보안 지식

재택근무가 보편화되면서, 기업 보안팀이 통제할 수 없는 공간이 급격히 늘어났습니다. 직원의 집, 카페, 공유 오피스 — 그 어느 곳도 사무실만큼의 물리적 보안을 보장하지 않습니다. 그리고 그 공간의 한가운데에, 회사 기밀이 담긴 모니터 화면이 켜져 있습니다.

직원이 모니터 앞에서 열심히 일하는 동안, 누군가 그 화면을 스마트폰으로 조용히 촬영하고 있다면 어떻게 될까요. 방화벽도, 암호화도 이 위협 앞에선 무력합니다. 이것이 바로 비주얼 해킹(Visual Hacking) 입니다.

콜센터 상담사가 고객의 계좌번호, 주민등록번호, 대출 내역을 화면에 띄운 채 전화를 받고 있습니다. 그 화면 옆에 스마트폰이 있습니다. 이 상황에서 기존 DLP 솔루션은 아무런 경고도 보내지 않습니다. 금융권과 콜센터는 고객 개인정보를 가장 집약적으로 다루는 환경이면서, 역설적으로 화면 보안 측면에서는 가장 취약한 구조를 갖고 있습니다.

개인정보보호법 위반으로 과징금을 부과받는 기업 중 상당수는 고의로 정보를 유출한 것이 아닙니다. 화면에 표시된 개인정보가 제3자에게 노출되는 것을 막을 기술적 조치를 갖추지 않았다는 이유로 제재를 받습니다. 법이 요구하는 것은 결과뿐 아니라 과정이며, 그 과정에는 화면 보안이 포함됩니다.

보안 사고는 외부 공격자만의 이야기가 아닙니다. IBM과 Ponemon Institute의 조사에 따르면 내부자 관련 사고의 평균 비용은 건당 1,600만 달러를 넘으며, 사고의 절반 이상이 악의 없는 부주의에서 비롯됩니다. CISO에게 내부자 위협은 가장 다루기 어려운 영역 중 하나입니다. 대응책을 너무 강하게 적용하면 업무 효율이 떨어지고, 느슨하게 두면 언제 어디서 유출이 발생할지 모릅니다.

기업의 정보 유출 방어 체계를 이야기할 때, DLP(Data Loss Prevention)는 빠지지 않는 키워드입니다. 그러나 최근 들어 "DLP를 도입했는데 유출이 발생했다"는 사례가 꾸준히 보고되고 있습니다. 이 글에서는 기존 DLP가 실제로 무엇을 막는지, 그리고 어디서부터 사각지대가 시작되는지를 기술적으로 살펴봅니다.

DLP(Data Loss Prevention) 솔루션을 도입하고, USB를 차단하고, 이메일 첨부 파일을 감시해도 막을 수 없는 정보 유출 경로가 있습니다. 직원의 손에 들린 스마트폰으로 모니터를 촬영하는 행위 — 이른바 비주얼 해킹(Visual Hacking)입니다. 디지털 경로를 우회하는 이 방식은 흔적을 남기지 않고, 피해 사실조차 인지하기 어렵습니다.