IT 외주인력에 대한 보안강화가 필요하다. 지난해 농협사건을 보면 알 수 있듯이 이제 공격자들은 직접 해킹보다는 직원들에게 이메일을 보내 공격용 악성코드를 감염시켜 공격을 진행하거나 아니면 해당 기업에서 아웃소싱을 주고 있는 IT 외주인력의 노트북 등에 침입해 원래 타깃 기업을 공격하는 경우가 늘고 있다. 
 
외주인력의 노트북이나 이동식저장매체를 통해 해커들은 얼마든지 타깃 기업 내부 시스템에 접근이 가능한 만큼 기업들은 IT 외주인력에 대한 보안강화 대책을 마련해야 한다.
 
KISA는 지난해 12월 발간한 ‘IT외주인력 보안통제 안내서’를 6일 발표했다.  
 
주요 내용에는 IT 외주용역 유형별 사고사례와 사고원인 및 보안위협, 이에 대비할 수 있는 단계별 보안강화 방안, 외주인력 통제 강화 대책, 외주인력에 대한 정보보호 관리지침, 보안관리 서식 등의 내용으로 구성돼 있다.  
 
IT 외주용역에 대한 보안관리를 잘못해 발생한 사고 사례 몇 가지를 살펴보자.

 
◇모 교육기관 해킹당해…630만 학생 개인정보 유출(2010년 9월)
서버 유지보수 업체 직원 등 IT업체 대표와 개발자 등이 모 기관이 관리하는 전자도서관 서버에 해킹 프로그램을 설치해 학생들의 개인정보를 탈취, 이를 독서통장 사업자에게 팔아 부당이득을 챙긴 사건이다.
 
전자도서관 서버에 대한 유지보수를 위탁받는 외주업체 직원들은 DLS 서버 점검시 방화벽이 해체된 틈을 타 불법 프로그램을 설치해 개인정보를 유출시켰다. 사고원인은 유지보수 업체 직원에 대한 관리 감독 및 기술적인 통제가 부족해서다.
 
◇전자여권 92만명 정보 유출(2011년 9월)
전자여권 신청자의 주민번호와 여권번호 등 개인신상 정보 92만건이 여권발급기 운용업체 직원들에 의해 무단 유출된 사건이다.
 
조폐공사 보안 규정에 따르면 여권 신청자의 신상정보는 여권 제작 후 조폐공사 전산서버에서 바로 삭제되어야 하지만 해당 외주사 직원들은 여권발급기 부품 교체주기를 파악한다는 명목으로 신상 정보를 매주 본사로 전송했다.
 
사고원인은 외주직원에 대한 보안인식교육 및 관리감독이 미흡했고 기관의 보안 규정에 맞게 개인정보 데이터가 제대로 관리되지 않았다는 것이다.
 
◇모 기관, 외부업체 직원에게 승인없이 개인정보 열람 허용(2008년 10월)
모 기관은 외주 용역업체 업무 수행을 위해 기관 승인하에 담당직원과 함께 관련 정보에 접근토록 하고 있으나 부처 감사결과 외부용역직원에게 기관 직원 ID를 공동으로 사용할 수 있도록 허용한 사례다. 외부 용역업체 직원은 기관 직원 ID를 이용해 종합전산망에 접속해 총 1,066회의 개인정보에 접근한 것으로 확인됐다.
 
이는 외주용역 직원에 의한 기업 내부 IT 시스템 접근은 책임자 승인하에 담당직원과 함게 화면조회가 가능하나 외주직원의 무분별한 접근에 대한 관리적, 기술적 통제대책 수립과 감사기능이 미흡했다고 볼 수 있다.
 
◇모 구청 주민정보 60만건 담은 외장하드 분실로 인한 중요 정보노출(2011년 9월)
구청 호적등본 자료 전산화 업무를 맡고 있는 외주업체 직원이 호적등본을 전산화하는 과정에서 주민정보를 스캔한 파일 60여만 건이 저장된 외장 하드를 분실했다. 조사결과, 모 구청 공인요원이 종합문서고에 방치된 외장 하드를 보고 충동적으로 가지고 나온 것으로 밝혀졌다.
 
이는 외주직원의 보안인식 및 관리감독이 미흡했고 문서고의 출입문은 이중 통제가 적용되어 있으나 제대로 운용하지 않아 비인가 직원의 출입이 가능했다는 것이 문제다.
 
◇대형 포털사이트 고객상담 내용 일부 유출(2007년 10월)
국내 포털사이트는 외주업체가 운영관리하는 자사의 고객상담 관리시스템을 해킹 당한 후 이를 볼모로 금품을 요구하는 협박을 당했던 것으로 밝혀졌다.
 
고객상담 관리를 맡은 외주 업체는 적절한 보안시스템을 구축하지 않아 시스템이 외부 IP에서의 접근이 가능했고 이를 이용해 고객상담 관리자의 아이디와 비밀번호를 알아내 관리자 페이지에 접근한 것이다.   
 
이렇게 드러난 사고 이외에도 상당수 피해가 지금도 발생하고 있을 것이다. 기업들은 IT외주인력 보안통제안내서를 참고해 명확한 통제 정책을 마련하고 접근통제를 강화해야 한다.
 
특히 사용자인증의 사용자 및 통제, 사용자 접근 및 권한에 대한 허가 절차, 서비스 사용이 허가된 개인들의 명단과 서비스 사용에 있어 권리와 특권이 무엇인지를 규정하는 목록, 협력업체 직원의 행위를 모니터링하고 권한을 해지할 수 있는 권리, 방법, 절차에서의 사용자 및 관리자 교육, 정보보호 사고 및 정보보호 침해에 대한 보고 및 통지, 조사에 대한 합의 등에 대한 원칙을 마련해야 한다.
 
‘IT 외주인력 보안통제 안내서’는 데일리시큐 자료실에서도 다운로드 할 수 있다.
[데일리시큐=길민권 기자]