외주업체 직원을 통한 정보유출 사고가 끊이지 않는다. 사회 문제로까지 비화될 조짐이다.
이에 따라 아이디(ID), 비밀번호 등을 통한 관리자 인증 뿐 아니라 시스템 관리에 사용되는 PC를 보다 정교하게 관리하고 정보감사를 통해 정보유출을 막기 위한 프로세스가 제대로 돌아가는지 점검해야 한다는 목소리가 높다.
최근 발생한 KB국민카드, NH농협, 롯데카드 개인정보 유출사고도 외주인력의 부도덕성이 원인이었다. 예전과 마찬가지로 3개 카드사 역시 시스템 내부 사정에 밝은 외주업체 직원을 제대로 다루지 못해 큰일을 겪었다.
이에 따라 내부자 정유 유출에 대한 우려가 점점 고조되는 분위기다. 지난 2011년 농협 전산망 마비 사태 이후에도 기업/기관들의 허술한 관리는 크게 달라지지 않았다는 지적도 쏟아진다.
■해킹보다 무서운 내부자 유출
보안전문가들에 따르면 외부에서 해킹을 통해 정보를 빼내거나 시스템을 마비시키려면 방화벽, IPS/IDS, 백신 등 몇 단계 보안장치를 뚫어내야 하는 어려움이 있다.
반면 외주업체직원을 포함한 내부자들은 여러 단계를 거치지 않고서도 보다 쉽게 정보를 유출할 수 있는 환경에 있다. 그런만큼 돈이 왔다갔다는 달콤한 유혹을 뿌리치기가 상대적으로 어렵다.
농협 전산망 마비 이후 한국인터넷진흥원(KISA)에서는 2011년 12월 'IT외주인력 보안통제 안내서'를 발간하고 사고 유형별 대응방안을 제시했다.
안내서에 따르면 해킹 등 외부자 공격대응 위주 대책 및 투자로 외주용역 직원을 포함한 내부자에 대한 보안위협 예방, 대응 관련 인프라 투자는 매우 미흡한 실정이다.
보메트릭이 글로벌 대기업 IT 관리자 700명을 대상으로 조사한 결과에 따르면 전체 응답자 중 27%만이 권한을 가진 사용자의 데이터 접근을 막기 위한 내부자 공격 대응 방법을 활용하고 있었다. 글로벌 기업들 사이에서도 내부자 관리는 쉽지 않은 셈이다.
