GS칼텍스의 내부정보는 다음 과정을 통하여...

 

 

 

 

GS칼텍스 보안허점 진단...이렇게 막아라!  

“고객정보가 흘러가는 전과정에 보안시스템 적용돼야”

 

 

GS칼텍스의 고객정보 유출로 또 한번 온나라가 시끄럽다. 올해 초부터 대형 기업들의 고객 정보 유출이 계속되고 있는 상황에 이번과 같은 사건이 또 발생해 국민들은 경악을 금치 못하고 있다. 여전히 보안은 뒷전이다. 국민들은 “기업들이 아직도 정신을 못차리고 있다”며 “법적인 책임을 반드시 물어야 한다”는 의견이 지배적이다.

 

 

GS칼텍스의 내부정보는 다음 과정을 통하여 유출되었다고 전문가들은 보고 있다.

우선 ▲범인들은 DB에 있는 고객정보를 PC에 있는 쿼리툴(DB정보를 읽기 위해 필요한 PC프로그램)을 사용해 다운로드한 것이다.

 

이들은 ▲2만건씩, 총 500~600번에 걸쳐 이 작업을 반복했다.

 다음은 ▲빼낸 고객정보를 엑셀프로그램으로 복사해서 붙이는 작업을 진행했다. 2만건씩, 500~600번에 걸쳐 붙일 수도 있고 한번에 1100만 건의 정보를 붙였을 수도 있다.

▲엑셀내 고객정보를 DVD 6장으로 옮기는 작업을 거쳐 마무리 지었을 것이다.

 

내부자 정보유출 방지 전문기업 소만사(http://www.somansa.com/) 관계자는 “만일 암호화만으로 이 문제를 해결하려 한다면 어떻게 될까? 암호에 대한 패스워드 즉 복호화키를 지닌 내부자가 암호를 풀어버린 후 고객정보를 다운받으면 문제는 간단하게 해결된다. 내부자에 의한 유출의 경우 암호화만으로는 유출 차단이 어렵다”라고 말했다. 

 

GS칼텍스의 내부정보는 다음과 같은 프로세스로 보안을 했어야 한다고 전문가들은 충고하고 있다.

     

우선 개인정보 보관 스캐닝 툴을 활용해 주기적으로 직원 PC내 개인정보를 검색하여 중앙에서 관리하는 것이 중요하다.

 

또 주민번호, 전화번호 등의 정보가 허용량 이상 유출되는 것이 포착될 때는 보안담당자에게 실시간으로 문자나 이메일을 보내어 알려주는 시스템으로 보안하는 것이 중요하다. 

 

여기에 쿼리툴에서 외부 프로그램으로의 정보복사차단시스템을 활용하는 것도 유출된 정보를 복사하는 것을 차단할 수 있어 중요한 시스템이다.  

 

또한 고객정보를 볼 수 있는 직원의 경우, USB와 DVD에 쓰기차단 장치도 마련해야 한다. 

 

소만사 관계자는 이번 정보유출 사건을 통해 기업들이 반드시 알아야 하는 점 4가지를 강조했다.  

 

1. 가장 위험한 정보유출은 해커가 아니라 내부직원에 의해 발생한다.

특히 콜센터관리 협력업체 직원에게 너무 많은 권한을 부여하고 관리를 하지 않으면 위헙하다. 콜센터 직원은 전체 DB를 볼 수 없어야 하며 주기적으로 직원이 얼마나 많은 개인정보를 보유하고 있는지 체크했어야 한다. 

 

2. 내부권한자의 정보유출은 암호화만으로는 막기힘들다.

GS칼텍스는 이 사건에 대한 해결책으로 고객정보DB를 암호화하겠다고 했다. 그러나 암호화만 한다면 이와같은 사건은 언제라도 발생할 수 있다. 콜센터 직원들에게는 암호화하지 않은 고객정보를 제공해야만 하기 때문이다. 암호화는 해커가 침입해서 정보를 빼내갈 때만 효력을 발휘할 수 있다.

 

3. 직원대상 보안교육, 보안서약서 작성만으로도 막을 수 있는 사건이었다.

범인들은 이 사건이 이렇게 사회적으로 큰 파장을 일으킬 줄 몰랐다고 한다. 고객정보유출 사건의 심각성에 대하여 전혀 인식하지 못하고 있었다고 봐야 한다.

 

기업이 주기적으로 내부직원 대상 교육을 실시하고 정보유출이 심각한 범죄임을 알렸더라면 미연에 막을 수 있는 사건이었다.

 

4. GS칼텍스처럼 정보유출 사실조차 모르고 있어서는 안된다. 

고객정보가 유출되었다 할지라도 기업은 가능한 빨리 이를 인지해야 한다. 최대한 빨리 알게 되면 정보가 악용되거나 더 많은 양의 정보가 빠져나가는 것을 막을 수 있기 때문이다. 알람 시스템이 확고하게 준비돼 있다면 GS칼텍스처럼 외부매체에 의해 정보유출사실이 알려져서 기업신뢰도가 추락하는 일은 막을 수 있을 것이다. 

 

김대환 소만사 대표는 “무엇보다 중요한 것은 보안은 한 곳에서만 이루어져서는 효과가 없다”며 “고객정보가 흘러가는 흐름을 따라서 일관되게 통합 보안 시스템이 적용되어야 한다”고 강조했다.

 

 

[길민권 기자(reporter21@boannews.com)]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>