[기획] 출력물 보안의 짙은 그림자 (상)문서 보안사고는 기업을 병들게 한다

[기획] 출력물 보안의 짙은 그림자 (상)문서 보안사고는 기업을 병들게 한다

#약 2년 전 국내 유망 보안 콘퍼런스 'ISEC 2020'에서 A기업은 국내 주요 기업·기관의 정보보호최고책임자(CISO) 760명을 대상으로 종이문서를 통한 유출 심각도(1~10점)에 대해 설문 조사한 결과, '약 66%가 심각하다(7점 이상)'고 응답한 것으로 파악했다. 이는 문서 유출 폐단을 익히 알고 있거나 직접 경험했다는 방증이다.

하지만 개인·영업·기술정보 등 매년 문서 유출 사고가 터질 때마다 경종이 울리지만 여전히 민·관에 널리 퍼지지 못하고 있다. 이는 민·관이 정보보호를 타 분야 대비 투자 후 순위에 둔 데다 사이버 해킹 방어책에만 가중치를 둔 탓이다. 종이문서·저장매체 등을 통한 자료 유출 사고를 간과하고 있다. 자료 유출 경로만 다를 뿐 보안 사고에 따른 경제적 사회적 손실은 거의 똑같다.

4차 산업혁명 시대에도 보안 사고 중심엔 사람이 존재한다. 100% 보안을 장담하지 못하는 이유다. 데이터 유출을 막기 위해선 SW·HW 등 다양한 보안 제품을 활용해야 한다. 바늘구멍의 보안 허점도 모든 노력을 한순간에 물거품으로 만들 수 있다. 본지는 출력물 보안을 중심으로 그 중요성과 문제점, 대응체계 등을 짚어본다. 편집자주#

'GS그룹 계열사 삼양인터내셔날은 경쟁사 세스코의 A직원을 회유해 영업비밀을 유출한 혐의로 지난 2020년 기소됐다. A직원은 이직하면서 세스코가 전국 영업망을 통해 수집한 고객 정보를 종이로 출력해 전달했다. 종이문서엔 집중관리 고객, 재가입 고객 등 세스코 영업활동의 기본이 되는 핵심 자료를 담고 있었고 이를 토대로 삼양인터내셔날은 영업 행위를 한 것으로 파악됐다.'

'삼성전자 자회사 반도체 세정장비 세메스의 연구원 B씨는 2016년 퇴사하면서 세메스에서 유출한 설계 도면 등으로 만든 세정장비 20대를 중국기업에 팔아 부당한 이득을 취한 것으로 조사됐다. 특히, A씨는 세메스가 300억원 이상 투자해 개발한 초임계 반도체 세정장비 중 건조에 필요한 설계 도면을 빼돌렸다가 해외 유출 직전에 적발됐다.'

이 두 가지 기술 유출 피해 사례는 올해 초 미디어의 사회면을 장식한 사건 사고 내용이다. 내부 직원이 퇴사하면서 기업 핵심 정보를 몰래 종이로 복사해 유출하는 등 동일한 패턴을 띤 종이문서 유출 보안 사고이다.

특히, 종이 문서가 사내에서 복사된 후 '파기' 과정을 거치지 않고 외부로 유출돼 이미 경제적 손실을 당한 뒤 보안 사고를 뒤늦게 인지하고 부랴부랴 대응책 마련에 골머리를 앓는 공통점을 갖고 있다는 데 주목할 필요가 있다.

문서생명 주기는 생성, 처리, 보관, 저장, 폐기 등 단계로 구성된다. 내부 직원이 문서 생명주기 관리 시스템에서 복사본에 대해 폐기 작동을 고의로 중지시켰지만 최고보안책임자(CISO)는 이를 쉽사리 파악하지 못했다.

정보보안 전문가는 “해커가 암호화된 데이터를 탈취해도 암호키를 안전하게 보관하면 개인정보 유출 피해 확산을 막을 수 있는 반면에 종이 문서 유출은 암호키 자체를 분실한 것처럼 직격탄을 맞는 격”이라고 강조했다.

정보보호를 위해 민·관 노력에도 불구하고 매년 대기업·중소기업을 대상으로 종이 문서 정보 유출 사고는 잦아들지 않고 증가 추세에 있다. 지난 2013년 문서 유출 보안 사고에서 종이 문서 복사·절취가 44.5%를 차지해 정보 유출 수단으로 가장 많이 사용했을 정도로 지금도 종이 문서 복사는 자주 활용되고 있다. 기밀문서 복사나 절취에 의한 정보 유출은 특히, 대기업이 겉으로 드러내지 않을 뿐 여전히 많이 벌어지고 있다는 게 중론이다.

정보보안 전문가는 “워터마크·DRM·DLP 등 대다수 문서보안 솔루션들은 문서 유출 경로를 추적하는데 초점을 맞추고 있다”며 “기업이 외부 해커 공격은 촘촘히 대응하고 있지만 내부 인력에 의한 출력물 유출 자체를 물리적으로 완벽하게 차단하는 보안 솔루션은 많지 않을 뿐 더러 내부 유출 대응 시스템도 허술하다”고 설명했다.

대기업에 비해 자본력이 취약한 중소·중견기업은 보안 투자 부담이 크다. 2021 중소기업 기술통계 조사보고서(중기중앙회)에 따르면 기술보호를 위한 보안 관리 애로로 응답기업의 48.9%가 '보안 전담 인력' 부족을 꼽았다. 다음으로 41.0%가 '예산부족', 33.3%가 '법적·제도적 장치 미흡' 등 순으로 조사됐다.

또, 기밀 유출 범죄를 저지른 직책을 살펴보면 대표, 부사장, 이사 등 경영진 직책을 가진 임원들이 33%, 부장 29%로 기술 가치를 잘 알고 기밀 자료의 접근권한이 높은 직원들이 대부분을 차지했다. 특히, 기술개발에 직접 참여해 유출 기술을 가장 잘 파악하는 연구직 종사자가 31%를 차지했다.

정보보안 전문가는 “문서 유출을 예방하기 위해선 업무 중 수시로 발생하는 정보가 반영된 오프라인 문서에 대한 파기 이력을 기록하고 이를 '온라인화'해 전자적으로 파기 기록을 관리하는 체계 마련이 필요하다”고 지적했다.

안수민기자 smahn@etnews.com