지난해 전자분야 한 대기업 본사에서 시스템통합(SI) 외주인력으로 일했던 김모(30)씨는 독특한 경험을 했다. 원래는 엄격한 출입구 검열을 통과할 수 없는 개인용 이동식저장장치(USB)를 한달 간이나 가방에 넣고 다녔지만, 한번도 걸리지 않았던 것. 심지어 입구에서 스마트폰 카메라에 의무적으로 붙이도록 되어 있는 스티커(기밀서류 등 촬영방지용)도 뗀 채로 일주일 간이나 다녔지만 무사통과였다. 김씨는 "사실상 입구의 관리 직원이 대기업의 유일한 보안 장치인 셈"이라며 "일단 사내에 들어오면 고객 정보나 직원들 개인정보가 담긴 문서들을 책상에 아무렇지 않게 늘어놓고 심지어 이면지로도 사용하는 것을 종종 목격했다"고 말했다.
마케팅 컨설팅 업체에서 근무한 정모(41)씨는 1년간 대기업 외주 용역을 마치고 지난해 이직을 준비했다. 새로 옮길 회사에서도 자신이 했던 프로젝트 보고서 등이 유용하게 쓰일 것을 알았지만, 원칙적으로 외주용역이 끝나면 반출이 불가능 하기 때문에 주변에서 자주 쓰는 방법을 사용해 정보를 빼냈다. 그는 일단 자신이 사용하던 컴퓨터의 자료를 C, D 드라이브 중 D드라이브로 옮겨두고 C드라이브를 깨끗이 포맷했다. 그러곤 다시 C드라이브에 보안 솔루션을 깔기 전 D드라이브의 자료를 USB드라이브로 모두 옮겼다. 이렇게 하면 간단하게 보안 검사를 통과할 수 있다는 게 업계 정설이었다.
이후 해당 기업 보안 검사는 무사히 통과했고, 마케팅 자료를 포함해 신기술 개발 자료까지 들고 나올 수가 있었다. 정씨는 "기업의 담당자는 오후 6시면 퇴근하고, 출입구 관리자만 통과하면 문제가 없었다"고 말했다.
금융기업 개인정보 유출이 충격적인 사실로 받아들여지고 있지만, SW업계 쪽에선 "전혀 새로울 것이 없다. 언젠간 터질 수 밖에 없는 일이었다"고 입을 모은다. 마음만 먹으면 개인정보를 포함해 기업의 모든 정보를 빼낼 수 있다는 것이다.
SI업체 관계자들이나 정보보안 전문가들은 한결같이 "국내 기업들의 정보보안 의식 수준이 매우 낮고 대부분 외주업체에 떠맡겨버리는 방식이 문제"라고 잘라 말한다. 기업 담당자의 감시가 느슨하면, 고객의 개인정보뿐만 아니라 기업의 핵심적인 기술이나 설계도까지도 손쉽게 손에 넣을 수 있는 현실에서 외부업체 직원들은 정보 유출 유혹을 느끼기 쉽다는 것이다.
특히 하청에 재하청까지 이어지는 현재의 SI유지보수 관련 외부업체들의 열악한 현실에선 대기업 사무실에 널려 있는 정보는 거의 무방비에 가깝다. 한 SI업체 대표(41)는 "우리나라 기업들은 대부분 기업의 심장인 정보보안 관리까지 비용절감을 위해 값싼 외주업체에 맡기고 있다"면서 "사실상 보안유지 서약서 한 장과 개발자의 양심에 보안을 의존하고 있다"고 말했다.
사내 보안부서 위상이 지나치게 낮은 것도 문제라는 지적이다. 정보보안 업계 관계자는 "그나마 금융업체들은 고객 정보를 암호화해 놓는 등 대비가 철저했다"며 "반면 대부분 기업들은 고객이나 직원들의 개인 정보를 문서형태로 저장해두고 있고, 정보보안 부서의 사내 위상도 낮기 때문에 사내 정보보안 준수 강조도 어렵다"고 말했다.
임종인 고려대 정보보호대학원 교수는 "지난 2011년 농협 등 4대 금융기관 정보유출 사고가 터졌을 때도 한국인터넷진흥원이 'IT외주인력 보안통제 안내서'를 만들었고 금감원이 전자금융감독 규정을 보완하는 등 제도는 만들었지만 그 때뿐이었다"며 "정보보안에 대한 기업들과 직원들의 의식자체가 바뀌어야 한다"고 말했다.
강희경기자 kstar@hk.co.kr
기사 URL이 복사되었습니다.
댓글0