메일 참조 실수, 고의적인 유출, 범죄 집단의 내부자 모집…내부자로 인해 벌어지는 보안사고들
흔히 ‘개인정보가 털렸다’는 표현을 한다. 이는 보통 해커 등 외부 공격으로 인해 개인정보가 유출되는 경우를 의미한다. 그러나 의외로 내부에 의해 벌어지는 보안이슈도 많다. 사람의 실수 또는 고의적으로 개인정보가 유출되는 사건이 바로 그것이다.
경찰청 국가수사본부의 발표에 따르면 산업스파이 91%가 내부자로 드러났다. 기업의 핵심기술을 유출시키는 10명 중 9명이 내부자 소행인 것. 또한, 글로벌 정보보안업체 프루프포인트(Proofpoint)가 발표한 ‘2022 내부자 위협 비용 글로벌 보고서’에 따르면 내부자 사고 총계는 6,803건으로 연간 평균 총비용이 1,540만 달러(약 201억 4,000만원)에 달했다.
사람은 불완전한 존재로 실수를 하기 마련이다. 이는 보안에서도 매한가지다. 이러한 휴먼 에러(Human Error)로 인해 벌어지는 개인정보 유출 가운데 대표적인 게 바로 ‘이메일 참조(동보메일) 실수’다. 메일을 보낼 때는 받는 사람이 누구인지, 어떻게 보내는지 잘 살펴야 한다. 메일을 받는 사람은 받는 이(to), 내용을 공유 받는 사람은 참조(cc)에 입력한다. 또, 다수에게 매일을 보낼 때는 숨은 참조(bcc)를 사용한다. 메일을 받는 다른 수신자를 숨기고 개별로 메일을 보내는 것처럼 하기 위해서다.
여기서의 실수는 숨은 참조를 해야 하는 상황에 일반 참조를 했을 때 발생한다. 일반 참조의 경우 메일을 받은 사람의 이메일 주소가 전부 공개되기 때문이다. 이러한 이메일 참조 실수는 분명한 개인정보 유출이다. 지난 3월 14일 IBM 시큐리티가 발표한 ‘엑스포스 위협 인텔리전스 인덱스 보고서’에 따르면 이메일을 통한 사이버 위협이 전년대비 2배가량 증가한 것으로 드러났다. 유출된 이메일을 다른 정보와 조합해 사이버 공격에 악용하고 있다는 얘기다.
지난 1월 서울신라호텔이 단체 메일 발송 과정에서 고객 이메일 주소 168건을 유출했고, 같은 달 명함관리 앱 리멤버가 프리미엄 서비스 ‘리멤버 블랙’을 출시하는 과정에서 350건의 이메일 주소를 유출시킨 게 대표적인 사례라고 볼 수 있다.
또 다른 실수는 바로 오타로 인해 메일 주소를 잘못 입력하는 경우다. 택배를 보낼 때 주소를 잘못 입력하는 것과 같다. 회사 기밀이나 민감한 정보가 담긴 내용을 누군지도 모르는 사람에게 잘못 전송하는 셈이다.
이처럼 이메일을 통한 개인정보 유출 실수는 빈번하게 벌어지는 만큼 주의를 기울여야 한다. 이를 예방하기 위해서는 메일 보낼 때 꼼꼼히 확인하고, 민감한 정보가 담긴 파일을 보낼 때 파일을 암축해 암호를 설정하는 방법이 제시된다. 또한, 클라우드 저장소를 이용하는 방법도 있다.
개인정보는 늘 예의 주시해야 하는 민감한 정보다. 컴퓨터 속 데이터로 존재한다고 해서 안일하게 다뤘다가는 큰 사고가 터지고 만다. 3월 22일 개인정보보호위원회의 발표에 따르면 맥도날드는 개인정보가 포함된 파일의 접근통제를 소홀히 했다. 그 결과 맥도날드를 이용하는 고객 487만 6,106명의 개인정보가 유출됐다. 국내 인구의 100명 중 9명 이상의 개인정보가 위협에 노출된 것이다. 이렇게 유출된 개인정보는 보이스피싱, 스미싱이나 금융범죄 등에 악용돼 더 큰 피해를 일으킬 수 있기 때문에 더욱 주의해야 한다.
개인정보 유출에 있어 내부자에 의한 더 큰 위협은 바로 고의적인 유출이다. 실수든 고의든 개인정보보호법을 위반하는 일이지만, 고의적으로 개인정보를 침해하는 경우 더욱 엄정하게 처벌된다.
최근 코레일의 한 직원이 아이돌 그룹 방탄소년단(BTS)의 리더 RM(김남준)의 개인정보를 2019년부터 3년간 18회에 걸쳐 무단 열람한 사실이 드러났다. IT 개발 업무를 담당하고 있는 직원이 RM의 얼굴을 보기 위해 개인정보를 조회한 것. 2022년 9월 ‘신당역 살인사건’의 범인 전주환 역시 피해자의 정보를 알아내기 위해 구산역 역무실에서 서울교통공사 내부망에 접속했다. 그로 인해 피해자의 주소 및 근무지를 파악했고, 끝내 피해자를 살해했다.
이렇듯 공무원으로 근무하는 내부자로 인해 개인정보 유출이 발생하고 피해가 이어지자 인사혁신처·개인정보보호위원회·행정안전부는 새로운 국가·지방공무원 비위 징계 처리 지침을 지난해 12월 발표했다. 개인정보를 고의로 유출해 국민의 중대한 권리를 침해한 공무원은 곧바로 파면·해임한다는 내용의 지침이다.
또한, 사이버 범죄자가 내부자 매수에 나서 회사가 보유한 개인정보나 데이터를 유출하기도 한다. 사이버 공격을 위해 도움을 요청하고 공격 성공으로 인한 수익금 일부를 약속하는 것이다. 세계 최대 랜섬웨어 갱단으로 유명한 록빗(LockBit) 또한 공격에 앞서 내부자 모집에 나서기도 하는 것으로 알려졌다. 다른 예로 2021년 보안업체 앱노멀 시큐리티(Abnormal Security)의 크레인 하솔드(Crane Hassold) 위협분석국장은 내부 협력자로 위장해 공격자와 대화를 주고받은 일이 있었다. 공격자는 그에게 ‘회사 내 윈도 서버나 PC에 랜섬웨어를 설치해 주면 비트코인으로 100만 달러나 랜섬웨어 수익의 40%를 주겠다’는 제안을 한 것으로 드러났다.
이처럼 사람의 실수에서부터 고의적인 목적에 이르기까지 사람으로 인한 개인정보 유출 등 보안사고가 발생한다. 기술은 점차 고도화되고 있지만, 한 사람 한 사람을 통제하고 내부의 적을 탐지하기란 쉽지 않다. 꾸준한 보안교육을 통해 사람의 실수를 줄이는 동시에 제로트러스트와 같은 새로운 보안체계를 통해 내부 또한 철저하게 모니터링하는 것이 숙제로 남았다.
기사 출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=115440)
—
기업 내부자들에 의한 고의적인 정보 유출은 기업에 막대한 손해를 유발하고 부당한 이익을 취득하는 수단으로 사용되고 있습니다.
최근 5년간 신분(별) 기밀유출 비율이 현직 및 전직 직원 합계가 약 80%로 내부에서의 유출피해가 독보적입니다. 또한 IT 환경의 빠른 변화에 대응할 수 있는 정보보안시템의 요구사항이 증대됨에 따라 효과적인 정보유출방지를 위한 내부보안 강화와 컴플라이언스 준수를 확립하여 대응체계를 수립해야 합니다.
그라디우스 dlp는 고의적인 정보 탈취를 방지하는 솔루션으로 사용자 단말 PC에서 정보유출 사고를 체계적으로 통제하여 업무 효율성·연속성을 보장하면서 실시간 보안 정책과 유출 모니터링을 지원하여 기업의 중요 정보 유출을 보호하는 엔드포인트 토털 보안 솔루션입니다.
피플러스는 정보보안 솔루션을 컨설팅하여 기업의 규모에 맞는 시스템을 안내해드립니다.