2006년 초 국내 최대 온라인게임 기업인 엔씨소프트가 명의도용 사고로 28만명의 개인정보를 유출하는 사상 초유의 사태가 발생했다. 엔씨소프트가 발표한 명의도용 신고자만 총 10만8784명. 해지된 계정 수만 해도 19만5816개였다. 엔씨소프트 부사장은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 위반 혐의로 입건됐다.

인터넷 쇼핑몰 결제시스템의 허점을 이용한 고도의 해킹 프로그램을 제작, 1000원으로 수십만원대 물품을 상습적으로 구매해온 IT(정보기술) 프로그래머가 구속됐다. 또한 대기업 L사 신입사원 공채 응시자 3600여 명의 신상정보를 해킹해 인터넷에 공개하고, 대기업 1만여 명의 신상정보를 빼낸 A씨도 최근 구속됐다. A씨는 기본적인 해킹 프로그램을 이용해 L사 홈페이지에서 응시자 3600여 명의 신상정보를 빼낸 뒤 포털사이트의 카페 등에 공개했다.

하루가 멀다 하고 해킹으로 인한 기업들의 피해가 잇따르고 있다. 첨단기술 유출은 물론 고객정보 유출을 통해 금전적 이익을 얻으려는 해킹도 급증하고 있다. 해커들은 해킹으로 다른 사람의 개인정보를 빼내고 대포폰을 개설한 뒤 신용카드 명의 도용, ARS 결제요금 전가 등 금전적 이익을 취한다.

금전적 이익 노려 특정목표 공략 … 내부 유출 사건 여전

과거에는 PC의 정상적 사용을 막는 웜바이러스 정도가 PC 사용자를 위협했다. 그러나 2002년 이후에는 해킹으로 인한 피해가 급증하고 있다. 실제로 웜바이러스에 의한 피해는 2004년 10만7994건에서 2005년 1만6093건으로 10분의 1로 줄었다. 하지만 같은 기간 해킹으로 인한 피해는 1만 건이나 늘어났다. 보안 전문가들은 “이 같은 사이버 위협의 패러다임 변화는 해커들이 불특정 다수를 상대로 웜바이러스를 유포하는 것에서 벗어나 금전적 이익을 노려 특정 대상을 노리는 해킹으로 방향을 선회했기 때문”이라고 분석했다.



급증하는 해킹의 중심에는 기업이 있다. 해커들이 허술한 기업 웹사이트의 취약점을 이용해 고객정보를 대규모로 유출하고 있는 것. 유출된 고객정보는 이를 원하는 다른 기업에 판매된다. 수만명의 개인정보가 유출된 명의도용 사고를 겪으며 기업 이미지에 엄청난 타격을 입은 엔씨소프트는 8000여 명의 사용자로부터 85억원의 손해배상 청구소송을 제기당하는 등 상당한 경제적 손실을 입고 있다.

내부자에 의한 정보유출 사건도 끊이지 않고 있다. 기업 내부자에 의한 정보유출 사건은 대부분 기업이 사고가 알려지는 것을 꺼려 실체를 알기 힘들다. 최근 중소기업청에서 벤처·기술혁신형 중소기업(Inno-Biz) 등 500개 기업을 대상으로 실시한 실태조사 결과, 기술유출 피해 중소기업이 전체 17.5%에 달했다. 기술유출 방법은 자료복사를 통한 문서유출 63.6%, e메일을 활용한 정보유출 15.9%, 컴퓨터 해킹 9.1% 순이었다.

외부에서의 해킹과 내부자에 의한 문서유출을 최소화하는 방법은 무엇보다 기업 내에 정보보호 인식을 확산하는 것이다. 기업 내에 아무리 강력한 정보보호 솔루션이 구축됐다 하더라도 해킹 기술은 나날이 발전한다. 또 방화벽과 침입탐지시스템(IDS) 등 네트워크 보안 솔루션이 모두 갖춰져 있어도 기업 내부자에 의한 정보유출은 막을 수 없다. 따라서 최근 기업들은 네트워크 보호뿐 아니라 사내 PC에서 생성된 모든 문서를 암호화하고 기업 외부로 유출됐을 때 읽을 수 없게 하는 문서 보안체제를 갖추고 있다. 심지어 직원 PC에 작업 파일이 남지 않게 하는 서버기반컴퓨팅(SBC)을 도입하는 사례도 늘고 있다.

포스코와 KTF, LIG손해보험, 뉴로테크, 창원특수강, DA테크놀로지 등 다양한 업종의 그룹사 및 반도체기업, 기술연구소에서 PC 디지털저작권관리(DRM)를 앞다퉈 도입하면서 네트워크에서 콘텐츠까지 모두 보호하는 통합 정보보호 체제를 갖추고 있다. 조규곤 파수닷컴 사장은 “기업들은 중앙 서버 및 특정문서 유출을 차단하는 기존 문서보안 솔루션에서 더 나아가, 전 직원 PC에 담긴 문서를 자동 암호화하고 관리하는 통합 정보보호 체제로 전환하고 있다”고 설명했다. 임종인 고려대 교수도 “전반적으로 정보보호 인식 수준은 높아지고 있지만 최고경영자(CEO)의 관심이 여전히 미흡해 투자가 저조하다”면서 “지속적인 직원 교육과 각 기업 규모에 맞는 정보보호 실천 노력이 급선무”라고 지적했다.

정보보안에 성공한 기업, NHN은 전 직원 업무정보 보호 … 사이버 위협에 실시간 대응 NHN 최휘영 사장. 국내 최대 포털사이트인 NHN은 최근 2년 새 강력한 고객정보 보호정책을 수립했다. 2006년 정보통신부가 수여하는 ‘정보보호대상’을 수상하며 포털업계에 정보보호의 중요성을 일깨우고 있다. NHN의 정보보호 사례를 통해 기업의 정보보호 실태를 되돌아보자. NHN의 정보보호는 고객들이 NHN의 서비스를 안정적으로 이용할 수 있도록 가용성을 보장하고, 고객의 개인정보 보호를 위한 비밀성과 무결성을 보장하기 위한 것에서 출발한다.현재 NHN의 보안실은 정보보호에 대한 기술적 분야를 담당하고 있는 보안분석팀과 NHN 기업 보안정책을 수립하고 관리하는 서비스 보안팀, 그리고 네이버나 한게임 등 NHN 서비스를 이용하는 고객의 정보를 보호하는 고객정보 보호팀으로 구성돼 있다. 2007년부터는 이 팀들이 통합돼 실시간으로 사이버 위협에 대응하는 체제로 전환된다. 시시각각 변화하는 보안 위협에 대처하기 위해 고민한 결과다. NHN은 무엇보다 기업 내 일관된 정보보호 정책을 수립하고 이를 확산하는 데 주력했다. 이를 위해 NHN은 NGSS(NHN Global Security Standard)라는 정보보호 정책을 만들었다. 전 직원의 광범위한 업무 기반에 정보보호 정책을 둔 것이다. NHN은 NGSS를 통해 국내 서비스뿐 아니라 각국 지사와 본사의 보안정책을 통일하는 한편, 각 국가별 특성에 맞는 보안정책을 적용하기 위한 밑그림을 그렸다. NGSS는 전 직원을 대상으로 적용되는 광범위한 정책이라는 점에서 직원들의 협조와 경영 측의 지원 없이는 실행 불가능하다. 임채호 NHN 보안실장은 “NHN이 빠른 시간 안에 이 같은 보안정책을 수립할 수 있었던 것은 젊은 직원들과 경영진이 정보보호 정책에 자발적으로 참여하고 지켜줬기 때문”이라고 설명했다. 임 실장은 NHN 정보보호의 힘은 직원과 경영진에게서 나온다고 강조했다. NHN은 고객정보 보호 관리에도 힘쓰고 있다. 2006년 ISO27001 인증에 근거한 업무 프로세스를 정립했고, 접속기록 관리 등을 집중적으로 시행했다. 전 직원의 개인정보 보호 관련 교육을 의무화하고 개인정보 관련 감사기록 확인 등을 수행했다. 특히 내부 직원에 대한 교육이 어느 때보다 강조됐다. 포털업계 최초로 2006년 12월20일 ‘개인정보 보호 위원회’를 발족했다. 이 위원회는 신뢰도가 좀더 높은 서비스 제공 및 효율적인 개인정보 정책 수립 등 NHN 개인정보 보호 활동에 대한 자문단 역할을 수행한다. NHN 내부의 보안 전문가 4명과 학계 및 사회단체의 개인정보 전문가 4명으로 구성된 이 위원회는 NHN 개인정보 보호 활동의 향후 방향과 사회적 역할을 제시하는 동시에, 관련 정책 수립 및 운영을 검토한다. 임 실장은 “기업의 중요한 자산을 지키기 위해선 기본적인 보안 표준을 정립하고 이를 철저하게 이행하는 올바른 관리체계가 중요하다”면서 “기술적·관리적 보안체계 위에 경영진과 직원 모두의 보안 실천 자세가 합해져야 가장 강력한 정보보호가 이루어진다”고 설명했다.