CEO가 알아야 할 보안에 관한 불편한 진실 (1)

2011.06.10

  최근 국내외에서 발생한 보안 사고로 인해 위기감이 커지자 모 기업에서 1억 원이 넘는 비용을 들여 컨설팅을 받았다. 그 컨설팅 보고서에는 ‘패스워드는 영문자, 숫자, 특수문자를 반드시 섞어서 8자리 이상으로 설정하고 최소 3개월에 한 번은 바꾸십시오’라는 사항을 주요 대책으로 제시했다. 이 기업의 담당자는 분통을 터트렸다.

“이런 건 컨설팅이 아니라도 다 아는 사실 아닙니까? 이런 뻔한 소릴 듣자고 비싼 돈을 들여 컨설팅을 받겠어요?”

 최근 국내 대형 금융기관에서 보안 사고가 잇달아 터져 기업 보안 담당자들을 긴장케 하고 있다. 장애 복구까지 10여 일을 넘긴 기업의 IT담당 최고책임자는 사표를 제출하기까지 했다. 보안 사고가 났다고 해도 종래에는 IT 부서나 보안 부서에서 얼마간 시달리다 넘기면 그만이던 일이 이제는 대표이사를 비롯한 최고경영진, 나아가 기업과 비즈니스의 뿌리까지 흔들 수 있는 이슈가 되어 버린 것이다. 이런 상황에 대해 기업 내 반응은 어떨까?

 

한 CEO의 반응을 보자.

“도대체 이런 지경으로 사고가 난다는 것이 이해되지 않는다. 그 동안 매년 투자가 필요하다며 결재를 올리고 컨설팅을 받았던 건 뭔가? ISO 인증이라는 글로벌 인증도 받고 정부에서 하라는 안전진단 같은 것도 매년 받았지 않은가? IT 부서와 보안 부서들이 그 동안 속여 왔다고 밖에 생각되지 않는다. ”

경영진의 질타를 받는 IT와 보안 부서의 입장은 어떨까?

“가장 죽을 맛인 건 우리다. 장애가 발생하면 밤낮 없이 회사로 불려 들어오고 1년 내내 잘 관리하다가도 이렇게 사고 한 번 나면 죽일 놈 되는 것이 우리 팔자다. 그렇다고 회사에서 일하기나 편한가? 보안투자 하겠다고 품의를 올리면 투자효과를 계량적으로 제시하라고 한다. 보안투자가 돈을 버는 일이 아닌 다음에야 회사 내 투자순위에선 항상 밀리고 결국 축소되거나 없어져 버리기 일쑤다. 현업 부서들한테는 만날 업무 불편하게 한다고, 이런 저런 보안규정 때문에 일 더디게 만든다고 짜증내는 소리를 들어야 한다. 그저 맘 같아선 이 바닥을 당장이라도 떠나고 싶다.”

 

보안은 기업의 건강을 지키는 일이다.  기업의 생명을 좀 먹는 위험을 예방하고 감지하고 치유하는 일이다. 최근의 사고는 불행한 일이지만 '버는 일' 못지않게 '지키는 일'도 중요하다는 사실을 새삼 깨닫게 해주었다.

 

실제 한 언론사 조사 결과 보안 업무 종사자의 50% 가량이 이 분야를 떠나고 싶어 한다는 통계가 있다. 보안 담당자는 떠나고 싶어 하고 직원들은 불편해하고 경영진은 현실을 모르고 고객들은 잠재적인 피해자로 살아간다. 이것이 IT강국이라고 자부하는 대한민국 기업 보안의 현실이다. 가정이든 기업이든 한 조직에서 상황에 대한 인식이 서로 다르다면 그 일은 온전히 갈 수 없다. 기업은 고객에게 감추고 보안 부서는 경영진에게 감추고 현업 부서는 보안 부서에게 감추는 상황을 타개할 방법은 없는가. 어떻게 할 것인가? 무엇을 할 것인가?

1. 보안의 기본에 충실하라

1억 원이 넘는 비용을 들인 보안컨설팅 보고서에 ‘패스워드는 영문자, 숫자, 특수문자를 반드시 섞어서 8자리 이상으로 설정하고 최소 3개월에 한 번은 바꾸십시오’라는 사항이 주요 대책으로 제시됐다면 대부분 고객은 항의할 것이다.

“아니, 이런 건 컨설팅이 아니라도 다 아는 사실 아닙니까? 이런 뻔한 소릴 듣자고 비싼 돈을 들여 컨설팅을 받겠어요?”

그렇다면 묻고 싶다. 그 당연한 사항을 과연 모든 직원과 모든 시스템에서 100% 준수하고 있는지.

당나라 시인 백거이(白居易)와 선승인 조과선사(鳥菓禪師)의 유명한 일화가 있다.

백거이가 조과선사에게 ‘불교의 근본이 무엇입니까’라고 질문을 던졌다. 조과선사는 ‘나쁜 일 하지 말고 착한 일 하시오’라고 대답했다.  그 대답을 듣자 백거이는 ‘그건 세 살 먹은 어린애도 아는 것 아니냐?’라고 따졌다. 그러자 조과선사는 ‘세 살 먹은 아이도 알지만 팔십 먹은 노인도 지키기는 어렵다’고 했다.

이 일화에서 얘기하듯 기업 보안 역시 기본은 익히 알면서도 실천은 온전히 하지 않는 경우가 태반이다. 패스워드를 아무리 복잡하게 만들고 자주 변경한다 해도 눈에 뻔히 보이는 데 두면 무슨 소용이겠는가?

코미디 같은 얘기지만 대기업 CEO의 비서가 상사가 편리하게 이용할 수 있도록 임원정보시스템 로그인 계정과 패스워드를 커다랗게 인쇄해서 책상 유리판 밑에 끼워 둔 것을 본 적이 있다. 정보시스템 담당자들이 자주 바뀌는 패스워드를 잊을까봐 패스워드 목록을 문서로 만들어 공유하는 경우도 보았다. 설마 우리가 그 정도까진 아니지 싶겠지만 웹서비스용 DB접속 계정과 패스워드를 소스코드에 써놓고 메모장 프로그램으로 열어보기만 해도 DB접속 정보를 금방 알아 볼 수 있는 경우는 지금도 흔하다. 그 경우 해커가 웹서버에 일단 들어오기만 하면 회사 내 핵심정보가 다 들어있는 데이터베이스 정보에 접근하는 건 식은 죽 먹기와 같다.

1인1계정 원칙을 지키라는 권고도 마찬가지다. 프랜차이즈나 대리점을 방문해 보라. 그곳에는 본사와 연결된 전산시스템과 로그인 계정이 있지만 그 계정은 대부분 그곳에 근무하는 사람이면 다 알고 같이 쓰는 공용 계정과 다름없다. 직원 중 누가 몰래 정보를 빼냈다 하더라도 범인을 찾으려면 모두를 대상으로 조사해야 하고 그 만큼 시간이 걸릴 수밖에 없다.

몇 명 안 되는 곳에서도 그런데 하물며 본사 주요시스템의 관리자 계정을 여러 사람이 같이 쓴다면 어떨 것인가? 보안사고는 예방도 중요하지만 사고가 났을 때 빨리 수습하는 일도 그 못지 않다. 수습단계에서 우선 필요한 장치가 ‘책임추적성’이다. 내부직원 중 누군가가 사고의 범인이거나 범인에게 이용되었는데 사고 현장에 남긴 흔적이 발자국이라면 사람마다 각각 다른 신발을 신고 있을 때 빨리 찾겠는가, 같은 신발을 여러 사람이 돌려가며 신고 있을 때 빨리 찾겠는가?

위에서 언급한 사항 이외에도 보안의 기본사항은 많다. 중요한 시스템은 분리해서 사용하라든가 데이터는 암호화하라든가 웬만한 담당자라면 상식 수준에서 알고 있을 내용들이다. 문제는 이런 상식을 지키지 않는다는 것이고 여기에 보안 부서의 어려움이 있다. 현업 부서에 보안상식을 지키게끔 밀어 붙이면 업무에 불편하다는 답변과 함께 파워게임으로 몰아가기 십상이다. 하물며 CEO를 비롯한 임원진에게 패스워드 원칙을 지키라고 하는 건 언감생심이다. 이 문제를 해결하는 데는 왕도가 없다. CEO부터 나서서 전사적으로 반드시 지켜야 할 보안규정을 천명하고 예외 없이 지키게끔 하는 길뿐이다. 예외를 허용치 않을 힘을 보안 부서에 부여하는 동력은 오직 CEO의 의지에 달려 있다.

보안의 기본에 충실하라, 보안원칙에 예외를 만들지 마라, 최고경영진부터 의지를 보여라. 값비싼 보안시스템 투자보다 앞서야 할 일은 그런 것이다. Ahn

 

이장우 / 안철수연구소 관리컨설팅팀 부장