로그가 없는 유출: 스마트폰 촬영 사고가 뒤늦게 드러나는 이유
보안 사고 조사는 대개 로그에서 시작됩니다. 누가 어떤 파일을 내려받았는지, 어디로 전송했는지, 어떤 프로세스가 실행됐는지 확인하며 사고 경위를 맞춰 갑니다. 그런데 스마트폰으로 모니터 화면을 촬영한 사고는 출발점부터 다릅니다. 확인해야 할 로그가 애초에 남지 않는 경우가 많습니다.
탐지를 피하기 위해 화면을 촬영한 사례
2026년 2월, 미국 법무부는 전 Google 엔지니어를 포함한 실리콘밸리 엔지니어 3명을 영업비밀 절취 혐의로 기소했습니다. 기소장에 따르면 이들은 Google 및 다른 기술기업의 프로세서 보안, 암호화, 모바일 컴퓨팅 관련 기밀 정보를 무단으로 반출한 혐의를 받았습니다.
주목할 부분은 유출 방식입니다. 법무부는 피의자들이 탐지를 피하기 위해 전체 문서를 외부 플랫폼으로 전송하는 대신, 문서 내용이 표시된 화면을 직접 촬영한 사례를 언급했습니다. Google 내부 보안 시스템이 일부 활동을 감지해 접근 권한을 회수한 이후에도, 수개월간 화면을 촬영했다는 정황이 기소장에 포함됐습니다.
이 사례가 알려주는 건 단순히 "스마트폰으로 화면을 찍었다"는 사실이 아닙니다. 공격자는 보안 시스템이 관측하는 경로와 관측하지 못하는 경로를 구분해 행동했다는 점이 핵심입니다. 파일 다운로드, 클라우드 업로드, 메신저 전송은 탐지될 수 있습니다. 반면 화면에 표시된 정보를 카메라로 촬영하면 기존 로그 체계 바깥으로 빠져나갑니다.
DLP가 놓치는 것
DLP(Data Loss Prevention)는 민감 데이터가 허가되지 않은 경로로 이동할 때를 탐지합니다. 이메일 첨부, 클라우드 업로드, USB 복사, 스크린샷 API 호출, 클립보드 복사 같은 이벤트가 주요 감시 대상입니다. 스마트폰 촬영은 이 전제 자체를 벗어납니다.
직원이 고객 정보 화면을 열고 개인 스마트폰으로 촬영한다고 생각해 보면, 회사 PC에서는 파일이 복사되지 않고, 네트워크 트래픽도 없으며, USB도 연결되지 않습니다. 운영체제의 스크린샷 API가 호출되지 않고, 클립보드에도 아무것도 남지 않습니다. DLP 입장에서는 아무 이상이 없는 상황처럼 보입니다. 실제로는 화면의 정보가 스마트폰으로 빠져나갔지만요.
EDR과 SIEM도 다르지 않습니다. EDR은 엔드포인트 내부 행위를 감시하고, SIEM은 여러 시스템의 로그를 모아 분석합니다. 두 도구 모두 디지털 흔적을 기반으로 합니다. 스마트폰 촬영은 회사 PC 외부에서 벌어지는 물리적 행위입니다. 개인 스마트폰이 회사 관리 대상이 아니라면 EDR은 카메라 앱 실행 여부를 알 수 없고, SIEM은 수집할 로그가 없습니다. 촬영된 이미지가 나중에 개인 셀룰러망이나 가정용 Wi-Fi로 전송되면 회사 네트워크에는 끝까지 흔적이 남지 않을 수 있습니다.
사고가 뒤늦게 드러나는 방식
그렇다면 이런 사고는 어떻게 발각될까요? 보안팀이 먼저 탐지하는 경우는 드뭅니다.
가장 흔한 경로는 외부에서 유출본이 발견되는 것입니다. 경쟁사 자료, 온라인 게시물, 다크웹, 수사 과정에서 확보된 휴대전화 이미지를 통해 뒤늦게 알게 됩니다. 이미 정보가 바깥으로 나간 이후입니다.
퇴직자 조사를 통해 단서가 나오기도 합니다. 퇴직 예정자나 전직자의 개인 기기, 클라우드 계정을 살펴보다가 화면 촬영 이미지가 발견되는 식입니다. 물론 사후 조사입니다. 촬영 당시에는 아무 알림도 없었던 것이죠.
동료 제보에 의존하는 경우도 있습니다. 다만 동료의 보안 의식과 신고 의지에 달려 있는 방식이라 일관성이 없습니다. 관리자가 모든 화면을 볼 수 없는 콜센터, R&D 구역, 재택근무 환경에서는 특히 취약합니다.
심한 경우에는 수사기관 연락을 통해 처음 인지하기도 합니다. 압수수색이나 피의자 휴대전화 포렌식 결과를 전달받은 기업이 "언제, 어디서, 어떤 화면이 촬영됐는지"를 자체 로그만으로 입증하기 어려운 상황에 놓일 수 있습니다.
"차단"보다 먼저 — "이벤트화"
화면 보안 이야기가 나오면 촬영 시도 순간에 화면을 가리거나 잠그는 기능부터 떠올리기 쉽습니다. 그것도 중요하지만, 보안 운영 관점에서는 그 앞 단계가 더 근본적입니다. 의심 행위를 이벤트화하는 것입니다.
기존 DLP가 파일 이동을 이벤트로 남기듯, 화면 보안은 화면 앞에서 벌어지는 위험 행위를 이벤트로 기록해야 합니다. 어느 사용자의 PC에서, 언제, 어떤 유형의 행위가 감지됐는지. 반복 시도인지 단발성 오탐인지 판단할 근거는 있는지. 사후 감사와 내부 조사에 실제로 활용할 수 있는 기록이 남아야 합니다. 그래야 보안팀이 단순 의심이 아니라 근거를 가지고 대응할 수 있습니다.
워터마크만으로는 부족하다
화면 워터마크는 억제력이나 사후 추적에 도움이 됩니다. 유출된 이미지에 사용자 정보, 기기 정보, 시각 정보가 남아 있다면 책임 소재를 파악하기 쉬워지는 건 맞습니다. 다만 워터마크에는 구조적인 한계가 있습니다.
유출본을 확보해야만 추적이 가능하고, 이미지가 바깥으로 나갔지만 기업이 해당 이미지를 확보하지 못하면 워터마크는 의미가 없습니다. 또 워터마크는 촬영 순간의 정보 노출 자체를 막지 못합니다. 고객 개인정보나 소스 코드가 이미 촬영된 뒤라면 사후 추적은 피해 확산을 줄이는 보조 수단일 뿐입니다. 의도를 가진 내부자는 화면 일부만 촬영하거나 워터마크 영역을 피하는 방식으로 우회할 수도 있습니다.
실시간 탐지 없이 사후 추적만으로는 한계가 있습니다.
감사 체계를 갖출 때 놓치기 쉬운 것들
기술만 도입한다고 끝이 아닙니다. 보안팀, 개인정보 담당자, 현업 관리자가 같은 기준으로 운영할 수 있는 정책이 함께 있어야 합니다.
이벤트 이미지 보안은 실수하기 쉬운 부분입니다. 의심 이벤트 발생 시 화면 이미지나 웹캠 이미지가 함께 남을 수 있는데, 이 자료를 단순히 관리자 대시보드에 노출하면 또 다른 정보 노출 경로가 됩니다. 이미지 열람은 사유, 승인, 열람자, 열람 시간을 남기는 방식으로 제한해야 하고, 열람 자체도 감사 이벤트로 기록되어야 합니다.
정책 세분화도 현실적으로 중요합니다. 모든 의심 행위를 같은 강도로 관리하면 운영 피로도가 커집니다. R&D, 재무, 인사, 고객지원 부서는 일반 사무 부서보다 높은 기준을 적용하고, 퇴직 예정자나 외주 인력처럼 위험도가 높아지는 구간에는 알림 기준을 일시적으로 강화하는 방식이 현실에 맞습니다.
직원 고지는 신뢰와 직결됩니다. 카메라 기반 보안 기술이 무엇을 감지하고, 어떤 데이터가 어디에 저장되며, 누가 접근할 수 있는지 명확히 고지해야 합니다. 상시 감시가 아니라 특정 위험 행위 감지라는 원칙을 문서화하지 않으면 직원 반발로 이어질 수 있습니다.
조사 절차 역시 미리 정해야 합니다. 이벤트가 발생했을 때 누가 확인하고, 어떤 기준으로 오탐을 판단하며, 언제 보안 책임자나 현업 관리자에게 보고할지가 명확하지 않으면 기술 로그가 있어도 실제 대응으로 이어지지 않습니다.
기존 보안 체계와 연결해야 하는 이유
화면 보안은 독립된 도구보다 기존 보안 체계와 연결될 때 효과가 더 큽니다.
DLP는 파일과 데이터 이동을, EDR은 엔드포인트 내부 행위를, IAM은 계정과 권한을, SIEM은 통합 로그 기반의 이상 징후를 봅니다. 화면 보안은 이들이 보지 못하는 물리적 촬영 시도를 채웁니다.
예를 들어 퇴직 예정 직원이 민감 자료에 반복 접근하는 동시에 스마트폰 촬영 시도 이벤트가 발생했다면, 각각의 신호는 약하더라도 함께 보면 훨씬 높은 위험 신호입니다. 야간 근무 중 고객 정보 화면에서 반복 촬영 이벤트가 발생한 상담사도 마찬가지입니다. 계정, 권한, 데이터 접근, 화면 촬영 이벤트를 연결해서 볼 때 내부자 위협 대응의 정확도가 높아집니다.
스마트폰 촬영 유출은 새로운 공격 기법이 아닙니다. 오래전부터 있던 물리적 행동입니다. 달라진 건 환경입니다. 민감 정보가 클라우드, SaaS, 원격근무, 콜센터, R&D 시스템의 화면 위에 더 자주 표시되면서 같은 행동의 위험도가 커졌습니다.
기존 보안 도구는 디지털 흔적을 잘 봅니다. 화면 앞에서 벌어지는 촬영 행위는 디지털 흔적을 거의 남기지 않습니다. 많은 촬영 유출 사고가 보안팀의 탐지보다 외부 제보, 수사, 퇴직자 조사, 유출본 발견을 통해 뒤늦게 드러나는 건 이 때문입니다.
이 로그 없는 구간을 보안 운영 안으로 가져오는 것 — 그게 화면 보안이 해야 할 일입니다.
MonitorDog이 실제 업무 환경에서 스마트폰 촬영 시도를 어떻게 탐지하고 보안 이벤트로 기록하는지 확인하고 싶다면 무료 데모를 신청해 보시기 바랍니다.
참고 자료
- U.S. Department of Justice, "Silicon Valley Engineers Charged With Stealing Trade Secrets From Leading Tech Companies And Transferring Confidential Data To Unauthorized Locations, Including Iran" (2026.02.19): https://www.justice.gov/usao-ndca/pr/silicon-valley-engineers-charged-stealing-trade-secrets-leading-tech-companies-and
- SC Media, "Your DLP can't stop a smartphone: The data-leak crisis no one talks about" (2026.03.23): https://www.scworld.com/resource/your-dlp-cant-stop-a-smartphone-the-data-leak-crisis-no-one-talks-about
