다면 기업 정보 유출을 막을 최소한의 방법은 다음과 같다.



1 내부자 방어

내부자의 정보 유출이 외부자 보다 위험한 것이 사실이지만, 내부자는 특별한 해킹 기술을 요하지 않고 정보 유출이 가능함을 앞서 보아왔다. 이런 경우 내부자의 경우 그룹을 두어 정보에 접근하는 권한을 단계별로 둘 필요가 있다.



1.1 Secure OS

정보의 접근을 운영체제에서부터 조절하여 사용자별 권한을 두는 방안을 제시하는 운영체제이다. 운영체제 자체가 지원하면 좋겠지만, 현재의 운영체제보다 보안이 강화된 운영체제 플러그인 같은 프로그램을 설치해야지만 가능해진다. 보안이 강화된 운영체제는 사용자의 권한을 계속적으로 승계하여 작업하므로 부적절한 접근을 미연에 막아주기 때문에 내부자 보안에 효과적이라 하겠다.



1.2 DRM

DRM(Digital Rights Management)은 디지털 저작권 관리를 의미한다. 즉, 기업에서는 문서에 저작권을 부여 하여 읽기가 허용된 사람에게만 문서가 공개되는 구조이다. 즉, 개발실에서 만들어진 프로그램 소스를 영업부에서 참조할 상황은 거의 없을 것이다. 따라서 이 프로그램 소스에 읽기 권한은 개발실로 한정한다는 의미이다. 물론 읽기 권한 뿐만 아니라 쓰기 권한, 프린터 권한등 세세한 권한 부여가 가능하며, 회사에서 인가한 시스템에서만 해당 문서에 대한 권한을 가지게도 할 수 있다. 즉, 문서를 회사에서 인가한 시스템이 외부로 문서를 유출하여 문서 읽기를 시도할 경우 문서가 읽혀지지 않는다.



1.3 메일 보안

메일은 업무에 있어서 상당히 중요한 부분을 차지한다. 따라서 메일을 사용하지 못하게 막을 수는 없겠지만, 첨부 파일에 대해서 적절히 조치를 취함으로써 기업 정보 유출을 막을 수 있겠다. 이런 경우 동료간의 문서 교환은 메일이 힘들 수 있겠으나, 메일 서버의 적절한 셋팅을 통해 내부 메일 계정은 첨부파일을 허용하는 등의 방법을 사용하면 될 것이다.



1.4 메신저 보안

메신저의 경우 가장 외부와 쉽게 연락이 되는 통신수단이다. 따라서 보안 관리자가 민감하게 받아들여진다. 이 경우 공개된 메신저가 아닌 기업내 메신저를 도입 하는 방법을 고려하는 것이 좋을 것이다. 이렇게 되면 기업내 동료간에 대해서만 메신저가 허용되므로 외부로 나갈 수 있는 정보 유출을 막을 수 있다.



1.5 별도의 내부자 교육

아무리 기술적인 측면에서 기업 정보 유출을 막더라도 내부자가 마음만 먹으면 얼마든지 가능한 일이 될 수도 있다. 따라서 기술적인 측면만을 고려하여 기업 정보 유출을 막는 것에 무조건적으로 의지하기 보다는 내부자의 윤리 교육등을 통해 첨부터 기업 정보 유출에 대한 생각을 갖지 않도록 하는 것이 중요하다.





2. 외부자



2.1 윈도우 보안 업데이트

해킹, 바이러스/웜은 제일 먼저 보안 취약점을 이용해 시스템 접근을 시도한다. 따라서 윈도우 보안 업데이트는 외부자에 대한 가장 기초적인 보안 점검 사항 중 하나다. 윈도우 보안 업데이트에 접속하여 항상 보안 패치 프로그램을 확인하는 것이 가장 좋으며, [그림5]과 같은 상태를 만들도록 노력해야 한다.




그림 5. 적용할 보안 패치 프로그램이 없는 상태의 윈도우



2.2 최신 Anti-Virus 프로그램 사용

바이러스/웜을 가장 확실하게 차단할 수 있는 것은Anti-Virus 프로그램뿐이다. 따라서 항상 최신 버전을 유지하는 것이 무엇보다도 중요하다. 최근에는 하루에도 몇십개의 바이러스/웜이 등장하기 때문에 출퇴근에 맞춰 Anti-Virus 프로그램을 업데이트하는 하게끔 스케줄 기능을 활용하는 것도 좋은 방법이다.



2.3 개인 방화벽 사용

임의적으로 해커가 해킹 시도를 차단하기 위해서는 개인 방화벽 사용을 권장한다. 최근에는 Anti-Virus 프로그램의 일부 기능으로 개인 방화벽을 탑재하는 경우도 있기 때문에 개인 방화벽 기능이 탑재된 Anti-Virus 프로그램을 활용하는 것이 효과적이겠다.



지금까지 기업 정보 유출의 유형 및 사례를 통해 적절한 기업 정보 유출의 대안책을 살펴보았다. 물론 여기에서 제시한 대안책은 아주 일부분에 해당하는 것이며 이 밖에도 많은 대안책들이 존재하며, 더 좋은 기술적 접근을 통해 기업 정보 유출을 막을 수 있을 것이다. 하지만, 앞서에서도 밝혔듯이 분명 기술적인 접근이 아무리 좋다고 하더라도 내부자의 의식이 가장 중요하므로 윤리 교육을 통해 기업 정보 유출을 막는 방법이 제일 확실하다.