#한 중소기업은 부적절한 정보유출로 소동을 겪었다. 메신저로 잘못 보낸 파일에 직원들의 급여 데이터가 들어 있었던 것. 해당 파일은 직장인 커뮤니티에서 ‘A 기업 연봉표’라는 제목으로 유통되며 회사 이미지에도 큰 타격을 입었다. 누가 최초 유출자인지 찾아내기 어려운 게 문제를 더 키웠다. 하루에도 수백번 이뤄지는 파일 전송 작업을 일일이 들여다볼 수도 없는 노릇이라 재발 방지책도 요원하다.
종이 문서를 우편으로 보내던 과거를 지나 이메일이나 메신저로 첨부파일 하나만 보내면 되는 시대. 몸의 불편함은 사라졌지만 되레 그 편리함 탓에 잘못된 정보 유출의 가능성도 커졌다.
어떤 직원이 카카오톡으로 무슨 파일을 보내는지, 이메일 속에 담긴 파일이 누구의 PC에서 나온 것인지, 첨부파일 원본이 언제 어디에서 만들어져 어디로 갔는지 등 보안 담당자가 없는 중소기업 입장에서는 확인하기가 여간 막막한 일이 아니다.
보안기업 시옷은 이 점에 주목했다. 모빌리티 보안 사업에 집중해왔던 시옷은 23일 능동형 정보유출감지 솔루션 ‘위즐(Weasel)’을 발표하며 이같은 중소기업의 애로사항을 해결하겠다고 밝혔다.
시옷은 이날 기자간담회를 통해 모빌리티 보안 사업에 이어 종합 보안 시장으로의 진출을 공개적으로 선언했다.
정보유출감지(DLD) 솔루션인 위즐은 기존의 정보유출방지(DLP) 솔루션의 단점을 보완한다. DLP는 웹사이트 또는 웹브라우저 사용을 막거나 클라우드로의 파일 업로드를 금지하는 등 특정 유출 루트를 차단하는데 초점을 맞춘다.
반면 DLD는 유출 문제를 일으킬 수 있는 모든 데이터의 이동을 기록하고 증거를 수집하는 솔루션이다. 데이터 전송 자체는 자유롭게 허용하지만, 추후 문제가 발생했을 경우 원인을 파악할 수 있도록 지원한다.
기업 임직원이 내부 문서나 데이터를 외부에 전송했을 때 위즐이 유출 경로를 모두 메타데이터 형식으로 기록한다. 서비스형 소프트웨어(SaaS)나 온프레미스 형태 모두 이용 가능하고, CPU와 메모리 사용량이 적어 단말에 부담을 주지 않는다는 게 시옷의 설명이다.
윤덕상 시옷 부사장은 “유출 사고가 발생했을 때 법적 책임 소재를 가릴 수 있도록 돕는 솔루션”이라며 “기업 차원에서 자발적 통제를 유도할 수 있다”고 말했다. 이어 “시스템 사용은 통제 없이 자유롭게 하는 대신에 책임이 필요하면 (수집한 증거에 따라) 책임지도록 하는 체계”라고 덧붙였다.
업무에 불편함을 주는 차단보다는 업무 각각의 기록을 남기는 데 집중함으로써 기업은 정보유출 사고 발생시 법적 대응을 위한 정보를 제공할 수 있다. 대시보드를 통해 이상징후가 포착되면 위험점수 형태로 현황을 파악할 수도 있다. 또 데이터 파일 전송 뿐만 아니라 챗GPT와 같은 생성AI 솔루션 사용 현황 등도 모두 기록해 클라우드 시대에 대비할 수 있도록 했다는 설명이다.
최근 경찰청이 발표한 정보 유출 현황에 따르면 올 상반기 기술유출 사고 총 47건 중 38건이 중소기업에서 발생했다. 주로 내부인의 소행인 것으로 밝혀졌다.
하지만 이와 같은 실정에도 인력과 비용 투자 여력이 높은 대기업과 달리 중소기업이나 스타트업 같이 규모가 작은 곳은 높은 운영 비용 문제로 대책 마련에 엄두를 내지 못하고 있다. 이에 시옷은 우선 중소기업을 중심으로 솔루션 보급에 힘주는 한편 향후 엔터프라이즈 기업군도 공략할 방침이다.
단 기업 임직원들의 심리적 저항은 넘어야 할 산이다. 회사가 업무 행위를 감시한다는 반발을 뚫어야 더 넓은 보급이 가능하다. 윤덕상 부사장은 “위즐은 유출 사고가 발생했을 대 활용할 법적 증거를 수집하기 위한 모니터링 솔루션”이라며 “기업 내부에서의 정보 전송이나 정상적인 업무 행위는 예외 처리가 가능하다”고 설명했다.
박현주 시옷 대표는 “위즐은 중소기업이 적은 비용으로도 정보 유출 피해를 최소화하고, 법적 증거를 남길 수 있는 실질적이고 경제적인 보안 솔루션”이라며 “모빌리티 보안 중심이었던 사업 모델 또한 이번 위즐 출시를 계기로 종합 보안 전문기업으로 변모시킬 것”이라고 강조했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
