보안 인프라, 외부 침입 차단 동시에 내부 감염도 대비해야

[산업일보]
기업들은 침해사고 및 개인정보 유출 방지를 위해 망 분리를 적용하고 외부 네트워크에서 내부 시스템으로 들어오는 공격을 차단하고 있다. 그러나 공격자들은 대부분 일반적이지 않은 경로를 통해 공격을 시도한다. 때문에, 내부에서 외부로 나가는 ‘아웃바운드 트래픽’를 모니터링 해야 한다는 조언이 제시됐다.

경찰청 이지용 경감은 27일 개최된 ‘제14회 개인정보보호페어&CPO워크숍(PIS FAIR 2025)’의 기조연설자로 나서 ‘최근 개인정보 유출 사건 유형 및 대응방안’을 주제로 강연을 진행하며 이 같은 의견을 내놨다.

그는 “과거 정보통신망법에서는 개인정보 보호에 대한 기술적·관리적 보호 조치를 하지 않으면 처벌 대상이 됐고, 기업들도 신경을 많이 썼다”라며 “그러나 개인정보 보호법, 정보통신망법 개정으로 처벌 규정이 없어지면서 자연스럽게 투자가 줄어들었다”라고 짚었다.

이어 “개인정보 보호법 제34조에서 개인정보 유출을 알게 되면 지체없이 정보주체에게 통보 또는 신고하게 돼 있으나, ‘지체없이’라는 기준은 대통령령으로 정한다고 규정하고 있다”라며 “개인정보 보호법 시행령에서는 이 기간을 72시간으로 두고, 특정한 사유가 있으면 예외 조항을 적용할 수 있다고 서술하고 있다”라고 전했다.

또한 “정보통신망법에서는 침해사고의 발생을 알게 된 때부터 24시간 이내 과학기술정보통신부나 한국인터넷진흥원에 신고하도록 하고 있다”라며 “법령을 통해 강조하고 싶은 것은, 침해사고나 개인정보 유출 인지 시, 인지 시점의 근거를 남기고 관계기관에 신고해야 한다는 것”이라고 덧붙였다.

이 경감은 “법령상 침해사고·개인정보 유출 시 경찰에 대한 신고 의무는 없다”라고도 말했다. 사고가 발생한 기업 중 자발적으로 경찰에 신고하는 경우는 거의 없고, 경찰은 언론을 통해 사고를 인지하고 수사를 시작한다는 것이다.

법령에 따라 기업은 개인정보보호위원회와 한국인터넷진흥원(KISA)에만 신고하면 되는데, 이들은 조사권은 있으나 수사권은 없다.

과거 개인정보 유출 및 침해사고는 물리적인 서버를 경유해 처리했기 때문에 장기적인 정보 보존이 가능했다. 그러나 최근에는 VPN과 클라우드 서버를 사용한다. 즉 공격자는 타인의 계정으로 가상 서버를 구축하고, 범행 이후 바로 삭제해 버린다는 것이다.

이 경감은 “현재 국제 공조가 신속하게 이뤄지고 있다곤 하지만, 신고가 늦어질 수록 자료가 사라질 가능성이 높아진다”라며 “사고 인지 즉시 신고를 부탁드리고, 초기 분석 자료를 제공해 주시길 바란다”라고 당부했다.

그러면서 “최근 3년간 개인정보 유출 사고는 꾸준히 증가하고 있으며, 이 중 해킹이 대부분”이라며 “회사 이미지를 걱정해 신고를 꺼리는 기업들이 많은데, 경찰은 수사정보에 대해 철저한 비공개 원칙을 지키고 있다”라고 알렸다.

그는 최근 자주 발생하는 해킹 유형으로 ▲웹 취약점을 통한 침투 후 개인정보 탈취 ▲스피어 피싱을 통한 내부망 장악 ▲중앙관리 솔루션을 통한 내부망 장악 후 탈취 ▲APT 공격을 통한 개인정보 탈취 등을 소개했다.

이지용 경감은 “해커들은 백신 프로그램에 자신들의 공격 프로그램이 필터링되는지 테스트를 거친 후 정교하게 공격을 시도한다”라며 “기업들은 대부분 외부 공격을 차단하는 데 초점을 맞춰 보안 인프라를 구축하고 있으나, ‘아웃바운드 트래픽’의 통로인 443 포트도 모니터링해야 한다”라고 목소리를 높였다.

더불어 “내부의 방화벽 역시 모니터링할 필요가 있다”라며 “방화벽의 접근 통제 정책만 있고 모니터링 정책은 없는 경우, 공격자가 보안 담당자의 PC를 장악한 뒤 업무망을 마음대로 휘젓고 다녀도 인지하기 어렵다”라고 설명했다.

이 경감은 “주요자산을 재점검하고, 단순 모니터링을 넘어 연관 분석을 도입해야 한다”라며 “보안 정책 투자 금액은 사고 발생 시 피해 금액보다 분명하게 적다”라고 강조했다.

한편, PIS FAIR 2025는 삼성동 코엑스(COEX) 그랜드볼룸에서 28일까지 열린다.