부질없는 질문 "우린 괜찮지?"

[2014 기업 내부정보유출과 전쟁] <3> 이동범 지니네트웍스 대표 기고문

이동범 지니네트웍스 대표

보안은 안전한 상태를 유지하는 것을 목적으로 하지만, 사고가 발생했을 때야 가장 큰 관심을 갖는 모순을 안고 있다. 기업에는 지속적인 투자를, 개인에게는 보안의식의 강화를 강조하며 예방을 해야함에도 그렇지 않은 현실이다.

2014년은 국내 카드사들의 대량 개인정보유출 사건에 이어 통신사, 은행, 정부기관 등에서 해킹으로 인한 보안사고가 발생하면서 보안이 주목받았다.

최근 발생하는 보안사고의 원인은 복잡성 때문이다. 기업들의 IT기술 의존도는 매우 높아졌다. 특히, 기업의 네트워크는 스마트폰, 무선네트워크 등의 사용 확대로 관리 포인트가 더욱 복잡해지고 있다. 이 관리 포인트에 적절히 대응하지 못했기 때문에 대형 사고가 발생하는 것이다.

공격자의 패턴도 변화해 실력을 과시하는 수준에서 벗어나, 금전적 이익을 목표를 정하고 지속적으로 정교한 공격하는 형태로 진화하고 있다. 이러한 지능화된 공격은 완벽하게 막기 힘들다. 어제 완벽했다고 생각했던 방패가 하루 아침에 구멍이 날 수 있는 분야가 보안이고 그래서 쉽지 않은 분야이다.

게다가 대부분의 경영자는 보안에 대한 투자를 아까운 비용이나 마지못해 투자하는 비용으로 인식하고 있고, IT보안은 일부 조직 및 보안관리자가 전적으로 책임지는 것으로 여기고 있다. 주변에 "우리회사는 보안에 별로 투자를 하지 않았는데, 큰 보안 사고가 나지 않았다"고 자랑하는 분들을 볼 수 있다. 보안 사고는 일반 사고와는 다르게 사고가 발생해도 피해를 입은 기업이 발생 사실을 인지 못할 수 있다. 피해 사실을 인지하기 위해서는 보안인력과 장비가 있어야 불법적인 사건이 일어났는지를 확인할 수 있는 것이다.

그렇기 때문에 사고가 발생하지 않았다고 자랑할 것이 아니라, 사고에 대해 둔감한 것이 아닌지 내부 프로세스 점검이 필요하다. 실무 책임자를 불러서, "우리회사 보안은 잘되지?"라고 묻는 것은 별로 도움이 되지 않는다. 경영자들이 지속적으로 관리하고 직관을 가질 수 있는 '수치와 데이터'를 요구하는 것이 바람직하다. 측정되지 않으면 관리할 수 없다.

경영자가 관심을 가져야 하는 보안관리 분야도 마찬가지이다. 기업 내 일어난 내부, 외부의 해킹 시도와 결과를 묻는다거나, 직원들의 보안 수준은 어떤지, 보안규정의 준수율 등을 묻는 것이 바람직하다. 보안관리가 체계적으로 잘 운영되고 있는 조직이라면 이러한 결과들이 수치화돼 보고서가 작성될 것이다. 그렇지 못한 조직이라면 내부의 사정과 환경 원인에 대해 분석하고 필요한 인력과 투자를 시행하는 것이 필요하다.


가장 중요한 부분은 기업의 보안체계를 확립하고 지속적으로 운영 관리하는 것이다. 이는 경영자가 보안을 새로운 관리영역으로 인식하고 장기적인 지원을 해야만 한다. 경영자에서 일반 사원까지 보안의식이 높고, 보안 관리를 지속적으로 수행하는 조직은 미래의 위험을 크게 줄일 수 있다