작년에 발생한 국내 최대의 이커머스 기업에서 발생한 고객정보 유출 사건은 국내 기업의 보안 체계가 여전히 어디에 취약한지를 단적으로 보여주는 대표적 사례다. 이번 사고는 외부 해커의 침입이나 랜섬웨어 공격과 같은 전통적 사이버 위협이 아니라 접근 권한을 가진 퇴직자가 고객정보 데이터베이스(DB)를 지속적으로 조회하고 유출한 내부자 사고로 알려졌다.
많은 기업들이 사고가 발생하면 가장 먼저 '외부 공격자 침입 여부'를 점검한다. 그러나 이번 사건은 정반대다. 시스템은 정상적으로 동작했고, 네트워크 경계도 무너지지 않았다. 오히려 조직 내부의 데이터 접근 권한 체계가 무너졌고 데이터 보안 체계가 붕괴하면서 사고가 발생했다.
사건의 핵심은 단순하다. 직원이 퇴직할 경우 퇴직 즉시 계정이 종료되고 DB 접근 권한은 회수돼야 한다. 이는 정보보호의 가장 기본적인 원칙이다. 그러나 이번 사건에서는 그러한 기본적인 권한 관리가 이뤄지지 않았고, 더 심각하게는 수천만 건에 달하는 고객정보를 계속 조회하는 행위조차 비정상행위로 인식하지 못했다는 점이다.
이 사건은 모든 기업의 보안 담당자에게 중요한 질문을 던진다.
-인사DB와 연계하여 퇴직자 계정을 즉시 차단하고 있는가?
-접근 권한은 최소 권한 원칙에 따라 관리되고 있는가?
-누군가 비정상적으로 대량의 데이터를 조회할 때 이를 탐지할 수 있는가?
-데이터 접근 활동을 실시간으로 모니터링하는 체계가 존재하는가?
이 질문에 답하지 못한다면 사고가 발생한 특정 기업만의 문제가 아니라 국내 산업 전반이 직면한 구조적 리스크임을 의미한다.
내부자 위협이 위험한 이유는 공격이 정상 업무처럼 보이기 때문이다. 외부 해커는 침입 흔적을 남기기 때문에 비인가 IP, 악성코드, 취약점 공격 로그 등이 탐지된다. 그러나 내부자는 정상적으로 이미 시스템 안에 있다.
퇴직자 계정이 살아 있다면 시스템은 이를 정상 사용자로 인식한다. 그 계정으로 DB에 접속하고 SELECT 쿼리를 실행하는 것은 기술적으로는 정상 행위다. 문제는 그 목적이 '업무'가 아니라 '유출'이라는 점이다.
따라서 내부자 사고는 단순히 DB접근제어나 시스템 접근제어만으로 막을 수 없다. 접근을 허용했더라도, 그 접근이 정상 범위를 벗어나는 순간 이를 탐지해야 한다.
이번 사건에서 발생한 '수천만 건 조회'는 정상적인 고객 상담이나 운영 업무로 설명할 수 없다. 이는 명백히 이상행위다. 그러나 기업은 이를 인지하지 못했다. 결국 데이터 보안의 핵심은 저장소 자체를 지키는 것이 아니라, 데이터 접근 행위를 감시하는 것으로 이동해야 한다.
전통적으로 기업 보안은 네트워크 경계와 시스템 접근제어에 집중해왔다. 방화벽, VPN, 계정 인증, DB 접근제어 솔루션, EDR 등이 대표적이다. 그러나 클라우드와 하이브리드 환경이 보편화되면서 데이터는 더 이상 단일 경계 안에 존재하지 않는다. 데이터는 여러 환경으로 흩어지고, 다양한 계정과 애플리케이션이 접근한다.
이제 기업이 보호해야 할 것은 '시스템'보다는 '데이터의 흐름(Data Flow)'이다.
데이터 보안 전문가인 탈레스사의 한국 총판 롤텍의 이중원 부사장은 “작년에 발생한 국내 최대의 고객정보 유출사건은 바로 이 데이터 흐름을 점검하지 못했을 때 어떤 결과가 발생하는지를 보여준다며” “기존 보안 체계만으로는 데이터 접근 단계의 모든 위험을 통제하기 어렵기 때문에, 데이터 흐름의 관점에서 통합 보호 체계 구축이 필요하다”고 강조하고 있다.
이원지 기자 news21g@etnews.com
