GS칼텍스 고객정보 유출 사건의 증거물.

'당신 회사는 많은 고객정보를 갖고 있나?’ ‘그 고객정보는 비즈니스에 유용한가?’많은 최고경영자(CEO)는 ‘그렇다’고 대답할 것이다. 다른 질문을 해보자. ‘당신 회사의 고객정보는 잘 관리되고 있는가?’ 대다수 CEO는 ‘그렇다’고 알고 있을 것이다. 또 다른 질문을 던져보자.

‘당신 회사 직원들은 의심의 여지 없이 완벽하거나, 철저히 윤리적이며, 회사에 충성하고, 사적으로 풍요로운가?’자신 있게 답할 수 없는 CEO라면, 당장 당신 회사의 고객정보가 어떻게 관리되고 있는지 파악해야 한다. 낭패를 면하려면 말이다. 올해 국내에는 크고 작은 고객정보 유출 사건이 끊이지 않았다. 800만~1100만 명의 고객정보가 한꺼번에 유출되는 대형 사건이 특히 많았다.

외부 해커에 의한 해킹 사건도 있었지만, 내부 직원의 실수나 악의적 범죄행위에 따른 유출도 있었다. 지난 9월 초 터진, GS칼텍스 고객정보 유출(1100만 명) 사건이 대표적이다. 돈을 노린 직원이 고객 데이터베이스에 접근해 한 달에 걸쳐 복사해 간 원시적인 범죄였다. 엑셀파일은 외부 저장장치(USB)에 담겨 외부로 유출됐다.

회사로선 막을 도리가 없었다. 왜? 그런 일이 벌어지고 있는지 알 길이 없었기 때문이다. 현재 법원에는 GS칼텍스 피해고객의 집단소송이 이어지고 있다. 지난해 비슷한 고객정보 유출 사건이 터졌던 국민은행은 피해 고객 1인당 20만원을 지급하라는 법원 판결을 받았다. 소송비용이나 예상되는 피해 배상액은 사실 아무것도 아니다.

더 큰 피해는 이 회사가 오랜 시간 쌓아왔던 이미지에 큰 상처를 받았다는 점이다. 물론 고객정보 유출은 국내 기업만의 문제가 아니다. 최근 독일 도이치텔레콤은 “지난 2006년 자회사인 T-모바일 고객 1700만 명의 정보가 유출됐다”는 한 시사주간지의 폭로를 인정했다. 상황이 이렇다 보니, 보안시장에서는 외부 침입자(해커)에 대한 대응만큼, 내부 정보의 유출을 방지하는 것이 주요 이슈로 떠오른 상태다.

해킹에 의한 정보 유출은 ‘기업도 피해자’라는 인식 때문에 동정표라도 얻을 수 있지만, 직원의 실수이건 범죄행위이건 내부에서 고객정보가 새어 나간다면 돌아오는 건 ‘비난의 화살’과 ‘고소인으로 변한 소중한 고객’뿐이다. 만약 내부 고객정보가 직원 개인 PC로 다운로드되는 순간을 포착할 수 있다면? 직원 PC에서 USB로 일정량의 정보가 옮겨가는 것을 실시간 파악했다면? 정보 유출을 막을 수 있다. 대부분 기업 보안사건이 그렇듯, 사고가 난 후 후회는 너무 늦다.



포춘 500대 기업 25%가 ‘본투’ 사용

세계 보안시장 1위 업체인 시만텍의 ‘데이타 손실 방지(DLP:Data Loss Prevention)’는 그런 후회를 없게 하는 솔루션이다. 지난해 11월 DLP 전문업체인 본투사를 인수한 시만텍은 최근 국내에 ‘본투 DLP 솔루션’을 선보였다. 이 솔루션의 특징은 기업 서버나 스토리지(저장장치), 개인 단말기(데스크톱·노트북 등)에 걸쳐 데이터가 유출될 수 있는 모든 과정을 커버할 수 있다는 점이다.

윤광택 시만텍 부장은 “국내에서 발생했던 고객정보 유출 사건의 모든 유형을 막을 수 있는 제품”이라고 자신했다. 시만텍에 따르면 이 솔루션은 회사 내 네트워크에 떠다니는 데이터에 주민등록번호나 신용카드 정보가 담겨 있는지 확인할 수 있다. 당연히 고객 DB에 접근이 허용되지 않은 직원의 PC에 부적절하게 저장된 고객정보 데이터를 파악할 수도 있다.

콜센터 직원이 룰을 어기고 신용카드 정보를 전송하는 상황이나, 인사부 직원이 주민등록번호 같은 개인 신상이 담긴 데이터를 외부로 전송하는 것도 막을 수 있다. 그뿐만 아니라 경쟁사로 전송되는 모든 데이터를 모니터링해 회사 기밀이 노출되지 않도록 할 수 있고, 직원이 실수로 암호화하지 않은 기밀 e-메일 역시 자동으로 암호화 처리할 수 있는 기능도 제공한다.

내부 인력이 제품 설계문서나 고객정보 등을 USB 등에 복사하는 행위, 영업부 직원이 협력사 등에 내부 제품가격 리스트를 실수로 올리는 상황 등도 방지할 수 있다. 아웃소싱 인력이 권한 밖의 데이터를 자신의 PC에 저장했는지 여부도 확인된다. GS칼텍스 사건의 경우처럼 내부 직원이 고객정보 DB에 접속해 조금씩 복사해 가는 행위도 실시간으로 파악할 수 있다.

시만텍 측은 “DLP는 고객 또는 직원 기록 등의 개인정보, 재무제표·마케팅 계획과 같은 기업정보, 제품계획·소스코드 같은 지적 재산을 포함하는 기밀 정보가 밖으로 유출되는 것을 방지하는 솔루션”이라고 강조했다. 이와 함께 “시만텍 DLP의 또 다른 특징은 솔루션을 구축한 후 얼마나 유출방지 효과가 있었는지 가시적으로 알 수 있다는 것”이라고 설명했다.

직원의 실수나 관행적으로 이뤄졌던 허술한 정보관리로, 회사 정보가 어느 순간 외부로 빠져나갈 수 있었는지, 몇 건이나 되는지를 보여줌으로써 향후 직원 재교육에도 활용할 수 있다는 것이다. 국내 기업들은 그동안 멤버십 제도 및 고객정보 관리를 강화하면서 정보를 수집해 왔다.

하지만 잇따른 유출 사고가 사회 문제로까지 확대되면서 고객들은 기업에 자신의 정보를 제공하는 것을 꺼리게 됐다. 그렇다면 기업의 선택은 두 가지다. 하나는 아예 고객의 개인정보를 요구하지 않는 것이다(일부 국가는 기업이 과도한 고객정보를 수집하는 것 자체를 법률로 막으려는 움직임도 있다).

또 하나는 기업이 고객정보를 요구하면서 정보 유출 위험이 없다는 신뢰를 주는 것이다. 기업정보 유출은 전 세계적으로 심각한 문제다. 글로벌 기업들은 이미 3~4년 전부터 DLP 솔루션을 도입하는 등 내부 보안에 신경 써 왔다. 시만텍에 따르면 포춘 500대 기업 중 25%가 ‘본투 DLP’를 사용하고 있다.

시만텍이 인수한 ‘본투 솔루션’을 가장 먼저 구축했던 한 기업은 4년 반째 이 시스템을 운용 중이다. 특히 DLP는 기업의 정보 자산을 다룬다는 점에서 IT 부서뿐만 아니라 고객정보를 관리하는 팀, 기업 기밀정보를 관리하는 부서, 아웃소싱 관리팀, 인사부서 등 전사적인 차원에서 관심을 가질 만한 솔루션이다.