특별기획 04 - 금융IT 내부통제 강화전략 : 내부자 위협 중심으로
최근 금융권에서 발생한 개인정보 유출사건, 금융전산망 마비사건 등으로 금융IT의 안전성에 대한 불안감이 과거 어느때보다 높은 상황이다.
금융전산망 마비사건의 경우 검찰수사 결과 북한의 사이버 테러로 밝혀졌으나, 대다수의 보안전문가들은 조직의 소홀한 내부통제 관리에 근본원인이 있다고 지적하고 있다.
특히 금융IT 업무특성상 아웃소싱업체에 대한 의존도01가 높음에도 불구하고 그동안 내부자 보안에는 소극적으로 대응해왔다는 것이다.
이는 제2, 제3의 보안사고로 이어질 수 있다는 점에서 전 금융권에서 내부자 보안사고에 대한 개선책을 시급히 마련해야 할 것으로 보인다.
따라서 여기에서는 내부자 위협의 대표적 유형과 실제 보안사고 사례를 살펴보고, 이러한 내부자 위협에 실질적으로 대비할 수 있는 금융IT 내부통제 강화전략을 살펴보고자 한다.
내부자 위협의 대표적 유형
내부자 위협이란 조직내 정규직원, 계약직원, 아웃소싱 직원 등이 현재 또는 과거에 있었던 조직내의 시스템, 네트워크, 데이터 등에 대한 접근권한을 의도적으로 오남용하여 조직내 정보시스템의 기밀성, 무결성, 가용성을 해치는 것을 말한다.
각종 조사에 따르면 이러한 내부자 소행에 따른 보안사고가 점점 증가하는 추세에 있다. 먼저 KPMG 조사에 따르면 2007년 이후 내부자에 의한 데이터 절취사건이 3배 이상 증가하였고, IDC 조사에서는 보안사고의 60% 이상이 내부자에 의해 발생하였다.
특히 주목할 점은 조직의 규모가 클수록 내부자 위협에 더욱 취약하다는 사실은 국내 대형금융회사들에게 시사하는 바가 크다고 할 수 있다.
2009년 미국 CERT에 따르면 미국 전역에서 발생한 내부자 보안사고의 대표적인 유형이 IT Sabotage02, 금전취득을 노린 절취 또는 변조03, 사업이득을 노린 절취 또는 변조04 등으로 나타났다.
IT Sabotage 유형은 업무나 회사에 대한 불만을 갖은 시스템 관리자, 특수권한 사용자 등에 의해 발생되고 임의의 불법계정을 통해 원격접근 방식으로 공격하는 것이 특징이다.
금전취득과 사업이득을 노린 절취 또는 변조 유형은 직장내에서 근무시간에 적법한 시스템 접근권한을 통해 범죄가 이루어진다는 공통점이 있다.
내부자 보안사고 사례
내부자 보안사고에서 악의적인 내부자는 조직내 해당 시스템의 취약한 구조를 잘 알고 있으며, 내부통제의 허점을 이용하여 은밀하게 진행한다는 것이 특징이다. 이와 관련된 내부자 위협에 따른 실제 보안사고 사례를 살펴본다.
< 사례 1 > 구찌 미국지사, “해고당한 IT담당자에 의한 서버/네트워크 다운 및 데이터 삭제”(2011.4)
o 구찌 미국지사의 서버/네트워크 다운 및 데이터 삭제사고가 발생하여 약 20만달러의 피해가 발생
o 전직 네트워크 엔지니어가 가짜 VPN 계정을 생성한 후 원격접속으로 회사 시스템/네트워크 및 데이터를 삭제한 사건으로 회사는 완전복구에 최대 수개월 정도 소요될 것으로 예상
▶ 해고당한 데 앙심을 품은 전직 네트워크 관리자에 의해 발생한 사건으로 퇴사자에 대한 접속권한 관리가 제대로 통제되지 않아 발생하였다.
이는 퇴사자, 타부서 전배자 등 인사명령에 따른 접속권한 관리의 중요성을 보여준다.
< 사례 2 > 미국 뱅크오브아메리카(Bank of America;BOA), “회사 기밀정보 유출”(2010.10)
o BOA에서 근무한 전직 프로그램 개발자에 의해 회사 기밀정보가 유출된 사건
- 회사 손익상태, 트레이딩 포지션, 신용보고서 등 총 21개 기밀파일
o BOA는 직원 이메일의 대용량 전송에 대한 모니터링 과정에서 적발
▶ 전직 프로그램 개발자가 퇴사 이전에 회사 기밀정보를 유출한 사건으로 내부정보 유출경로를 사전에 차단하는 대책과 사후 모니터링의 중요성을 보여준다.
이를 위해 내부정보 유출방지 및 불법행위 모니터링 시스템 도입 등이 필요하다.
< 사례 3 > 국내 금융기관, “개인금융정보가 담긴 현금자동인출기(ATM) 하드디스크 유출”(2011.2)
o ATM 운송·폐기업체에 의해 약 2천여만건의 개인금융정보가 담긴 ATM 하드디스크가 유출된 사건
o 해당기관의 내부지침에 따르면 ATM을 쓰지 않는 경우 하드디스크를 분리해 소각한 후 소각처리 확인서를 작성해 보관하도록 규정하고 있으나, ATM 운송·폐기업체가 과거 소각한 ATM 사진을 첨부해 확인서를 변조
▶ 아웃소싱 업체인 ATM 운송·폐기업자가 과거에 사용한 ATM 폐기 사진을 변조하여 발생된 사건으로 관련 내부지침에 따른 통제가 제대로 되지 않아 발생하였다. 관련 내부 지침을 제대로 준수하는 것이 필요하다.
금융IT 내부통제 강화전략
내부자 보안사고를 100% 막는 것은 현실적으로 어려운 문제이다. 그러나 내부자 보안사고를 사전에 예방하고 사고 발생초기 신속한 대응이 가능하도록 내부통제를 강화한다면 위험을 상당히 줄일 수 있다.
특히 내부자 위협의 특성상 단순솔루션 도입이 아닌 종합적인 측면에서 내부통제 강화전략을 위한 접근이 필요하다.
이를 위해 내부통제 강화전략을 관리적·기술적·물리적 관점에서 살펴보고자 한다.
1) 관리적 측면
우선 경영진의 많은 관심과 지원 속에 모든 직원들이 내부자 위협에 대한 인식을 새롭게 전환할 수 있는 환경을 조성해야 한다.
또한 조직내 업무담당자간 상호견제 시스템을 정착하여 불법행위를 사전에 차단하고 IT 아웃소싱업체와의 미래지향적인 관계 재정립을 통해 아웃소싱인력에 대한 처우를 개선하는 것도 필요하다.
현재 보안부서 등이 수행한 자체 보안점검 결과도 감사부서 또는 준법감시부서, 제3의 전문기관 등이 2차·3차에 걸쳐 검증하는 상호검증 방식의 체계로 전환하여 객관성 및 신뢰성을 제고시켜야 한다.
내부자 보안사고 발생시 신속한 사고처리 및 업무정상화 등을 위해 보안사고 처리절차, 보고체계 등을 재정비하고 이와 연계하여 재난복구시스템(DR)05 및 업무성연속성계획(BCP)06이 실제 보안사고에서 활용될 수 있도록 전반적인 체계점검이 요구된다.
2) 기술적 방안
내부자 보안사고 예방을 위해, 특히 내부자의 접근권한 관리 및 불법행위의 모니터링이 가능한 자동화된 시스템 구축 및 운영이 필요하다.
또한 내부자에 의한 고객정보 등 기밀정보가 유출되지 않도록 내부정보 유출방지 시스템을 도입하여 내부자의 이메일, USB, CD/DVD 버닝 등 다양한 유출경로를 차단하고 기능제한이 필요하다.
또한 중요시스템에 대한 관리자 접근통제 강화를 위해 기존 ID/Password 단일인증 방식에서 일회용비밀번호(OTP) 등을 이용한 2 Factor 인증방식으로 전환하는 방안도 고려해볼 필요가 있다.
그밖에 내부자 보안사고 이후 신속한 사고원인 규명 및 수사기관의 초동수사에 필요한 법적증거 확보를 위한 사이버 포렌식도 요구된다.
3) 물리적 방안
지금과 달리 인가된 내부자일지라도 외부자와 동일한 기준으로 출입통제 및 이동장비의 반·출입통제 등을 더욱 엄격하게 적용해야 한다.
특히 업무수행상 불가피하게 이동장비를 반·출입해야 하는 예외적인 경우에 대해 보다 강화된 통제절차를 적용할 필요가 있다.
사실 인가된 내부자의 경우 전산실 출입 자체만으로 불법성 여부를 판단하기 어렵기 때문에 기본적으로 업무담당자간 상호견제와 필요시 내부고발제도 등을 적절히 활용하고 불시점검을 통해 근무시간 이외 출입여부 등을 확인해야 한다.
그밖에 전산실 내부의 사각지대가 발생하지 않도록 CCTV를 재조정하고, CCTV시스템을 별도의 안전한 장소에서 안전하게 운영해야 한다.
결론
지금까지 내부자 위협의 대표적 유형과 보안사고 사례분석을 통한 금융IT 내부통제 강화전략을 간략히 살펴보았다.
그동안 금융권의 보안대책 방향은 외부자 공격에 초점을 맞추어 많은 보안투자와 관심을 가져왔다.
하지만 앞서 소개한 통계자료와 보안사고 사례에서 알 수 있듯이 내부자 보안사고는 조직내 보안체계를 누구보다도 잘 알고 있는 내부자에 의해 은밀하게 진행되기 때문에 좀 더 세밀한 내부통제와 감시체계를 구축할 필요가 있다.
이번 금융전산망 마비사태 등을 계기로 금융IT 내부통제 체계에 대한 재점검과 함께 이를 효과적으로 지원할 수 있는 예산과 전문인력 확보 등이 선행되어야 할 것으로 보인다.
01 은행 43.6%, 저축은행 15.1%, 증권 38.1%, 카드 71.8%, 생명보험 64.6%, 손해보험 86%(2010년 8월 기준, 한나라당 이성헌 의원실 자료)
02 내부자가 자신의 권한을 오남용하여 조직내 시스템, 데이터 등에 위해를 가하는 행위
03 내부자가 자신의 권한을 오남용하여 금전취득이 가능한 고객정보 등을 절취하거나 변조하는 행위
04 내부자가 자신의 권한을 오남용하여 사업적 이득을 위해 지적재산 정보 등을 절취하거나 변조하는 행위
05 Disaster Recovery System: 시스템에 정보를 입력하는 순간 그 내용이 백업센터에 똑같이 저장되도록 만든 시스템으로, 천재지변이나 화재, 테러 등의 사고로 인해 전산센터가 손상을 입어도 데이터 백업센터에 저장된 정보를 기반으로 사고발생 후 1∼24시간 안에 전체정보를 복구, 무리없이 정상운용할 수 있게 함
06 Business Continuity Planning: 재난발생시 비즈니스의 연속성을 유지하기 위한 계획.
재해, 재난으로 인해 정상적인 운용이 어려운 데이터 백업과 같은 단순복구뿐만 아니라 고객서비스의 지속성 보장, 핵심업무 기능을 지속하는 환경을 조성해 기업가치를 극대화하는 것을 말함