미 보훈부 수백만건의 개인정보 도난…보안정책 실행이 관건
모바일화 쉬워져 도단 위험도 커져
이번 사건은 보훈부의 한 분석담당 직원이 전역 군인들의 데이터를 사무실에서 집으로 가져가 자신의 PC에서 일을 계속하려다가 디스크를 도난 당하면서 발생하게 되었다. 이 데이터에는 2,650만 명의 전역 군인들의 이름과 사회보장번호, 생년월일이 포함되어 있다. 그 직원은 해당 데이터와 함께 노트북, 외장 하드 드라이브를 지난 5월 3일 강도에 의해 도난 당했다.
보훈부는 그 동안 여러 단계에서 표준 보안 정책을 도입해 실행하고 있었지만 제대로 이루어지지 않았다. 해당 직원의 경우 중요한 정보에 대한 접근 권한이 있었지만 사무실에서만 액세스가 허용되었다. 하지만 그러한 보안 정책은 거의 모르거나 무시되고 있었다. 보훈부의 조사 결과, 그 직원은 남은 업무를 처리하기 위해 상부에 보고하지 않고 2003년부터 데이터를 집으로 가져간 것으로 알려졌다.
더욱이, 보훈부는 정보 유출을 막기 위해 중요한 데이터에 대한 암호화 정책도 보유하고 있지만 이번에 도난 당한 데이터는 암호화되지 않았다. 또한 보훈부의 짐 니콜슨 장관에 따르면 데이터 도난 사건이 발생한 뒤 2주가 될 때까지도 상부에서는 그 사실을 몰랐던 것으로 나타났다.
취약한 보안 정책 실행으로 인해 발생한 이번 정보 유출 사건은 보훈부와 니콜슨 장관을 곤경에 빠뜨리고 있다. 니콜슨 장관은 백악관과 미 의회에 사고에 대한 설명을 해야 했고 책임 추궁을 당해야만 했다. 니콜슨 장관은 책임을 통감하는 동시에 화도 치밀어 올랐다. 그는 "나 자신도 전역군인이기 때문에 화가 날 수밖에 없다. 솔직히 말하면 거의 미칠 지경"이라고 밝혔다. 보훈부는 도난 당한 데이터에 있는 모든 사람들에게 피해 사실을 확인하고 있다.
이번 사건을 두고 미 의회는 즉각적으로 해결책 마련을 촉구하고 나섰다. 래리 크레이그 아이다호주 상원의원은 보훈부가 해당 데이터를 모두 보유하고 있을 필요가 있었는지 의구심을 제기했다. 하지만 그 역시 "시민들은 정부기관이나 전역군인 파일을 요청할 경우 당일에 해당 정보를 받을 수 있기를 원하고 있으며 이를 위해서 정부 기관들은 그러한 정보를 보유하고 있어야 한다는 당위성을 인정할 수밖에 없다"고 밝혔다.
크레이그 의원은 이번 사건에 대해 "집에서 업무를 계속하기 위한 보훈부 직원의 잘못된 판단에서 비롯된 단순한 사고이길 바란다"면서, "하지만 이번 사건을 계기로 정보를 외부로 가지고 나가는 것이 얼마나 쉬운가 하는 사실을 무시해서는 안 된다. 이는 결코 간과할 문제가 아니다"라고 말했다.
이번 보훈부의 데이터 도난 사건이 시사하는 바는 크다. 조직 및 기업들은 직원들의 올바른 판단에 너무 의지하면 안 되며 직원들이 정책을 준수하기를 바라기만 할 수는 없다는 점이다. 판단이나 정책이 잘못될 경우 이를 보완할 수 있는 보안 시스템을 구축해야 한다. 데이터가 노트북이나 메모리 스틱, PDA 등으로 '모바일화'가 됨에 따라 데이터 도난의 위험성은 더욱 커지고 있다.
사이버 보안 의식 및 프라이버시 인식 과정 진행
PRC(Privacy Rights Clearinghouse)에 따르면, 이번 보훈부의 데이터 도난 사건은 지난해 여름의 신용 카드 결제 대행 업체인 카드시스템즈의 정보 유출 사건 이후 최대 규모의 의도적인 데이터 절도 사건이다. 현재까지 경찰은 이번 보훈부의 데이터 도난이 강도에 의한 우발적인 사건이라고 보고 있다. 하지만 놀라운 것은 특정 개인이 어떻게 엄청난 양의 데이터에 접근하고 암호화 없이 이동하며 상부에 보고조차 하지 않았는가 하는 점이다. 지난 3월 피델리티 인베스트먼트(Fidelity Investments)에서는 196,000명의 HP 직원 이름과 주소, 사회보장번호, 생년월일 등의 정보를 도난 당한 적이 있는데, 이번 사건과 매우 유사한 점이 많다.
보훈부의 IT 보안 정책과 실행을 수년 동안 비판해왔던 보훈부의 조지 옵퍼 감찰관에 따르면, 보훈부는 모바일 데이터와 데이터 보안에 관련된 위험성을 심각하게 받아들이지 않았다고 밝혔다. 그는 "연방정보보안관리법을 토대로 검토한 결과, 보훈부는 회계연도 2001부터 서비스 거부 공격과 중요 시스템 붕괴, 민감한 데이터에 대한 인증되지 않은 액세스에 위험성을 노출해 정보 보안의 취약점이 심각한 것으로 조사되었다"고 증언했다.
그는 또한 "한 감찰관은 회계연도 2004에 보훈부가 IT 운영에서 보안을 개선할 수 있는 16가지 권고사항을 만들어 제출했었다. 여기에는 IT 보안 프로그램의 중앙화를 비롯해 효과적인 패치 관리 프로그램을 도입할 것, 인증되지 않은 액세스와 중요 정보를 잘못 사용하고 있는 것에 대한 대처 방안을 마련할 것 등이 포함되어 있었다. 하지만 그 권고사항 중 하나도 이행되지 않았다"고 증언했다.
이번 보안 침해 사건과 관련해, 보훈부는 모든 직원들에게 사이버 보안 인식 및 프라이버시 인식 과정을 진행하고 있다. 또한 중요 데이터에 대한 직원들의 접근 권한을 재배치하고 이에 대한 상부 보고를 확실하게 진행할 방침이다.
데이터 이동시의 기업 보안 방안
기업들이 보훈부와 같은 종류의 데이터 손실을 막을 수 있는 방법에는 여러 가지 단계가 있다. 가장 중요한 것은 암호화로, 보훈부 정책에서도 요구된 사항이었지만 실제로는 구현되지 않은 것이다. 암호화는 PC와 메모리 스틱, 백엔드 데이터베이스 내부, 심지어는 네트워크에서 이동하는 데이터에서도 이루어질 수 있다.
M-시스템즈는 USB 디바이스와 메모리 스틱에 저장된 데이터를 암호화해준다. 인그리언 네트웍스의 i110 데이터시큐어 플랫폼은 네트워크 어플라이언스의 암호화 키를 중앙에서 관리한다. 마이크로소프트의 익스체인지 호스티드 서비스에는 이메일로 전송되는 데이터를 보호하는 암호화 기능이 포함되어 있다. 하지만 암호화는 데이터를 암호화하는데 사용되는 키가 부적절하게 관리될 위험성이 있다. 버튼 그룹의 트렌트 헨리 분석가는 "암호화를 적절하게 관리하지 않을 경우 데이터를 영원히 날려버릴 수 있다"고 경고했다. 대부분의 암호화 소프트웨어는 IT 전문가가 키를 안전하게 저장하고 불러올 수 있는 관리 인터페이스를 제공하고 있다.
암호화는 금융 서비스와 의료 및 기타 규제가 엄격한 업종에서 널리 사용되고 있다. 하지만 대부분의 기업들은 가격이 비싸다거나 사용하기 어렵다는 등의 이유로 도입하지 않고 있거나 암호화 정책을 실행하지 않고 있다. 하지만 가트너의 어비바 리탄 분석가는 "보안 침해 사건에 대처하는 것보다는 암호화 비용이 훨씬 저렴하다"고 말했다. 그녀는 10만 명 이상의 고객 정보를 암호화하는데 필요한 시스템, 서비스, 프로세스의 합리적인 비용은 약 50만 달러 수준이라고 밝혔다.
기업들이 모바일 디바이스의 분실이나 도난으로 인해 데이터가 침해되는 것을 방지하는데 있어 암호화가 유일한 방법은 아니다. 또 다른 방법은 데이터를 모바일 디바이스에 저장하지 않는 것이다. 직원들이 원격으로 업무를 수행해야 할 경우, SSL VPN 소프트웨어를 사용하면 중요 데이터도 원격으로 접근할 수 있다. 기업들은 또한 데이터가 외장 단말기나 이메일을 통해 네트워크 외부로 유출되는 것을 막아주는 소프트웨어와 네트워크 어플라이언스를 구축할 수도 있다. 아웃바운드 데이터 컨텐츠를 실시간으로 분석하는 기술도 존재한다. 이러한 형태의 소프트웨어와 어플라이언스를 제공하는 수많은 벤더 중의 하나인 워크셰어는 최근 데이터 유출을 차단하는 위험 관리 어플라이언스와 PC 기반의 소프트웨어를 발표했다.
버튼의 헨리는 "데이터 보안이 크게 향상된 것처럼 보이지는 않지만 지난 몇 년 동안 개선되고 있다"고 말했다. 보안을 위한 여러 법안들이 발표되면서 기업들의 보안 향상 역시 서서히 이루어지고 있다. 그는 "보안 침해 사건은 여전히 발생 빈도가 높지만 발생할 때마다 언론에 크게 발표되고 있으며, 이러한 언론의 보도로 인해 보안을 유지하려는 움직임도 증가하고 있다"고 전했다.
위험에 대처할 수 있는 시스템과 정책 적극 도입해야
오하이오 주립대학의 법학 교수인 피터 스와이어는 "정부기관에서 특히 보안을 강화해야 한다. 기업의 경우 보안 침해 사건이 발생할 경우 IT 부서에 예산이 확충된다. 이제 이러한 움직임이 정부기관에도 일어나 보안을 업그레이드하도록 압박해야 할 필요가 있다"고 지적했다.
법률적인 환경 변화가 보안 준수에 큰 영향을 미치고 있다는 것은 당연하다. 미국의 전역 군인들을 들끓게 했던 데이터 도난 사건은 미국 의회에 데이터 보안에 대한 경각심을 다시 한 번 높여주는 계기가 되고 있다. 최근 하원의 에너지산업위원회와 재정서비스위원회는 각각 데이터 프라이버시와 보호 법안을 제출했다. 하원의 승인까지 얼마나 걸릴지는 아직 확실하지 않지만 이러한 법안 제출이 효력을 발휘할 것임에는 틀림 없다. 사이버보안산업협회가 1,150명의 미국 성인을 대상으로 실시한 설문 조사 결과, 개인 정보 도용이나 인터넷 범죄로부터 현재의 법률이 보호할 수 있다고 응답한 비율은 20%도 안 된다. 응답자의 75% 이상이 의회가 더욱 강력한 법안을 마련해야 한다고 대답했다.
정부기관과 기업들이 무엇이 위험한 행동인지를 깨닫는다면 새로운 법률이 필요치 않으며 보안 침해 사건도 줄어들 것이다. 보훈부의 사례처럼 수많은 직원들이 남은 업무를 위해 데이터를 매일 밤 집으로 가져가고 있다. IT 담당자들은 그러한 위험에 대처해야 하며, 기업들은 위험성을 줄일 수 있는 시스템과 정책을 도입하도록 아낌없는 지원을 제공해야 한다.
Larry Greenemeier<lgreenem@cmp.com>