지난해 12월 은행의 고객정보 유출에 이어 최근 1억400만 건의 개인신용정보가 유출되는 사고가 발생했다. 이번 사고는 2011년 발생한 외부 해커에 의한 캐피털사의 고객정보 175만 건이 유출된 것과 달리 외주업체 직원에 의하여 발생했다. 소홀한 내부통제로 금융회사의 신뢰도가 크게 추락했다. 이 때문에 해당 카드회사 경영진 뿐 아니라 금융그룹까지 문책인사 돌풍이 일고 있다. 대다수 보안전문가들은 조직의 소홀한 내부통제 관리에 근본 문제가 있다고 지적하고 있다. 특히 금융IT 업무의 특성상 외주 업체에 대한 의존도가 높음에도 불구하고 그 동안 내부자 보안에는 소극적으로 대응해왔다는 것이다. 내부자 위협에 그대로 노출됐다는 점에서 제2, 제3의 보안사고로 이어질 수 있다. 그만큼 전 금융권의 내부자 보안 개선책이 시급하다.

내부자 소행 보안사고 증가 추세 내부자 위협이란 조직 내 정규직원이나 계약직원, 외주업체 직원 등이 현재 또는 과거에 있었던 조직 내의 시스템, 네트워크, 데이터 등에 대한 접근권한을 의도적으로 오남용하여 조직 내 정보시스템의 기밀성과 무결성, 가용성을 해치는 것을 말한다.

내부자 보안사고로는 IT 사보타주와 금전취득을 노린 절취 또는 변조, 사업이득을 노린 절취 또는 변조 등이 있다. IT 사보타주는 업무나 회사에 대한 불만을 갖은 시스템 관리자와 특수 권한 사용자 등에 의해 발생한다. 임의의 불법 계정을 통해 원격 접근 방식으로 공격하는 것이 특징이다. 금전취득과 사업이득을 노린 절취 또는 변조는 직장 내에서 근무시간에 적법한 시스템 접근권한을 통해 범죄가 이루어진다는 공통점이 있다.

각종 조사에 따르면 이러한 내부자 소행에 의한 보안사고가 점점 증가하는 추세에 있다. 조직의 규모가 클수록 내부자 위협에 더욱 노출되는 경향이 있다. 악의적인 내부자는 조직 내 해당 시스템의 취약한 구조를 잘 알고 있으며, 내부통제의 허점을 이용해 은밀하게 진행한다는 특징이 있다.

시만텍에 따르면 데이터 유출사고의 주요 원인은 사이버 공격(37%)과 사용자 실수(35%), 시스템 오류(29%) 등으로 나타났다. 사이버 공격에 의한 유출보다 사용자 실수나 시스템 오류 등 내부통제 미비로 발생하는 유출이 2배 정도 많았다. 임직원들의 기밀 데이터 취급 부주의, 시스템 관리 부재, 컴플라이언스 위반 등이 주요 원인이다.

내부통제와 외주업체 관리 그렇다면 내부통제는 어떻게 할까.

COSO나 바젤감독위원회, 금융감독원 등은 내부통제에 대한 정의를 약간씩 다르게 내리고 있다. 그렇지만 종합해 보면 조직을 관리하기 위한 핵심 과정으로 목표달성 가능성을 높이고 목표달성에 영향을 주는 위험 관리를 통해 회사의 재산을 보호하고 오류와 부정을 예방·적발하는 기본 절차란 걸 알 수 있다. 유사개념의 준법감시나 내부감사, 회계관리제도 등도 모두 내부통제의 일부분으로 이해할 수 있다.

대표적인 내부통제 프레임워크에는 COSO보고서와 COBIT 등이 있다. COSO보고서는 전사 거버넌스 측면의 내부통제 프레임워크이고, COBIT는 IT 거버넌스 측면의 내부통제 프레임워크이다. ISO 표준이나 ITIL에서도 프레임워크를 제시하고 있다.

외주업체 관리 프레임워크에는 크게 공유평가(Shared Assessments)와 SOC(Service Organization Controls) 보고서 등이 있다. 공유평가는 미국 금융협회가 주도로 회계법인 4개사와 주요 외주업체에 의해 개발됐다. 내부통제 관련 표준들을 기반으로 종합적인 관리 기준을 제공하고 있다. 금융회사의 요청에 의해 외주업체가 평가 질의서에 대한 자체 평가 수행 및 평가결과를 제출하고, 감사자에 의한 평가를 거친 후, 금융회사가 평가에 따른 개선항목을 외주업체에게 전달하는 과정을 거친다. 향후 개선항목과 증적들에 대한 추적관리를 통하여 외주업체의 현황을 파악하게 된다.

SOC 보고서는 AICPA(미국공인회계사협회)에서 제공하며 외주업체가 사용자(고객)를 위해 아웃소싱 서비스에 관한 위험을 해결하고 평가하여 가치 있는 정보를 제공하는 내부통제 보고서이다.

내부통제 시스템 강화 필요 그 동안 개인정보유출에 대한 대응은 외부자 공격에 초점이 맞춰졌고 그에 따른 많은 보안투자를 해왔다. 하지만 내부자 보안사고는 조직 내 보안체계를 누구보다도 잘 아는 내부자에 의해 은밀하게 진행되기 때문에 더 세밀한 내부통제와 감시체계를 구축할 필요가 있다.

내부통제 기준안 미수립, 내부통제의 비문서화, 업무 프로세스에 대한 정의나 분석 부족, 업무 프로세스에 대한 감사 미수행, 전산운영과 관련된 내부통제 범위 미설정 등 내부통제 시스템의 부재가 내부자 위협을 증가시키는 원인이다.

IT보안법규에 대한 기업의 내부 보안통제 실행력 강화를 위해 감사 부서와 준법감시 부서, 보안전담 부서 간 명확한 책임을 규정하고 역할관계를 재조정을 하는 등 IT 내부통제 프로세스와 체계를 재점검해야 한다. 국내 현실에 맞는 외주 업체를 관리하기 위한 내부통제 프레임 워크 연구와 개발도 필요하다.

일반적으로 감사나 준법감시 부서는 주로 재무건전성 등에 관한 내부통제와 감사활동에 치중해 왔다. 이 때문에 IT보안 법규에 대한 보안전담 부서와의 책임이나 역할이 불분명하고, 조직 차원의 체계적 정보보호 관리가 미흡해 효과적인 내부통제를 하는 데 한계가 있었다. 이번 기회에 조직의 내부통제 시스템을 전면적으로 개편해야 한다.

정책적인 조정도 필요하다.

지금 개인정보보호 관련 법규는 개인정보보호법과 신용정보법, 정보통신망법, 기타 법규 등으로 분산되어 있다. 그만큼 개인정보보호 관련 법규가 복잡하고 해석상의 모호함도 크다. 각 법률에서 요구하는 보안 요구사항이 보안담당자와 임직원에게 불편을 초래할 만큼 과중한 업무 부담을 주기도 한다.

이번 사건을 계기로 분산된 정보보호와 개인정보보호 관련 법률을 체계화하고 일원화할 수 있게 법체계부터 재정비해야 한다.

[이성욱 금융보안연구원 보안관리팀장]

[본 기사는 매일경제 Luxmen 제41호(2014년 02월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]