CEO가 알아야 할 보안에 관한 불편한 진실 (2)

2011.06.11

 

  최근 국내외에서 발생한 보안 사고로 인해 위기감이 커지자 모 기업에서 1억 원이 넘는 비용을 들여 컨설팅을 받았다. 그 컨설팅 보고서에는 ‘패스워드는 영문자, 숫자, 특수문자를 반드시 섞어서 8자리 이상으로 설정하고 최소 3개월에 한 번은 바꾸십시오’라는 사항을 주요 대책으로 제시했다. 이 기업의 담당자는 분통을 터트렸다.

“이런 건 컨설팅이 아니라도 다 아는 사실 아닙니까? 이런 뻔한 소릴 듣자고 비싼 돈을 들여 컨설팅을 받겠어요?”

 기업은 고객에게 감추고 보안 부서는 경영진에게 감추고 현업 부서는 보안 부서에게 감추는 상황을 타개할 방법은 없는가. 어떻게 할 것인가? 무엇을 할 것인가?
 
(지난회에 이어서)


2. 내부직원(협력업체포함)의 권한과 업무를 잘 관리하라

이번에 발생한 두 금융기관 사고의 주범은 '해커'라는 것이 공식 발표 내용이다. 해킹 기술이 다양해도 해커의 최종 목표는 같다. 바로 시스템 권한을 획득하는 것이다. 아무리 시스템을 잘 구축해도 결국 모든 건 누군가 관리하고 있기 마련이고 그 관리자의 권한을 얻을 수 있다면 게임은 끝난 것이다.

관리자 권한을 획득하면 그 시스템은 마음대로 할 수 있다. 시스템에 저장된 모든 내용을 들여다 보고 빼내며 삭제하는 일이 가능하다. 이번 두 금융기관의 사고도 결국 해커가 관리자 권한을 알아내서 한 쪽은 정보를 빼내간 것이고 한 쪽은 삭제해 버린 경우다.

그런데 의외로 기업에서는 권한 있는 내부 직원에 대한 보안 통제보다는 외부자의 기술적 공격에만 초점을 맞추는 경우가 많다. 모의해킹 테스트를 해도 순수하게 외부자의 관점에서 시도하기만을 의뢰하고 컨설팅을 할 때 내부직원들 행위를 측정하겠다고 하면 얼굴이 굳어지곤 한다.

“그건 곤란합니다. 직원들이 기분 나빠합니다. 그 직원은 원래 그 업무 담당자인데 무엇 때문에 그 사람 업무이력을 분석합니까? 감사받는 것도 아니고......”

우리나라의 정서상 내부자를 조사하면 마치 한 가족을 잠재적인 범죄자로 보는 듯한 불쾌감 때문일 것이다. 그러나 보안사고의 실상을 알고 나면 그렇지가 않다. 전적으로 외부자에 의한 보안사고는 10%도 되지 않으며 대부분의 보안사고는 내부자에 의해 발생하기 때문이다.

여기서 내부자에 의한 사고란 다음과 같이 나눠 보아야 한다.

첫째 내부자가 실수로 사고를 일으킬 수 있는 경우이다. 회사의 기밀정보를 자기 노트북이나 USB에 저장했다가 분실했다든가 기밀문서를 방치하거나 그냥 버렸다가 경쟁사에 유출되는 경우가 여기에 속한다.

두 번째는 내부자가 해커 등에게 이용당하는 경우이다. 내부자가 해커와 직접 결탁한다기보다는 인터넷사이트를 통해 PC가 악성코드에 감염된 후 해커의 좀비가 되고 사용자 계정과 패스워드마저 해커가 알아내서 내부직원인 양 회사 내 시스템을 이용하는 것이다. 마지막은 내부자가 고의로 사고를 내는 경우인데 여기서 내부자란 외주업체와 협력업체 등 관계 업체를 포함한다.

 

첫 번째 경우의 내부자 사고를 방지하기 위해선 직원들의 권한관리를 엄격하게 해야 한다. 직원들의 권한은 업무에 필요한 최소한의 범위만 처리할 수 있도록 부여해야 한다. 업무편의성이라는 미명 하에 하나의 계정으로 모든 일을 처리할 수 있는 최고관리자(Super Admin)나 최고사용자(Super User)는 만들지 말아야 한다. 해커 입장에서는 그 막강한 권한의 계정 하나만 알아내면 모든 해킹이 다 가능하기 때문이다. 권한 부여과정은 담당자끼리 전화나 메일 한 통으로 처리하는 종래의 편의성을 포기하고 책임자의 승인 과정을 거쳐서 이력이 관리되도록 해야 한다.

흔히 간과하는 부분이 계정을 등록하거나 권한을 부여할 때는 철저히 하면서 정작 그 권한을 회수해야 할 때는 허술한 경우가 많다는 것이다. 이미 퇴직한 직원이나 다른 부서로 옮겨서 시스템 접근이 필요 없어진 직원의 계정조차도 멀쩡히 남아 있는 건 물론, 심지어 그 계정이 누구 건지 왜 있는 건지 파악조차 못 할 때도 있다.

 

 

두 번째, 해커에 의한 내부자 권한 탈취는 회사 차원의 복합적인 방어 전략이 필요하지만 가장 기본은 역시 사용자의 의식이다. 일단 회사 안에서 업무와 상관없는 프로그램을 사용하거나 자료(문서•동영상•음악•그림 등)를 열어보거나 인터넷사이트에 접속하는 일을 최대한 억제해야 한다. 악성코드 대응 프로그램이나 네트워크를 통제하는 보안장비가 있다고 해도 최신 악성코드나 침해공격을 완벽하게 막는다고 장담할 수는 없다. 사용자는 자신도 모르는 사이에 자기 PC가 해커에게 점유 당할 것을 대비해서 회사의 기밀자료는 가급적 PC에 보관하지 말고 자료를 주고 받을 때도 패스워드를 적용하는 것을 습관화 해야 한다.

 

 

마지막으로 위탁업체나 협력업체와 같은 확장된 의미의 내부직원에 대한 보안관리를 철저히 해야 한다는 것이다. 지난 2010년 행안부가 실시한 위탁업체 운영기업을 대상으로 한 개인정보보호 실태조사결과, 20개 대상업체 중 10개 업체가 과태료 등 행정처분을 받았다. 실제로 1천1백만 명의 고객정보가 유출되었던 G 정유사의 개인정보 유출사고나 N금융사의 보안사고도 위탁업체 직원을 통해 발생되었다.

 

기업 담당자들의 착각 중 하나는 보안사고가 났는데 위탁업체에서 문제가 생겼다면 그 업체한테 책임을 물리면 된다고 여기는 것이다. 이 즈음의 기업 보안사고는 원인이 밝혀지기도 전에 담당 최고위직 임원이 사표를 써야 하는 형국이다. 설령 원인이 위탁업체 있다고 하더라도 언론에 오르내리고 국회에 불려 다니는 것은 본 회사의 CEO이다.

위탁업체로 인한 보안 위험은 오늘은 남이 밟아 터졌지만 내일은 내 발밑에서 터질지도 모르는 지뢰와 같다. 다른 업체에 맡긴 후엔 잊고 사는 무사 안일한 태도를 버려야 한다. 일단 우리 기업의 정보를 취급하는 업체의 보안조직과 업무방식, 관리상황에 대해 내부보다 더 엄격하고 지속적으로 들여다보고 관리해야만 한다.

 

3. 감사의 독립성을 유지하고 개선 진행 상황을 실시간으로 공유하라

 

일정 규모가 되는 대부분의 기업은 자체적으로든 외부업체를 통해서든 보안점검 또는 보안감사를 한다. 사고가 난 기업 경영진이 답답한 이유도 여기에 있다. 이런 보안 점검과 감사를 매년 또는 분기별로 실시해왔다. 그런데 어떻게 상식 밖의 보안 문제로 사고가 발생하느냐는 것이다.

 

그 이유는 매우 단순하다. 경영진이 본 보고서는 실제와 다른 것이다.

보안 감사의 결과는 포상보다 징계 쪽에 가깝다. 어떤 현업 부서도 사내의 보안규정을 모두 지키는 건 아니라는 사실을 지적당하길 원치 않는다. 따라서 최대한 감추고 숨기고 소극적으로 대응해서 자기 부서의 문제가 노출되지 않도록 최선을 다 한다. 보안 부서가 정한 보안수칙을 따라가면 좋겠지만 그걸 다 하기에는 일이 너무 많다. 서버만 해도 수천 대인 회사라면 각 서버에 세팅된 관리자 패스워드를 3개월에 한 번씩 바꾸는 일은 엄청난 부담이다. 그러니 규정이 어떻든 점검하러 온 보안담당자에게 업무 현실을 설명해 주고 예외로 처리한다.

 

보안 부서나 현업 부서 모두 감사 결과가 나쁘게 나오면 좋을 게 없다. 경영진에 보고하면 도대체 그 동안 보안 부서에서 어떻게 일을 했길래 현재 수준이 이 지경이냐는 질타가 쏟아질 게 뻔하기 때문이다. 그렇다고 현업 부서를 원칙대로 다잡아 수준을 맞추자니 마찰이 너무 많다. 조직 생활에서 ‘공공의 적’이 되어 좋을 일이 뭐가 있겠는가. 반발이 심하다면 타협하는 것이 피차 이롭다. 결국 현실에서 수집된 정작 심각한 문제들은 예외로 처리하거나 아예 처음부터 문제가 없는 대상들만 샘플링해서 통계를 낸다. 그렇게 작업된 최종보고서는 향후 조금만 개선하면 완벽한 보안수준이 될 것이라는 결론을 담게 된다.

 

경영진에게 보안은 항상 골치 아픈 영역이다. 투자를 해도 뭐가 보이는 게 없다. 수익성에 기여하는 것도 아니고 사고만 없으면 사실 별 문제가 아니지 않는가. 결국 현재 보안 수준에 큰 문제는 없다는 보안팀 보고서를 정기적으로 받아 보는 것으로 안심한다. 올해 매출이나 수익성이 떨어질 것 같으면 기꺼이 보안투자 예산을 절감 대상으로 선택한다. 현업 부서와 보안 부서와 경영진의 이해 관계가 절묘하게 어우러져 겉으로는 평온하고 안으로는 해커들의 학습장으로 전락되어 버린 것이 기업보안 현실이다. 이런 조직의 구조적 문제를 단번에 바꿀 방법은 없을지 모른다. 그러나 지금보다 나아지기 위해서 도움이 될 만한 권고사항은 있다.

 

 

첫째, 감사 또는 점검은 기업 내 보안 부서나 IT 부서와 같은 특정 부서가 수행하게 하지 않도록 한다. 외부기관에 맡기더라도 사내의 특정 부서가 사업을 주관하게 하지 않는다. 가급적이면 CSO(Chief Security Officer)가 총책임을 맡고 감사나 점검을 외부기관에 의뢰하여 운영하거나, 차선책으로 사내 TFT를 운영하도록 한다. 요점은 감사나 점검을 수행하는 조직에 절대적인 독립성을 부여해야 한다는 것이다. 현업 부서에서 어떤 불만을 표하건 어떤 상황 설명을 하건 측정하는 기준에 대해서는 여과 없이 반영해야 한다. 아무리 나쁜 결과가 나오더라도 보정하지 않고 경영진에서 적시할 수 있도록 보고서에 기록되어야 한다.

 

 

둘째, 감사와 점검을 통해 밝혀진 결과는 전사 모든 직원이 1년 내내 볼 수 있도록 상시 공개하되 아무리 문제가 많은 부서일지라도 그에 대한 징계성 조치를 해서는 안 된다는 점이다. 누구한테나 항상 공개되어 있다는 것만으로도 움직이기에 충분한 힘을 발휘한다. 현재 문제 상황에 대한 변명이 소수의 경영진에게는 가능할지 몰라도 전사에 공개되어 있는 장에서는 어렵기 때문이다. 꼴찌로 공개되지 않기 위해서는 꼴찌가 되지 않는 방법 외에는 없다. 결국 보안의 기본은 사람에게 있는 것이다. 사람을 움직이려 할 때 주먹을 쓰기보다는 팔꿈치로 계속 슬쩍슬쩍 건드려서 스스로 움직이게끔 하는 편이 낫다.

 

 

마지막으로 감사와 점검 결과 개선해야 할 과제가 있다면 지속적으로 지켜볼 수 있는 대쉬보드를 구축하길 권한다. 경영진이 볼 수 있어야 함은 필수적이고 전 직원이 볼 수 있다면 더욱 좋다. 대쉬보드는 거기에 표현되는 지표들이 계속 바뀌어 가는 것을 전제로 한다. 대개의 감사와 점검이 반기나 분기로 실시되는데 그 중간의 기간은 사실상 휴지기나 다름없다.

문제가 나오면 개선하겠다고는 하지만 계획만으로 그치는 경우도 많고 이행 점검도 약식으로 그치는 경우가 적지 않다. 개선해야 할 과제나 관리사항에 대한 지표를 만들어 실시간으로 개선상황을 공유하고 경영진이 주시한다면 분명코 기존의 방법보다는 효과가 높을 것이다.

 

기업은 이익 창출을 목적으로 한다. 이익이 생겨야 존속하고 기업에 속한 직원과 그 가족이 행복하게 살 수 있다. 그러나 아무리 재산이 많아도 건강을 잃으면 불행의 나락으로 떨어지기 십상이다. 기업이든 사람이든 마찬가지다. 보안은 기업의 건강을 지키는 일이다. 기업의 생명을 좀 먹는 위험을 예방하고 감지하고 치유하는 일이다. 최근의 사고는 불행한 일이지만 '버는 일' 못지 않게 '지키는 일'도 중요하다는 사실을 새삼 깨닫게 해주었다. 기업 구성원과 고객을 포함한 모두의 행복을 지키기 위해, 보안은 교사요 의사요 군대로서 참다운 자리매김을 해야 할 것이다. Ahn

이장우 / 안철수연구소 관리컨설팅팀 부장