읽어보기
새어나가는 우리 회사의 중요 정보, 범인은 내부자?
새어나가는 우리 회사의 중요 정보, 범인은 내부자?
‘내부 정보가 유출되었다’라는 말을 들으면 보통 외부 해커의 공격을 떠올리기 쉽다. 하지만 최근 정보 유출 통계를 보면, ‘내부자’에 의한 정보 유출의 건수와 그에 따른 피해 규모가 나날이 증가하고 있는 추세이다. 이제껏 외부 공격에 대한 방어 체계는 비교적 잘 갖춰져 있는 반면, 내부자에 의한 정보 유출은 예측이 어렵고 패턴이 일정하지 않다는 이유로 상대적으로 소홀히 다뤄져 왔다. 그러나 부주의한 직원, 악의적인 관계자, 또는 사이버 범죄자의 자격증명 도용 등의 내부자 위협에 의한 피해의 심각성이 점점 증가하고 있음에 따라, 기업과 기관은 내부자에 의한 정보 유출을 방지하기 위해 체계적인 보안 정책을 마련하고 지속적인 교육과 모니터링을 강화할 필요가 있다.
1. 현황
2024년 7월에 경찰청이 발표한 2024년 상반기 정보 유출 현황에 따르면, 기술 해외유출 사건의 비중이 꾸준히 증가하고 있는 추세이며 특히 작년 피해 기업 중 중소기업이 80.9%를 차지하였으며 유출 주체는 ‘내부인’이 80%를 넘는 수치를 기록했다. 1)또한 글로벌 정보보안업체 프루프포인트(Proofpoint)가 발표한 ‘2022 내부자 위협 비용 글로벌 보고서’에 따르면, 2022년 발생한 내부자 사고는 6,803건에 달하며, 연간 평균 피해 비용은 약 1,540만 달러(한화 약 201억 원)에 이르는 것으로 조사되었다. 2) 국내외를 막론하고 내부자 정보 유출로 인한 피해는 이처럼 꾸준히 증가하고 있다. 이 같은 내부자유출은 범죄 행위에 이용되어 개인의 안전을 위협할 뿐만 아니라 기업에 막대한 경제적 손실을 초래할 수 있다.
2. 내부자 정보 유출의 유형
내부자에 의한 정보 유출은 크게 두 가지 유형으로 나눌 수 있다.
1) 부주의 및 실수로 인한 유출
- 업무용 기기 보안 관리 소홀:직원의 업무용 장비 관리(컴퓨터, 모바일 기기, 저장 장치 등)부주의로 민감한 정보가 외부에 노출될 가능성
- 보안 패치 미실행: 소프트웨어 업데이트를 하지 않아 해킹에 취약해지는 경우
- 이메일 참조 실수:숨은 참조(Bcc)를 사용하지 않고 일반 참조(Cc)를 사용해 개인정보가유출되는 사례
- 검색엔진 노출: 기밀 정보를 검색엔진 크롤링에 노출시키는 실수
- AI 신기술로 인한 유출:클라우드 서비스와 AI 도구(ChatGPT 등)의 부적절한 활용으로정보가 유출되는 새로운 유형 등장
2) 고의적인 유출
내부정보 및 중요 정보 유출
·불법 거래: 회사 내부 문서, 재무 자료, 고객 데이터 등을 다크웹에서 판매하거나 경쟁사에 제공
·내부 시스템 접근권한 남용: 퇴직 전 회사 데이터베이스에서 내부 보고서, 경영 전략등을 무단으로 복사 후 외부로 유출
개인정보 유출
·직원의 고의적인 침해: 병원, 금융사, 공공기관 직원이 고객 개인정보(이름, 주민등록번호,계좌정보 등)를 외부에 판매하거나 악용
·랜섬웨어 및 해킹 협력: 내부자가 해커와 공모하여 고객 개인정보를 유출하고 이를금전적으로 활용
기밀 정보 유출
·퇴사자 또는 경쟁사 이직자에 의한 유출: 전 직원이 퇴사 후 경쟁사에 입사하면서 기존회사의 핵심 기술 문서, 연구 개발 자료 등을 불법적으로 반출
·산업 스파이 활동:내부 직원이 기업의 기밀 데이터를 의도적으로 해외 기업이나 기관에제공하여 경쟁력을 약화
·협력사 및 파트너사 유출: 내부자가 협력사와 공유해야 할 제한적 정보를 무단으로제공하여 기업의 비즈니스 전략이 노출되는 경우
3. 유출 사례
국내 대형 병원 개인정보 유출 사건
국내 17개 대형 병원에서 환자의 개인정보 약 18만 건이 유출되었으며, 내부 직원들이환자 정보를 제약회사 직원에게 이메일, USB 등을 통해 전달한 것으로 밝혀졌으며이로 인해 총 6,480만 원의 과태료가 부과되었음
AI 학습 자료 공유 중 보안 사고
한 기업의 연구원이 클라우드에 AI 훈련 자료를 업로드하던 중 실수로 보안키, 비밀번호,내부 직원의 메시지 약 3만 건이 노출되었으나 다행히 빠르게 문제를 파악하고 링크를삭제하였음
쇼핑몰개인정보 유출 사고
특정 조건의 상품 구매 고객에게 적립 이용권을 배포하던 중, 캐시 정책 설정 오류로인해 쇼핑몰 이용자 20명의 개인정보가 다른 고객 29명에게 노출되었으며 이로 인해방송통신위원회는 해당 기업에 18억 5,200만 원의 과징금을 부과함
코레일 직원 개인정보 무단 열람 사건
코레일 직원이 3년간 방탄소년단 리더 RM의 개인정보를 무단 열람한 사실이 드러났으며이러한 행위는 개인정보보호법 위반으로 처벌 대상이 되었음 3)
서울교통공사내부망 이용 범죄
신당역 살인사건 가해자는 내부망에 접속해 피해자의 개인정보를 열람하고, 이를 바탕으로 범행을 저질렀음
4. 방지 대책
정보보호는 단순히 기술적 문제를 넘어 사람의 실수와 고의적 행위를 방지하기 위한 종합적인접근이 필요하다. 기업과 조직은 내부자에 의한 유출 가능성을 항상 염두에 두고 대비해야 한다. 우선 다음의 다섯 가지 항목을 통해 조직의 내부자 위협의 발생 가능성을 체크해볼 필요가 있다.
1) 임직원 보안 교육 강화
지속적이고 실효성 있는 보안 교육을 통해 직원들의 보안 의식을 높이고, 부주의나 실수로 인한 정보 유출을 예방할 수 있다.
2) 접근 권한 관리 강화
직원들의 정보 접근 권한을 최소한으로 설정하고, 필요에 따라 권한을 부여하거나 회수하는 체계를 구축해야 한다.
3) 내부자 활동 모니터링 시스템 도입
내부자의 비정상적인 활동을 실시간으로 모니터링하고, 이상 징후를 탐지하는 시스템을 구축하여 조기에 대응할 수 있다. 예를 들어, 대량의 데이터 다운로드나 평소와 다른 시간대의 접근 등을 감지하여 경고를 발송할 수 있다.
4) 데이터 암호화 및 접근 통제
중요한 데이터를 암호화하고, 접근 통제를 강화하여 무단 접근이나 유출 시에도 정보의 기밀성을 유지할 수 있게 한다.
5) 클라우드 보안 강화
클라우드 서비스를 이용할 경우, 안전한 인증 수단을 적용하고, 접근 권한을 철저히 관리하여 해커에게 관리자 접근 권한이 탈취되는 것을 방지해야 한다.
6) 보안 패치 및 시스템 업데이트 정기적 적용
시스템과 소프트웨어의 최신 보안 패치를 정기적으로 적용하여 알려진 취약점을 악용한 공격을 방지해야 한다.
내부자에 의한 정보 유출은 디지털 전환이 가속화 되고 근무 환경 등이 변화 등으로 인해 더욱 통제하기가 어려워지고 있으며, 악의적인 내부자 유출과 사이버 범죄 조직과의 연계가 증가하는 등 그 피해 규모는 앞으로 더욱 커질 가능성이 높다.
따라서 기업과 기관은 조직의 보안수준을 정확히 파악하는 한편, 임직원에 대한 지속적인 교육과 철저한 관리 체계를 통해 내부 보안 수준을 강화하여 정보 유출로부터 안전한 환경을 구축해야만 할 것이다.
1) 서울경제, https://www.sedaily.com/NewsView/2DBSESCRQR
2) 프루프포인트(Proofpoint), ‘2022 내부자 위협 비용 글로벌 보고서’
3) 아시아경제, https://view.asiae.co.kr/article/2023122217460460178