[김관용기자] 개인정보 유출 사고 방지 대책으로 가상화 기술을 이용한 '데스크톱 가상화(VDI)'가 주목받고 있다. IT전문가들은 방화벽 내에 데스크톱 가상화를 구축해 데이터를 중앙에서 통제해야 고객정보를 안전하게 관리할 수 있다고 지적한다.
특히 1억 건 이상의 고객정보를 유출한 카드사 사고에 이어 KT에서도 1천200만 명의 개인정보 해킹 사태가 발생하자 가상화가 더욱 필요한 것 아니냐는 의견이 이어지고 있다.
KT 고객정보 유출 건은 용역 직원이 고객정보를 빼돌렸던 카드사 개인정보 유출 사고와는 달리 홈페이지 해킹을 통해 이뤄졌다. 해커는 인터넷상에 배포돼 있는 '파로스 프로그램'을 이용해 KT 홈페이지에 로그인 한 후 자신이 개발한 신종 해킹 프로그램을 이용해 고객정보를 빼냈다.
이용대금 조회란에 고객 고유숫자 9자리를 무작위로 자동 입력시키는 방식으로 고객의 고유번호를 알아낸 뒤 주민번호 등의 개인정보를 탈취한 것이다. KT의 고객정보 유출 사태의 직접적인 원인은 고객센터 웹페이지의 허술한 본인인증 절차 때문이었다.
전문가들은 그러나 고객 데이터가 외부 접속에 의해서도 가져갈 수 있도록 돼 있는 구조적인 문제가 대규모의 개인정보 유출 사고를 일으켰다고 지적한다. 고객정보를 열람만 할 수 있도록 하는 기술적 조치가 필요하다는 것이다.
VM웨어 코리아 이효 이사는 "기업 외부 시스템에 해당되는 고객센터 웹페이지에서 고객 DB 열람권한을 부여하려면 대량의 데이터를 탈취할 수 없도록 하는 조치가 필요하다"면서 "컴퓨터 화면에서 해당 정보의 이미지만을 볼 수 있도록 하는 데스크톱 가상화 시스템 구축이 해법일 수 있다"고 말했다.
데스크톱 가상화는 원래 PC의 운영체제(OS)를 가상화시켜 소비자의 책상 위에서 PC 없이도 PC를 사용하는 것처럼 작업 환경을 지원한다는 개념이었다. 하지만 최근에는 보안 강화 대책으로서 데스크톱 가상화가 주목받고 있다.
데스크톱 가상화는 정보자원의 중앙 관리를 통해 보안성 제고와 접근 권한 관리 등이 가능하다. 정보자원의 효율적 관리는 물론 기업 데이터의 외부 유출을 방지할 수 있는 솔루션인 셈이다.
데스크톱 가상화를 구축하면 이번 KT 사례에서처럼 고객센터 웹페이지에서 고객 정보를 탈취하기가 쉽지 않다. 데스크톱 가상화 환경에서 제공되는 정보는 원격에서 뿌려지는 화면이 전부다. 외부망에 연결돼 있는 PC에서 정보를 가져가고 이를 가공할 수 없다.
만일 해당 정보를 가져가고 싶다면 PC 화면에 떠 있는 데이터를 일일이 카메라로 찍어서 저장해야 한다. 대량의 개인정보를 탈취하기는 사실상 불가능한 구조인 셈이다.
용역 직원이 고객 정보를 외부로 빼돌린 카드사 사태의 경우에도 데스크톱 가상화가 해법이 될 수 있다. 카드사 정보유출 사태는 전산 프로그램 개발 용역을 수행하던 직원이 고객의 인적 정보 1억400만여 건을 불법 수집하고 유출한 것이었다.
굿모닝아이텍 김영일 본부장은 "데스크톱 가상화 환경에서는 기업의 모든 정보가 중앙 서버에서 관리되고 내부망과 외부망이 분리되기 때문에 내부 직원들이나 외부 용역이 데이터를 취득하는 것이 원천적으로 불가능하다"면서 "해킹에 노출될 위험도 없고 외부로 정보가 유출될 염려도 없다"고 말했다.
최백준 틸론 대표는 "최근 보안 대책으로 기업망과 외부망을 분리하는 보안 대책이 주목받고 있지만 단순히 망을 분리하는 것만으로는 정보 유출을 막을 수 없다"면서 "가상화가 대규모의 개인정보 유출을 막는 현실적인 대안"이라고 강조했다.
김관용기자 kky1441@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기