GS칼텍스, 내부에 '보안'이 없다

GS칼텍스 고객정보 유출 사건이 '내부자 소행'으로 밝혀지면서, GS칼텍스 내부의 허술한 보안 정책이 도마 위에 오르고 있다.

주민등록번호·휴대전화번호 등 1천100만명에 이르는 개인정보가 내부 직원에 의해 외부로 노출됐지만, 회사측은 노출 여부조차 파악하지 못했던 것.

또 GS칼텍스 서버 위탁 업체인 넥스테이션 직원 C씨(28세)가 여러 차례에 걸쳐 고객테이터베이스(DB)에 접근해 고객 정보를 빼내갔지만, 이 같은 내부자 소행에 대한 보안 조치가 거의 전무한 것으로 나타났다.

8일 경찰청 사이버테러대응센터 수사1팀 안찬수 팀장은 "자회사 시스템 관리자인 C씨는 지난 7월 초부터 8월까지 한달동안 GS칼텍스 보너스카드 고객 DB서버에 접속했다"며 "USB 등 저장장치에 내려받은 형태가 아닌 파일 복사 명령어인 '컨트롤 C', '컨트롤 V'를 이용해 자료를 파일 형태로 만든 후 DVD에 담았다"고 말했다.

보안전문가에 따르면 컨트롤C와 V를 이용해 자료를 복사할 경우, 시스템에 로그 기록이 남지 않아 추적이 불가능한 것으로 알려졌다.

◆자회사 시스템관리자, 수시로 DB '들락날락'

피의자 C씨는 컨트롤 C, 컨트롤 V의 유출 방식으로는 1천만명이 넘는 고객정보를 한번에 담기 힘들다고 보고, 여러 차례에 걸쳐 DB에 접근했으며, DVD에 굽는 방식으로 외부로 유출한 것으로 조사됐다.

그만큼 GS칼텍스 내부의 보안 규정이 허술했던 셈이다.

실제 GS칼텍스는 회사내에 별도 보안전담조직이 없는 것으로 나타났다. IT기획담당부서가 보안관리를 겸임하고 있는 데다, 개인정보보호책임자(CSO)도 따로 없다.

또 고객의 개인정보를 각 사업 영역별 담당자가 각자 관리하고 있어, 마음만 먹으면 고객 정보를 언제든 유출할 수 있는 시스템인 것으로 나타났다.

GS칼텍스측은 "고객 DB 암호화 작업을 10월중 마무리할 계획이었다"면서 "이번 사건을 계기로 회사 전반의 보안 상태를 점검하고, 보안 USB 등을 도입해 이동식 매체를 이용한 정보 유출을 방지하겠다"고 말했다.

보안업체 닉스테크 함재춘 차장은 "IT업체 뿐만 아니라 고객 정보를 다루는 모든 기업은 고객 정보 관리의 중요성을 깨달아야 한다"며 "GS칼텍스 고객정보 DB에 접근권한이 해제돼 내부자에 의해 PC로 다운로드가 가능했더라도 통합PC보안 제품을 사용했더라면 온라인 또는 오프라인을 통한 유출을 사전에 차단할 수 있었을 것"이라고 말했다.

서소정기자 ssj6@inews24.com