.gif)
무심코 버린 각종 자료, 기밀유출사고로 이어져
문서부터 HDD까지 회사 내부 자료 완벽하게 파쇄해야
출력부터 파기까지 전 과정 내부 문서 보안 시스템 마련 요구
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 이소미 기자] 드라마나 영화 속에서 스파이가 기밀을 노리고 휴지통 등을 뒤져 이미 파쇄돼 조각나 있는 서류나 사진을 다시 공들여 이어 붙이는 장면을 종종 볼 수 있다. 기업은 회사가 보유한 자산인 기술이나 내부 정보에 대해 매우 민감할 수밖에 없다. 그 ‘자료’가 곧 기업의 ‘뿌리’가 되기 때문이다.
[사진=gettyimagesbank]
2020년 ‘전자문서법’이 개정되면서 기존 종이 문서가 가졌던 법적 효력을 전자문서도 동일하게 갖추게 됐다. 이에 각종 법령에서 요구하는 서면·문서를 전자문서로 대체할 수 있다. 다만, 다른 법령에 특별한 규정이 있거나 전자적 형태가 허용되지 않는 경우는 제외되므로 여전히 ‘종이문서’에 대한 중요성은 유효하다고 볼 수 있다. 출력물은 업무 편의상 늘 사용할 수 있는 자원으로 내부 직원 대상 보안 의식 교육 및 문서 특성에 따른 통제 시스템 마련 등 보다 구체적인 운영이 요구된다. 사실상 개인정보·기밀정보 등이 담긴 문서 유출 사고를 100% 막는 것은 사실상 불가능에 가깝기 때문이다.
△이 주의 보안 용어
덤스터 다이빙(Dumpster Diving) 또는 가비지 피킹(Garbage Picking)
덤스터 다이빙이란 대형 철제 쓰레기통이란 뜻의 덤스터(Dumpster)와 다이빙(Diving)을 합친 단어로 말 그대로 쓰레기통에 뛰어드는 행위를 의미한다. 사실 이 용어는 가난한 사람이나 노숙자가 대형 슈퍼마켓 쓰레기통을 뒤져 유통기한으로 인해 폐기된 식료품을 줍거나 버려진 옷을 주워 입는 등 금전적 이익을 취득하는 데서 비롯됐다. 이는 국내에서는 불법 취득 행위로 간주되지만 미국·유럽에서는 과잉생산·과잉소비에 반하는 사회적인 운동으로도 통한다.
하지만 보안적인 측면에서 덤스터 다이빙은 엄연히 ‘범죄’에 해당된다. 쓰레기통 등을 뒤져서 버려진 문서를 확인해 가치 있는 정보를 획득해 이를 해킹이나 또 다른 범죄에 악용하는 수법을 의미한다. 특히, 전자문서 활성화가 이루어지기 전에는 기업의 기술정보 유출 수단 대부분이 ‘문서 복사 및 절취’를 차지할 만큼 높았다. 하지만 전자문서 대중화가 이루어진 근래에는 서면·문서 유출 위험이 감소했다지만 기업정보 유출은 0.1%도 용납되어서는 안 되는 일이다.
최근에는 사내 문서 자료 유출뿐만 아니라 택배 운송장이나 우편물 등을 통한 개인정보유출 문제도 심각하다. 택배 운송장의 경우 받는 사람의 이름·전화번호·주소가 그대로 노출돼 별도 파기 절차 없이 버리게 되면 소중한 개인정보가 그대로 공격자에게 넘어가 악용될 수 있기 때문이다.
△이런 일이 있었다
문서 및 출력물 정보 유출 사고의 주원인으로 크게 경제적 이득을 위한 사내 ‘내부의 적’ 또는 ‘관리 소홀’로 나뉜다. 특히, 종이 문서 및 출력물 정보 유출이 위험한 이유는 오프라인 특성상 피해를 입고도 즉각적으로 인지하지 못해 실제 피해량은 치명적일 수 있다는 점이다. 즉, 이미 피해가 확산되고 나서야 인지해 겉잡을 수없는 상황이 발생할 수도 있다.
[CASE1] 올해 발생한 사건으로 삼성바이오로직스에서 사내 직원이 ‘내부의 적’이 된 케이스다. A직원은 A4용지 300장에 달하는 출력문서를 무단 반출하려다 보안 요원에 의해 현행범으로 체포된 사건이 있다. 이미 지난해에도 몇몇 직원은 퇴사 직전 문서들을 인쇄해 외부 반출한 이력이 드러나며 내부 직원이라는 권한을 악용해 기밀문서를 취한 정황이 밝혀졌다. 이들은 경쟁업체로 이직하며 기업 내부 영업비밀을 빼가려 한 것으로 드러났다.
[CASE2] 택배 운송장이나 우편물에 기재된 개인신상정보를 탈취해 각종 사기 및 범죄에 악용하는 사례다. 가상의 안심번호 등을 사용하는 택배사도 있지만 ‘배송’ 특성상 이름·전화번호·주소 등이 그대로 노출되는 경우가 흔하다. 실제 2021년 국민들을 충격에 빠뜨렸던 서울 노원구에서 발생한 ‘세 모녀 살인사건’도 가해자가 피해자의 택배 상자에 그대로 노출된 주소를 보고 찾아가 끔찍한 살인을 저지른 사건이었다.
[CASE3] 역으로 특정 사건을 밝히기 위해 덤스터 다이빙이 활용된 케이스다. 2017년에 발생한 이른바 ‘최순실 국정개입 사건’과 관련해 수사가 한창이던 시기에, 집중적으로 사들인 문서 세단기 26대에 의문을 품은 언론사 기자들이 나선 사례다. 사건과 관련된 병원에서 이미 파쇄해 버린 종잇조각들을 통해 고객 명단과 사용한 약품 등의 내용들을 찾아내 해당 사건의 단서를 마련해 보도하기도 했다.
△피해는 이렇게 막을 수 있다
무엇보다 보안은 ‘스스로 지켜야 하는 것’으로 철저한 내부관리로도 충분히 예방 가능하다. 기업의 경우, 언제든 출력물 유출 사고가 발생할 수 있으므로 종이 출력물 생성부터 파기 과정까지의 모든 과정에 대한 ‘통합 보안 시스템’을 갖추는 게 유리하다. 즉, 출력 후 식별 정보 표기, 파기 이력 관리 등의 여러 절차를 모니터링하고 유출 사고 시 신속하게 추적·대응할 수 있어야 큰 피해를 사전에 막을 수 있다.
출력 문서 유출을 방지할 수 있는 첫걸음은 ‘출력 용지’부터 시작된다. 보안용지 사용은 어느 기업에서나 문서보안을 시작할 수 있는 방법이다. 보안용지는 △워터마크(Watermark)지 △지폐 은선지(Thread Paper) △복사 방지 용지(Paper copy protection) △전자감응 보안용지 등이 있다. 이 가운데 가장 많이 사용되는 ‘복사방지용지’는 복사·스캔 시 ‘Copy’라는 글자를 표기해 사본으로부터 원본 보호 역할을 하는 동시에 정품 유무를 확인할 수 있다. ‘전자감응 보안용지’는 용지 내 센서 물질을 삽입한 인쇄용지로 외부 유출 시 경보음을 작동시켜 유출을 막기도 한다. 이와 비슷하게 출력이 허가된 사용자만 출력이 가능하거나 돌발 상황 발생 시 보안 담당자에게 즉시 알리는 보안출력기도 있다. 또한, 최근에는 보안용지와 보안출력기 그리고 외부 유출을 막는 전자 감응 탐지 센서까지 짝을 이룬 통합 문서보안 솔루션도 있다.
이처럼 특수한 기술을 보유하고 있는 기업은 문서유출 사고 예방을 위해 최고경영진의 관심과 충분한 예산 지원이 필요하다. 다만, 보안 소프트웨어 솔루션만으로는 공격자의 의도적인 불법 접근을 완벽하게 막아내는 것은 쉽지 않다. 따라서 사내 출력물 보안정책이나 통제 및 모니터링 기능을 갖추는 것도 중요하다.
종이문서 파기의 경우, 기업에 국한되는 것이 아닌 개인에게도 해당되는 것으로 작은 종잇조각에서도 특정 단어나 정보 등을 공격자가 찾아낼 수 있기 때문에 파쇄 전문 업체에 맡기는 등 확실한 처리가 요구된다. 또한, 문서뿐만 아니라 HDD, SSD, 스마트폰, CD·DVD, 테이프, 메모리 등도 전문 업체를 통해 현장 파쇄 서비스를 이용할 수 있다. 개인이 직접 문서 세단기를 구매하는 경우 최대한 얇게 파쇄되는 제품을 이용하는 것이 안전하다.
또한, 개인정보가 담긴 택배 송장이나 우편물의 경우도 ‘가정용 세단기’를 이용하거나 특수 용액이 담긴 ‘택배 송장 지우개’ 등을 이용하면 쉽게 지울 수 있다.
이처럼 ‘정보 유출 사고’와 관련해 전자문서에 비해 종이문서는 오히려 피해 심각성이 더할 수 있다. 종이문서를 통해 외부로 유출된 정보에 대해서는 사실상 전달 경로 등을 추적하기 어렵다. ‘보안’에 있어서 ‘무심코’가 ‘아이코’가 될 수 있다는 경각심을 갖고 빈틈이 없도록 채우는 방법을 늘 모색해야 할 것이다.
[이소미 기자(boan4@boannews.com)]
문서부터 HDD까지 회사 내부 자료 완벽하게 파쇄해야
출력부터 파기까지 전 과정 내부 문서 보안 시스템 마련 요구
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 이소미 기자] 드라마나 영화 속에서 스파이가 기밀을 노리고 휴지통 등을 뒤져 이미 파쇄돼 조각나 있는 서류나 사진을 다시 공들여 이어 붙이는 장면을 종종 볼 수 있다. 기업은 회사가 보유한 자산인 기술이나 내부 정보에 대해 매우 민감할 수밖에 없다. 그 ‘자료’가 곧 기업의 ‘뿌리’가 되기 때문이다.
[사진=gettyimagesbank]
2020년 ‘전자문서법’이 개정되면서 기존 종이 문서가 가졌던 법적 효력을 전자문서도 동일하게 갖추게 됐다. 이에 각종 법령에서 요구하는 서면·문서를 전자문서로 대체할 수 있다. 다만, 다른 법령에 특별한 규정이 있거나 전자적 형태가 허용되지 않는 경우는 제외되므로 여전히 ‘종이문서’에 대한 중요성은 유효하다고 볼 수 있다. 출력물은 업무 편의상 늘 사용할 수 있는 자원으로 내부 직원 대상 보안 의식 교육 및 문서 특성에 따른 통제 시스템 마련 등 보다 구체적인 운영이 요구된다. 사실상 개인정보·기밀정보 등이 담긴 문서 유출 사고를 100% 막는 것은 사실상 불가능에 가깝기 때문이다.
△이 주의 보안 용어
덤스터 다이빙(Dumpster Diving) 또는 가비지 피킹(Garbage Picking)
덤스터 다이빙이란 대형 철제 쓰레기통이란 뜻의 덤스터(Dumpster)와 다이빙(Diving)을 합친 단어로 말 그대로 쓰레기통에 뛰어드는 행위를 의미한다. 사실 이 용어는 가난한 사람이나 노숙자가 대형 슈퍼마켓 쓰레기통을 뒤져 유통기한으로 인해 폐기된 식료품을 줍거나 버려진 옷을 주워 입는 등 금전적 이익을 취득하는 데서 비롯됐다. 이는 국내에서는 불법 취득 행위로 간주되지만 미국·유럽에서는 과잉생산·과잉소비에 반하는 사회적인 운동으로도 통한다.
하지만 보안적인 측면에서 덤스터 다이빙은 엄연히 ‘범죄’에 해당된다. 쓰레기통 등을 뒤져서 버려진 문서를 확인해 가치 있는 정보를 획득해 이를 해킹이나 또 다른 범죄에 악용하는 수법을 의미한다. 특히, 전자문서 활성화가 이루어지기 전에는 기업의 기술정보 유출 수단 대부분이 ‘문서 복사 및 절취’를 차지할 만큼 높았다. 하지만 전자문서 대중화가 이루어진 근래에는 서면·문서 유출 위험이 감소했다지만 기업정보 유출은 0.1%도 용납되어서는 안 되는 일이다.
최근에는 사내 문서 자료 유출뿐만 아니라 택배 운송장이나 우편물 등을 통한 개인정보유출 문제도 심각하다. 택배 운송장의 경우 받는 사람의 이름·전화번호·주소가 그대로 노출돼 별도 파기 절차 없이 버리게 되면 소중한 개인정보가 그대로 공격자에게 넘어가 악용될 수 있기 때문이다.
△이런 일이 있었다
문서 및 출력물 정보 유출 사고의 주원인으로 크게 경제적 이득을 위한 사내 ‘내부의 적’ 또는 ‘관리 소홀’로 나뉜다. 특히, 종이 문서 및 출력물 정보 유출이 위험한 이유는 오프라인 특성상 피해를 입고도 즉각적으로 인지하지 못해 실제 피해량은 치명적일 수 있다는 점이다. 즉, 이미 피해가 확산되고 나서야 인지해 겉잡을 수없는 상황이 발생할 수도 있다.
[CASE1] 올해 발생한 사건으로 삼성바이오로직스에서 사내 직원이 ‘내부의 적’이 된 케이스다. A직원은 A4용지 300장에 달하는 출력문서를 무단 반출하려다 보안 요원에 의해 현행범으로 체포된 사건이 있다. 이미 지난해에도 몇몇 직원은 퇴사 직전 문서들을 인쇄해 외부 반출한 이력이 드러나며 내부 직원이라는 권한을 악용해 기밀문서를 취한 정황이 밝혀졌다. 이들은 경쟁업체로 이직하며 기업 내부 영업비밀을 빼가려 한 것으로 드러났다.
[CASE2] 택배 운송장이나 우편물에 기재된 개인신상정보를 탈취해 각종 사기 및 범죄에 악용하는 사례다. 가상의 안심번호 등을 사용하는 택배사도 있지만 ‘배송’ 특성상 이름·전화번호·주소 등이 그대로 노출되는 경우가 흔하다. 실제 2021년 국민들을 충격에 빠뜨렸던 서울 노원구에서 발생한 ‘세 모녀 살인사건’도 가해자가 피해자의 택배 상자에 그대로 노출된 주소를 보고 찾아가 끔찍한 살인을 저지른 사건이었다.
[CASE3] 역으로 특정 사건을 밝히기 위해 덤스터 다이빙이 활용된 케이스다. 2017년에 발생한 이른바 ‘최순실 국정개입 사건’과 관련해 수사가 한창이던 시기에, 집중적으로 사들인 문서 세단기 26대에 의문을 품은 언론사 기자들이 나선 사례다. 사건과 관련된 병원에서 이미 파쇄해 버린 종잇조각들을 통해 고객 명단과 사용한 약품 등의 내용들을 찾아내 해당 사건의 단서를 마련해 보도하기도 했다.
△피해는 이렇게 막을 수 있다
무엇보다 보안은 ‘스스로 지켜야 하는 것’으로 철저한 내부관리로도 충분히 예방 가능하다. 기업의 경우, 언제든 출력물 유출 사고가 발생할 수 있으므로 종이 출력물 생성부터 파기 과정까지의 모든 과정에 대한 ‘통합 보안 시스템’을 갖추는 게 유리하다. 즉, 출력 후 식별 정보 표기, 파기 이력 관리 등의 여러 절차를 모니터링하고 유출 사고 시 신속하게 추적·대응할 수 있어야 큰 피해를 사전에 막을 수 있다.
출력 문서 유출을 방지할 수 있는 첫걸음은 ‘출력 용지’부터 시작된다. 보안용지 사용은 어느 기업에서나 문서보안을 시작할 수 있는 방법이다. 보안용지는 △워터마크(Watermark)지 △지폐 은선지(Thread Paper) △복사 방지 용지(Paper copy protection) △전자감응 보안용지 등이 있다. 이 가운데 가장 많이 사용되는 ‘복사방지용지’는 복사·스캔 시 ‘Copy’라는 글자를 표기해 사본으로부터 원본 보호 역할을 하는 동시에 정품 유무를 확인할 수 있다. ‘전자감응 보안용지’는 용지 내 센서 물질을 삽입한 인쇄용지로 외부 유출 시 경보음을 작동시켜 유출을 막기도 한다. 이와 비슷하게 출력이 허가된 사용자만 출력이 가능하거나 돌발 상황 발생 시 보안 담당자에게 즉시 알리는 보안출력기도 있다. 또한, 최근에는 보안용지와 보안출력기 그리고 외부 유출을 막는 전자 감응 탐지 센서까지 짝을 이룬 통합 문서보안 솔루션도 있다.
이처럼 특수한 기술을 보유하고 있는 기업은 문서유출 사고 예방을 위해 최고경영진의 관심과 충분한 예산 지원이 필요하다. 다만, 보안 소프트웨어 솔루션만으로는 공격자의 의도적인 불법 접근을 완벽하게 막아내는 것은 쉽지 않다. 따라서 사내 출력물 보안정책이나 통제 및 모니터링 기능을 갖추는 것도 중요하다.
종이문서 파기의 경우, 기업에 국한되는 것이 아닌 개인에게도 해당되는 것으로 작은 종잇조각에서도 특정 단어나 정보 등을 공격자가 찾아낼 수 있기 때문에 파쇄 전문 업체에 맡기는 등 확실한 처리가 요구된다. 또한, 문서뿐만 아니라 HDD, SSD, 스마트폰, CD·DVD, 테이프, 메모리 등도 전문 업체를 통해 현장 파쇄 서비스를 이용할 수 있다. 개인이 직접 문서 세단기를 구매하는 경우 최대한 얇게 파쇄되는 제품을 이용하는 것이 안전하다.
또한, 개인정보가 담긴 택배 송장이나 우편물의 경우도 ‘가정용 세단기’를 이용하거나 특수 용액이 담긴 ‘택배 송장 지우개’ 등을 이용하면 쉽게 지울 수 있다.
이처럼 ‘정보 유출 사고’와 관련해 전자문서에 비해 종이문서는 오히려 피해 심각성이 더할 수 있다. 종이문서를 통해 외부로 유출된 정보에 대해서는 사실상 전달 경로 등을 추적하기 어렵다. ‘보안’에 있어서 ‘무심코’가 ‘아이코’가 될 수 있다는 경각심을 갖고 빈틈이 없도록 채우는 방법을 늘 모색해야 할 것이다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
