SC은행, 외주인력에 의한 고객정보 유출사고 발생
외주인력에 대한 통합관리로 보안 강화해야 

[보안뉴스 김태형] 최근 한국스탠다드차타드은행(SC은행)과 한국씨티은행에서 은행권 개인정보 유출사고 중 가장 많은 13만여건의 개인정보 유출이 확인된 가운데, SC은행은 전산프로그램을 개발하는 외주인력에 의해 내부 고객정보가 유출되면서 금융권 내부의 외주 인력관리가 보안 구멍으로 지적되고 있다.

수사당국에 의하면, SC은행의 IT센터 외주업체 직원 A씨는 전산프로그램 개발업무를 담당하면서 지난 2011년 11월부터 지난해 2월까지 대학 선배의 부탁을 받고 고객정보 10만 3천건을 USB에 저장해 5차례에 걸쳐 전달한 것으로 드러났다.

특히, 은행권에서는 프로그램 개발과 전산시스템 운영·관리, 보안관제 등의 분야에서 많은 외주인력이 상주하고 있고 업무를 위해 수시로 드나드는 편이다. 지금까지 이러한 외주인력에 대한 보안관리가 허술했기 때문에 이같은 사고가 발생했고 앞으로도 유사한 사고가 발생할 수 있다는 우려가 높다. 
지난 3.20사이버테러 이후 외주인력 관리 중요성이 대두된 상황에서 최근 SC은행에서 외주인력에 의해 고객정보가 유출됨에 따라 위해행위의 실시간 탐지·강제 중지 및 외주인력 보안통제 가이드 준수 등을 통한 외주인력 보안이 이슈가 된 것이다.
이러한 가운데 최근 SW 개발 기업 ‘좋을(대표 오주형)’에서는 이와 같은 외주인력에 대한 관리 허점으로 인해 발생할 수 있는 보안사고를 예방하고 외주 인력 관리의 취약점을 극복할 수 있는 외주인력 통합운영관리 솔루션 ‘J-TOPS(제이탑스)’를 출시해 관심을 모으고 있다. 

이와 관련 김영혁 좋을 상무는 “대부분의 은행은 내부직원 및 외주인력에 대해서 접근제어·USB등 저장매체 제어, DLP 등의 보안 시스템이 도입되어 있고 이에 따른 보안정책이 적용되어 있다. 하지만 SC은행의 경우 외주인력이 USB를 통해 고객정보를 유출했다”면서 “여기에서 보듯 SC은행은 보안정책은 있지만 통제 시스템이 제대로 가동되지 않았던 것”이라고 말했다.

이어 그는 “예를 들어 한 업무담당자를 출입문 출입통제시스템에서 인증을 통해 출입을 허가해 주었지만 누가 들어오고 나갔는지, 들어온 사람이 무엇을 하고 나갔는지 파악되지 못했다. 즉, SC은행은 외주직원에 대한 접근제어, USB 저장매체 제어, DLP 등의 통제시스템이 있었지만, 모두 열어주었고 DB추출을 하도록 허용했다”라며 “통제 시스템이 제대로 가동됐거나 J-TOPS와 같은 외주인력 관리 시스템이 적용됐다면 이 모든 과정이 로그는 물론이고 실시간 모니터링 되고 관리자에게 통보되기 때문에 내부정보 유출사고를 막을 수 있었을 것”이라고 말했다.

오주형 좋을 대표는 “이번 외주인력 관리 솔루션 ‘J-TOPS’ 출시를 통해 내부 IT담당자와 동등한 권한이 있는 외주인력에 대한 관리 및 통제를 강화함으로써 내부 IP, PW 등 인프라 자원 유출을 방지하고 전사적인 보안 인프라 수준 향상이 가능하다”고 설명했다.

또한, 그는 “더 이상 외주관리 전용시스템을 통해 내부 사용자에 최적화된 시스템을 강제로 외주인력에 맞추거나, 외부기기의 반입을 금지하기 위해 마련한 외주전용 단말 PC에 대한 관리자의 고민, 그리고 서버에서 수집할 수 없는 실증적 로그에 대한 고민을 해결할 수 있다”고 덧붙였다.

기존 외주인력 운영·관리 솔루션들은 단말기의 IP주소나 맥주소를 이용한 단순한 관리 수준만 제공했기 때문에 단말 대기, 로그인, 접속, 위협 등을 구분하기가 불가능했고 이로 인한 보안 취약점이 다수 존재했다. 하지만 ‘J-TOPS’는 실시간 모니터링과 통제상황 등을 실시간으로 반영하기 때문에 SC은행 사건과 같이 외주인력에 의한 정보유출은 불가능하다는 것이 회사 측의 설명이다.

이처럼  ‘J-TOPS’는 △IT 외주인력 보안통제 기준 준수 △단말 접속 실시간 모니터링 △접속 단말의 실시간 사용중지 및 강제종료 △단말 사용자 계정 및 통제정책 실시간 반영 △차단 명령어 및 명령어 그룹 관리 △차단 프로그램 및 프로그램 그룹 관리 △USB, Drive, ODD 등 저장매체 통제 △LAN, WI-FI, Bluetooth 등 N/W 제어 △사전 접속 정책 운용 △접속로그, 프로세스 로그, 위협 로그, 동영상 로그 등 △감사로그 수집 △단말 사용 로그 암호화 내장 △다양한 검색 및 레포트 제공 △서비스데스크, 데시보드, 3rd Party 연동 등이 가능하다.

오 대표는 “우정사업정보센터의 경우, IT관리 & 관제 인력이 나주로 이전함에 따라 ‘J-TOPS’를 통해 SLA를 준수하고 긴급대응 및 관리자 출장 등 인적·물적 낭비를 막고 원격지 단말 접속과 위협 관제 및 통제가 가능하게 구성했다. 또 우정사업정보센터의 IT담당자가 등록하는 작업과 접근권한을 각 외주인력 단말에 부여해 통합전산센터의 접근을 통제하게 된다”고 말했다.

또한, 그는 “동북아역사재단의 경우에는 적은 관리 인력으로 다수의 IT자산을 관리함에 있어 관리지침을 준수하고자 외주인력 전용 보안 노트북을 도입해 서버실 출입 또는 내부망에서의 작업에 활용하고, 이를 인증 또는 입증 책임을 위한 수단으로 활용하도록 했다”고 덧붙였다.


     
      ▲ 최근 5년 정보유출 유형별 분석(2008-2012년/국정원 홈페이지)


이렇듯 무엇보다 중요한 것은 외주인력에 대한 보안강화라고 할 수 있다. 지금까지 크고 작은 외주인력에 의한 정보유출 사고들을 보면, 외주인력이 직접 정보를 빼내거나 공격자들이 해당 기업 직원들에게 이메일을 보내 공격용 악성코드을 감염시키거나 IT 외주인력의 노트북 등에 침입해 타깃 기업을 공격하는 사례가 증가하고 있기 때문이다.

특히, 외주인력의 노트북이나 단말, 이동식 저장매체 등을 통해 해당 기업의 내부 시스템 접근이나 내부정보 유출이 가능한 만큼 기업들은 외주인력에 대한 보다 철저한 보안관리 대책을 마련해야 할 것으로 보인다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>