[sk]테마토크-"sk 임직원들의 보안 수준을 알고 싶습니다"

[테마토크] 보안
“SK 임직원들의 보안 수준을 알고 싶습니다”

최근 연예인 X파일 유출로 인해 기업의 보안 문제가 사회적 이슈로 대두됐다. 철통같은 경비를 내세워 보안을 유지하더라도 자칫 중요한 문서가 개인의 실수로 유출된다면, 기업의 이미지는 물론 사업부의 존폐 여부까지 가늠할 정도로 그 파장은 매우 크다. 얼마 전 모전자업체에서 빼낸 기밀문서를 해외 경쟁사에 팔아넘기다 붙잡힌 회사 임원도 있었다. 이런 가운데 각 기업들은 자사의 ‘재산’이라고도 할 수 있는 개인 정보 유출에 신경을 곤두세우고 있는 실정이다. 이번 호에서는 SK 계열사 보안담당자와 일반 사원을 초빙, 회사 내 보안 문제에 대해 비교적 진지한 이야기를 이어갔다.

<참석자>
나진욱 대리(33) SKC&C IT 기회운영팀 보안 담당
전현철 대리(33) SKT 정보기술연구원 IT 보안팀
백승정 과장(31) SK커뮤니케이션즈 싸이월드사업본부
구미애 사원(29) SK(주) 구매팀

# Step 1. 연예인 X파일 & 국민 사이트 ‘싸이월드’

모기업에서 유출된 연예인 신상명세서가 공개돼 일파만파 파장이 커졌던 얼마 전, 각 기업들은 자사의 보안에 대해 다시금 재점검하기 시작했다. 그런 이유에서인지 참가자들의 이야기의 시작 역시 ‘연예인 X파일’이었다. 연예인 스스로도 알지 못하는 사실을 게재하고 있더라도 그 내용은 심히 충격 그 자체였다. 공교롭게도 국내 유명 포털 사이트의 댓글에는 스스럼없이 ‘싸이월드’의 주소가 입력돼 담당자들은 큰 곤욕을 치렀을 법도 한데…….

백) 연예인 X파일을 싸이월드에 업로드한 거 다들 아시죠? 최근 싸이월드의 방문자수가 떨어지는 추세였는데, 그것으로 인해 완전히 반전됐죠. 어느 날 무심코 데이터를 체크하는데, 방문자가 갑자기 30% 가량 급상승했더라고요. 그 날 오후 10시경 집에 가려고 퇴근하는데, 과거 직장 동료에게 전화 왔어요. ‘너 무슨 짓 했냐’고 묻더군요. 어떻게 하루아침에 방문자가 30%를 웃도느냐고. 궁리 끝에 찾아낸 것이 연예인 파일이었어요. 회원들이 미니홈피에 업로드해 놓고 그 주소를 포털 사이트 곳곳에 올려놓은 것이죠.
구) 연예인 X파일을 보면 과연 개인정보 유출 어디까지 갈 것인지 궁금해지기도 해요.
백) 싸이월드의 이야기가 계속 이어지는데요. 방명록 있잖아요. 그 생성 취지가 이래요. 1촌이 아닌 사람과 새로운 관계를 맺으라는 것이었거든요. 그런데 개개인이 관리할 시간적 여유가 없어지면서 2~3일 정도 확인을 안하면, 나와 1촌을 맺지 않은 사람도 방명록에서 그 개인에 대한 사생활을 모두 염탐(?)할 수 있게 되잖아요. 그런 게 문제가 되더라고요. 그러나 방명록 생성 취지를 생각하니 삭제할 수도 없고 해서, 최근 새로운 방법을 고안해 냈죠. ‘비밀글’ 기능을 추가하기로 했어요. 개발 비용이 현재보다 3배 이상 들겠지만 이번에 시도해 보려고 합니다.
나) 사실 싸이에 들어가면 그 사람의 스케줄을 모두 알 수 있죠. 1촌을 통해 들어가도 비공개로 해놓았다면 보이진 않아요. 그런데 ‘스크랩’ 기능을 이용하면 모두 보이게 되죠.
백) 최근 사생활에 대해서 이슈가 계속 되는지라, 고민 중에 있어요. 방명록은 계속 성장 추세에 있거드요. 과거에는 기능을 막는 것에만 급급했는데, 올해부터는 막은 것을 풀어놓으려는 데 집중하려고 하죠.
구) 우리 같은 경우도 ‘엔크린’과 ‘캐시백카드’ 때문에 그런 비슷한 요청이 많이 들어와요. 물품 구입 목록을 보여 달라는 식의. 뭘 샀느냐고 조사하는 것이죠. 그런 이유로 담당자들은 경찰서 출입도 잦답니다.
백) 우리 회사 어떤 직원은 경찰과 친구가 될 정도예요. 하하.
전) 싸이월드의 ‘도토리’가 문제되는 것 아세요? 다른 사람 아이디로 로그인해 들어와서 도토리를 구입하고 현금화하는 거요. 일명 ‘도토리깡’이라고나 할까요.
백) 예전에 이런 일이 있었어요. 원래 1인당 6만원 한도로 충전이 가능한데요. 올해 초 회원들에게 모두 20개씩 도토리를 나눠줬어요. 그런데 어느 해커가 700만원 어치의 도토리를 빼내 현금화해서 해외로 유출한 사건도 있었죠.
구) 갑자기 생각난 건데요. SK텔레콤에 묻고 싶어요. 휴대폰 스팸 좀 없애 주세요.
전) 요즘 그것 때문에 청와대부터 정통부까지 신경을 많이 쓰는 모양이더라고요. 매우 민감한 문제죠. 개인정보유출. 그래서 텔레콤도 과거 ‘암묵적 동의’도 동의로 인정했는데, 이제부터는 동의에는 무조건 ‘명시’를 하게 됩니다. 다른 계열사도 마찬가지 일 걸요? 과거 가입한 분들은 어느 시점을 놓고 나누게 되죠. 암묵적이냐, 명시적이냐로. 이제는 모두 고객에게 해당 건별로 승인을 받게 해 놓았어요.
백) 텔레콤에 또 궁금한게 있어요. 위치 추적인지는 모르겠는데, ‘강남 두근두근 채팅’이라는 식의 문자가 자주 오거든요? 지역까지 명시한 것을 보면 제가 위치 추적당하는 게 아닌가 하는 의구심도 들고요. 막아 달라 해도 막지도 않고, 막을 방법도 없다던데요.
전) 과거 경쟁사에 이런 경우가 있었어요. 마케팅의 어느 직원이 수백 명의 고객 명단을 빼내 텔레마케팅 회사를 차렸어요. 그 명단을 음란사이트에 넘겼고 그래서 그러한 음란 문자를 뿌리게 됐죠. 그런 것을 막을 방법이 있는 지는 아직 확인 안 되고 있어요.
그리고 그것과는 별도로 위치 추적도 매우 무섭죠. 사실 ‘친구 찾기’란 것이 있는데, 찾으라는 친구는 안 찾고 대부분 남편이나 부인을 찾죠. 선한 목적이 아닌 것이죠. 지금은 상대방 동의가 필요하지만 예전에 그렇지 않았거든요.
나) 제가 아는 분도 회사 상사의 휴대폰에 ‘친구 찾기’를 등록했는데, 인증 번호를 넣으라고 나오더라고요.
전) 예. 맞아요. 그런데 그러한 인증번호가 지금은 24시간 후에 한 번 더 오죠. 2년 전까지만 해도 그렇지 않았거든요. 또 요금고지서에도 게재되고, 조회할 때 마다 인증번호를 물어보죠. 법이란 것이 최근 들어 과거의 ‘~이용에 관한 법률’ 보다는 ‘~보호에 관한 법률’로 통일시 되는 듯해요. 그 만큼 개인 정보 보호가 중요하다고 인식하기 시작한 것이죠.

# Step 2. 보안관련 에피소드 백태

서울 무교동 어느 호프집에서 진행된 이번 호 ‘테마토크’의 주제는 매우 흥미롭다. 21세기를 살면서 개인정보유출에 대해 한번쯤 생각 안 해 본 사람 없을 듯싶다. 휴대폰 음란 문자는 물론, 향긋한 벗의 편지는 없고 매번 우편함을 열 때마다 지긋지긋한 스팸이 기다리고 있으니 말이다. 그래서인지 나대리는 이러한 만남을 무척 기다렸다고 한다.

나) 사실 저는 오늘 제가 나오고 싶었어요. 일반 임직원들의 보안 의식이 과연 어느 수준인지 듣고 싶었거든요. 개인 보안이 이뤄져야 회사 보안이 이뤄지는 것이라 생각해요. 제가 하는 업무가 어떻게 하면 보안 유지를 잘 할 수 있을까라는 것인지라, 타계열사에서 바라보는 ‘보안’은 과연 어느 정도인지 가늠해 보고 싶었죠. 이런 자리를 통해서 알 수 있는 거죠. 아! 그리고 이 점은 알아주셔야 해요. 그룹 차원에서 보안을 이끌어 가는 곳은 현재 없다는 것이요. SKC&C가 보안을 담당하는 것으로 아는 분이 많은데요. 현재는 그렇지 않아요. 과거 그룹 차원에서 하려다가 못하게 됐어요. 그런데 아직 C&C가 SK의 모든 보안을 담당하고 있다고 생각하는 분들이 많더라고요.
구) 예전에 C&C는 게시판 글도 함부로 삭제 가능한 곳이라 여겼어요. 그래서 어느 직원은 퇴사하면서 게시판에 글을 올렸는데, 누군가 그 글을 보고 삭제했더라고요.
백) 모포털사이트에서도 그런 일이 있데요. 고객이 요청하면 이미 보낸 메일도 삭제 가능하다고요. 우리 회사에는 이런 일이 있었어요. 예전에 D포털사이트명의로 메일이 한 통 왔는데, 자신의 아이디가 도용당하고 있다는 신고였죠. 그런데 그 문제를 당시 ‘신입사원’이 해결하지 못해 고참에게 넘겼는데 문제가 발생했어요. 그 해당 메일에 욕설을 써서 고참에게 ‘전달’한다는 것이 그만 ‘회신’을 하게 된 것이죠. 그런데, 이 두 직원이 그 D사이트에 들어가 비밀번호를 알아내서 미리 삭제하자는 공모를 하게 된 것이죠. 그랬는데, 이 고객이 자신의 D사이트 아이디가 도용됐다고 또 신고를 하게 됐고, 사이버수사대까지가서 결국 형사 고발, 그리고 검찰에 불기소까지 갔어요. 일파만파 커져서 결국 두 직원은 모두 퇴사 조치되고, 벌금도 물게 됐죠.
구) 참 안타까운 일이군요.
나) 저희도 msn 메신저로 인해 에피소드가 하나 있는데요. 우리는 정책적으로 사실 메신저를 차단하고 있어요. 텔레콤도 현재 차단하고 있나요?
전) 전에 바이러스 때문에 차단한 적 있는데, 지금은 안하고 있는 것으로 압니다.
나) 어느 날인가 우리 회사 임원께서 업무 시찰을 돌고 있는 중에 직원들이 매우 열심히 일을 하고 있더랍니다. 그런데, 근처에 가서 모니터를 보니 모두 메신저에 열중하고 있더래요. 10명중 9명이 하고 있었던 것이죠. 그래서 회의 때 언급이 됐고, 곧바로 사용량 조사에 착수케 됐죠. 컨설턴트까지 고용해서 조사한 결과, 임직원 90%이상이 사용하고 그 중 90%가 업무외적으로 이용하고 있었습니다. 출근 후, 점심시간 후, 퇴근전이 피크 타임이더군요. 그래서 바로 ‘차단’ 지시가 내려왔죠. 바로 차단에 들어갈 순 없었어요.
백) 국내 다른 기업도 차단한 곳이 있던데요.
나) 아마도 그런 식의 모니터링이 선행됐을 거예요. 이런 경우도 있어요. 네이트온 자동로그인으로 인해 누군가 자신의 PC를 해킹했다고 신고한 적도 있죠. 결국 자택에서 자동로그인 된 것인데, 불똥이 보안 팀으로 튀어서 매우 혼난 적이 있어요. 보안 팀이라는 이유만으로. 하하.
전) 사실 우리 회사는 어떤 목적을 위해 방법을 바꾸다가도 원래 형태로 잘 돌아가는 듯해요. 타사와는 다른 기업 문화라 할 수 있죠. 좋지 않나요? 하하.
나) 싸이월드도 차단 리스트에 올랐었죠. 그런데 차단 한 지 1시간 만에 다시 해제했어요. 계열사 사장님들의 전화가 빗발 친 거죠. 아마 지금도 월 8시간 이상 사용자는 차단하고 있습니다.
백) 싸이월드의 경우 ‘주크박스’라는 기능이 있는데, 업무 시간 내내 음악듣기를 위해 켜놓는 사람도 모니터링 대상이 되나요?
나) 네. 그래요. 대상이 되죠.
구) 증권 관련 사이트는 어떤가요? 차단하나요?
나) 유해 사이트는 모두 차단합니다. 업무용도 외의 유해 사이트는 모두 차단 되요. 주식, 성인, 음락, 도박 등등.
전) 우리 회사는요. 그렇게 막아놓으니까 ‘그러면 우리 객장에 나가야 하냐’고 묻는 분도 계시더군요. 하하.
나) 보안 담당자들의 어려움이죠.
백) 우리 회사에는 이런 경우도 있었어요. 데스크톱 PC의 비밀번호가 뚫려서 어떤 상사에게 음란 쪽지가 전달된 거예요. 결국 누가 보냈는지 아직 밝혀지지 않았어요. 그래서 일부 PC에 카메라를 설치하자는 이야기도 나왔죠.
전) SKT에서는 올해 내로 지문 인식 PC가 보급될 전망 이예요. 아이디를 하나로 사용하는 대리점에도 많은 문제가 발생하고 있거든요.

# 에필로그
개인 정보 유출을 경험해 보지 않은 사람은 남의 나라 이야기로 들릴 지도 모른다. 문명의 이익을 받던 못 받던 직간접적으로 피해를 보고 있는 사람은 의외로 많다. 그래서인지 이번 ‘테마토크’도 매우 많은 에피소드들로 하얀 백지를 촘촘히 채워나갔다. 국민사이트로 사랑받고 있는 ‘싸이월드’에서의 메뉴 보안 문제, C&C의 보안 업체라는 이미지 제고 등 서로 간의 모르는 부분에 대해 갖가지 색상으로 색칠을 한 기분이다.
3월이다. 새로운 꽃망울이 피어오르기 시작한 이 때, 아지랑이 간드러지는 길을 걷다가 향기로운 햇살을 온몸으로 받으며 문득 쥐어든 휴대폰 액정에 이러한 문자가 보인다면 여러분들의 기분은 과연 어떨 런지.
“오늘밤 채워줄래요? 뜨거워요. 봄비처럼 적셔줘요. 전화주세요. 기다릴게요. 060-***-****”

글/ 원창연(자유기고가)

<일문일답>
1. 자신의 개인정보 유출로 인해 피해를 본 경험이 있습니까?
2. SK 사내 보안시스템을 평가한다면?
3. 연예인 X파일 유출에 대한 본인의 견해는?
4. 사회적으로 큰 이슈가 되고 있는 개인정보유출을 예방하는 방법이 있다면?
5. 내 인생에 있어 최대로 보안 유지를 해야 할 것이 있다면?

전현철 대리
1. 가장 흔하게 접하는 일은 의도하지 않은 텔레마케터에 의한 상품구입 권유 전화와 스팸메일이라고 할 수 있습니다. 회원으로 가입되어 있는 사이트 이외의 곳에서 이러한 전화 또는 메일이 온 다는 것은 저의 개인정보가 수집된 목적 이외의 용도로 사용하고 있다는 증거입니다.

2. SK텔레콤의 경우 현존하는 물리적, 기술적인 보호 대책들은 대부분 갖추고 있기 때문에 외부 자에 의한 위험성은 국내외적으로 비교해봤을 때 매우 적다고 말씀드릴 수 있습니다.
그러나 결국 이 모든 것이 사람이 하는 일이기 때문에 건물의 물리적인 보호대책, 시스템적인 보안 솔루션 설치, 그리고 제도적인 장치를 아무리 잘 구비했다 하더라도 지키고 따라야 하는 사람의 정보보안 마인드가 갖춰져 있지 않다면 투자비용 대비 보안성을 그리 높지 못합니다.
그래서 SK텔렘콤에서는 이러한 기본적인 보호대책 이외에 구성원의 보안마인드를 강화하기 위한 캠페인 프로그램과 교육을 지속적으로 추진하고 있습니다.

3. 사이버 테러라고 생각합니다. 우리가 현실세계에서 발생하는 인권에 대한 유린은 사회적으로 이슈화 시키고 법으로 보호하고 있지만 사이버 세계에서 벌어지는 일들은 아직 그렇게 심각하게 받아들이고 있지 못한 것이 사실입니다. 사람들의 주 생활무대가 현실세계에서 사이버세계로 점점 더 옮겨가는 시점에서 앞으로도 이러한 일들이 계속적으로 발생할 것이라고 생각하고 저 또한 그 문제에 자유로울 수 없다고 생각합니다.
인터넷이라는 문명의 이기는 시공을 초월해서 사람들끼리의 커뮤니케이션 범위를 무한정 넓혀주었지만 사람들에게 올바른 문화로 정착, 발전하기 위해서는 더욱더 많은 시간과 노력이 필요할 것이라 생각합니다.

4. 우선 사회 현실을 제대로 반영하고 있지 못하는 법제도적인 측면을 보완해야 합니다. 개인의 프라이버시를 보호하지 못하는 법이 개정되지 못한다면 더 많은 피해자가 발생하더라도 구제할 방법뿐만이 아니라 그 발생 빈도수도 훨씬 늘어갈 것입니다.
정부에서는 현실에 맞는 법을 제정하고 개인정보를 이용하여 사업하는 사업자들은 만들어진 법을 잘 지켜 개인정보도 생성돼 수집되고 활용되어 폐기되는 순간까지 잘 보호해야하고 개인정보의 주체이자 객체인 국민 각자는 자신의 가장 중요한 자산인 개인정보를 소중히 보호하고 제공할 수 있도록 의식수준을 높여야 할 것입니다.

5. 저와 우리 가족의 모든 기록이 포함된 개인정보라 할 수 있습니다.

나진욱 대리

1. 요즘은 누구나 겪는 평범한(?) 일이겠으나, 인터넷 포털 사이트 등에 회원 가입 시 사용한 e-mail 주소 등이 무분별하게 유통, 유출되어 본인의 의사와는 무관하게 과도한 스팸 메일 및광고 등을 수신하게 되는 사례가 많습니다. 바쁜 업무에 스팸까지 확인하느라 많은 시간을 허비해야 한다면 이는 심각한 피해라 할 수 있겠습니다.

2. 기술적 보안을 위한 시스템들(방화벽, 침입탐지시스템, 바이러스 백신 등)은 기 도입된 것들도 많고, 앞으로 도입 계획에 있는 것들도 많은 것으로 알고 있으며 그 성능 또한 우수합니다. 하지만 아무리 기술적으로 보안을 강화한다고 하여도, 이를 운영하는 담당 인력이나 나머지 임직원들의 보안 마인드가 제고되지 않는다면 보안시스템은 그 고유의 기능마저도 못하게 될 수 있다고 봅니다.

3. 보안의식의 결여가 불러올 수 있는 피해의 단적인 예라고 볼 수 있습니다. 어떻게 보면 X 파일의 생성 자체가 문제도 될 수 있겠지만, 회사 입장에서 필요한 주요 업무 문서로 간주했을 때 이를 의도적이던 비의도적이던 회사 밖으로 무단 유출함으로써 그 문서 상의 주요 개인정보가 유출되어 개인들이 입는 피해는 물론, 회사의 존폐 위기까지 불러올 수 있는 유무형의 타격은 실로 엄청나다고 볼 수 있습니다.

4. 정보보호에 있어 선진국의 사례와 같이 법제도적 제재가 지금 우리의 현실보다는 한층 더 강화되어야 보며, 근본적으로는 모든 사람들의 정보보안 의식수준 향상을 꾀할 수 있는 보다 적극적이고 효과적인 보안교육 및 홍보 방안이 국가적인 차원에서 마련되어 시행되어야 한다고 생각합니다.

5. 지극히 사적인 개인정보라 절대 공개할 수 가 없습니다. 흔히들 말하는, 무덤까지 갖고 가야 하는 얘기겠지요?
질문과는 상관없을 수 있겠으나, 회사에서 임직원 보안의식 강화를 위한 홍보 차원에서 만든 표어가 있습니다. 보안 관련 저널을 통해 "Security is Everybody's Business."라는 문구를 보게 되었고, 우리 말로는, 의역하여 "정보보호는 습관입니다" 라고 함께 표현한 바 있습니다. 정말이지 정보보호는 보안 담당자만의 몫이 아니라 우리 모두의 몫이라고 생각합니다.

백승정 과장
1. 큰 피해는 아니지만, 가끔 모바일을 통해 들어오는 채팅 신청은 정말 내 정보가 어딘가에 돌아다니고 있는 것은 아닌가 걱정하게 합니다. 고객센터에 전화해도 제가 그런 서비스에 가입한 적 없다고 하고, 그런데 제가 사는 지역 정보까지 물고 들어오는 채팅 신청은 정말 불쾌하고 불안하죠.

2. 2년 전쯤만 해도 헬스클럽 직원이나, 보험 회사 직원이 난데없이 방문을 해 놀라곤 했는데, 요즘엔 그런 일은 없는 듯하다. 그래도 누군가의 컴퓨터에 잠금 장치가 되어 있지 않을 경우 별 어려움 없이 그 컴퓨터에 접속하고, 메신저라도 자동으로 로긴이 된다면 장난을 칠 수 도 있고. 이런 부분은 각별히 신경을 써서 속히 해결책을 찾아야 한다고 생각합니다.

3. 그런 파일을 만든 것 자체가 인권 모독이라고 생각되며, 한 개인에게 치명적인 상처가 될 수 있는 그런 파일을 어느 한 회사의 직원이 보유하고 아무런 걱정이나 거리낌 없이 친구에게 보내주었다는 것은 회사나 개인이나 보안적인 측면에서 너무 무지한 것은 아닌가 생각됩니다.

4. 유출이라는 문제가 일어나기 전에 먼저 개인이나 회사가 '보안'이 얼마나 중요한 지 함께 공유하고 공감해야 할 것이며, 피해를 줄이기 위해 유출 가능한 방법이나 사례를 공유하고 그런 사례들에 대해서 숙지, 나는 그런 피해를 입지 않도록 방심하지 말고 신경을 써야겠죠. 기술적인 방법은 전문 업체나 전문가에게 좀 맡기고.

5. 글쎄요,… 보안 유지라… 몸무게 정도??? 그렇게 꼭 지켜져야 하는 비밀은 없는 듯하다… 지금 진행하고 있는 프로젝트가 좀 중요해서 지금은 보안유지가 좀 필요하죠??? ^^;;