본문 바로가기
AhnLab 칼럼

[김홍선 CTO]정보보호 위협에 대처하는 우리의 모습

by 보안세상 2020. 4. 20.

2008.07.04

 

최근 발생하는 각종 해킹 사고, 정보 유출 사건 등 보안 시장 동향이 예사롭지 않다. 어떻게 보면 단편적 사건들이 간헐적으로 일어나는 것처럼 보이지만, 그 배경에는 급변하는 환경에 대응하지 못하는 구조적인 문제점이 존재한다.

필자가 정보보호산업에 뛰어든 10년 전의 상황과 지금은 IT 활용 관점에서 근본적으로 현저한 차이가 있다. 정보에 대한 호기심에서 시작된 인터넷이 우리 생활의 필수불가결한 도구가 되었고, 금융 거래, 정부 민원, 통신 수단, 상거래 등 전 분야에서 인증, 결제, 개인 정보 제공과 같은 철저한 보안이 요구되는 서비스가 이루어지고 있다.

이렇게 서비스가 복잡다단해 지면서 보안 취약성으로 인한 문제들이 급증하고, 실제로 정보를 탈취하고 도용하는 위협 행위가 많이 발생하고 있다. 그러나, 보안에 대한 기본 인식이 크게 나아졌다고 보기 어렵다. 아직도 조직의 최고 책임자는 보안을 보안 담당자가 알아서 하는 업무 정도로 인식하지는 않는가? 해킹 사건 사고에 대한 뉴스가 나오면 한 번 관심을 가지는 정도가 아닌가? 보안 제품 몇 개 사면 100% 보안이 된다는 무지함을 가지고 있지는 않은가?

불행히도 현실은 우울하다. 포털을 비롯해 쇼핑몰이나 게임 업체, 심지어 금융권에서도 인터넷 회원을 끌어들이고 유지하기 위해서 마케팅에 투자는 아끼지 않으면서, 정작 그 회원들의 프라이버시를 보호하기 위한 인프라 투자에는 인색하다. 보안을 마케팅 효과로 활용하면서, 사용자의 보안에 대해 진정으로 고민하고 근본적인 대책을 세우는 모습은 보지 못했다.

그러다 보니 인터넷 경제가 이만큼 성장한 가운데 보안 업종은 힘들고 희망이 없는 분야가 되었다. 보안 업체의 과당 경쟁에 원인이 있다고 얘기하지만, 과연 이것만이 문제인가? 보안에 대한 투자 부족과 후진적인 유통 질서에 대한 근본적인 인식은 찾기 어렵다.

어떻게 보면 한국인의 인식에서 보안이 주요 안건이 되기는 힘이 들 것 같은 생각이 든다. 지금 생각해도 분노에 치를 떨게 하는 남대문의 불타 없어진 모습이 우리의 보안 의식의 부재를 잘 보여준다. 우리가 그렇게 자부심을 가졌던 남대문을 지키기 위해서 지도자들이 보여 준 모습은 너무나도 실망스러웠다. 책임 의식도 없고 체계화도 안 되어 있고 말도 안 되는 예산을 그나마 줄이려고 노력하는 상황에서, 국보 1호를 지켜내기는 힘겨웠다.

IT에서 정보보호는 묵묵하게 보이지 않는 곳에서 작동한다. 압축 성장을 해 오는 과정에서 가시적인 성과를 우선시하는 우리나라 IT 현장에서 보안 산업은 매력이 없는 분야이다. 당장 보여줄 것도 없고 투자에 대한 결과가 눈에 보이는 것이 아니기 때문에 최고 경영자의 관심을 끌기 힘든 것이 사실이다.

정보보호는 자신의 사업을 지탱하는 고객을 진정으로 생각하는 마음이 전제되어야 한다. 고객이 맡겨놓은 정보를 보호할 자세와 실제 구축이 안 되어 있다면 사업을 전개할 자격이 없다는 게 선진국 프라이버시 정책의 사상이다.

또 하나 문제는 어떤 사고가 터진 경우 실무자의 책임 추궁에 몰두한다. 그리고 보상 규모를 줄이기 위해 법무적 대응에는 만전을 기한다. 일부 기업에서 보안 사고를 보안 담당자에게 법적 구상권을 청구하려 한다는 얘기도 들었다. 사실이 아니기를 바란다. 그렇게 될 경우 누가 일선에서 보안 책임을 맡으려고 하겠는가? 조선 시대에 왕이 죽으면 어의가 책임지는 것과 같은 이치 아닌가? 비합리적이고 무책임한 방책이다.

4월 초에 거행된 글로벌 컨퍼런스 Privacy Global Edge에서 딜로이트(Deloitte)의 컨설턴트는 한국에서 정보 유출 사고를 통해 배상된 금액을 보고 깜짝 놀랐다고 한다. 소비자들이 그 정도 배상에서 물러서느냐고 이해하기 힘들다는 표정이었다. 미국에서 만일 그런 사고가 났다면 회사 전체가 휘청거릴 정도로 배상 규모가 크다. 독립적인 개인정보보호법이 없는 현실을 차치하더라도, 글로벌 기준에 비추어 우리가 얼마나 뒤떨어진 체계와 시스템을 가지고 있는 가를 잘 보여주는 일례이다.

이런 사고의 재발을 방지하려면 정부 차원의 대책이 필요하다. 그런데 새로운 정부에서는 규제를 없앤다고 한다. ‘기업 프렌들리”는 선진화로 가는 좋은 개념이다. 그러나, 이것이 기업의 보안 대책에 악영향을 줄까 걱정이 앞선다. 정보보호는 정보보호정책의 설정과 규정준수(Regulation Compliance)가 핵심이다. 게다가 우리 나라는 글로벌 스탠다드에 맞는 규제나 가이드라인이 절대적으로 부족하다.

최근 위협은 조직적이고 목표가 뚜렷한 실제적 상황이 대부분이다. 국내는 말할 것도 없고 중국, 러시아 등에서는 정보 탈취나 방해를 위한 위협 도구가 활발히 거래되고 있다고 한다. 최근 안철수연구소 시큐리티-대응센터에서 수집되는 악성코드는 가히 기하급수적으로 성장하고 있고, 그 중 80% 이상이 정보를 몰래 빼내는 트로이 목마다. 정보 탈취를 겨냥한 위협이 과거와는 차원이 다른 규모로 급증하고 있다는 점을 증명한다.

정보보호에 14년간 종사한 필자에게 최근 일련의 사태는 몹시 혼란스러운 경험이다. 안타깝게도 여기에 대응하는 체제가 비전문적이고 일관성이 없는 경우를 목격하게 된다. 다시 한번 사회의 안전망과 IT의 신뢰 플랫폼을 유지하는데 시선을 집중해야 한다. 그렇지 않을 경우 IT강국은 유해 정보와 불법 거래만 득실거리는 세상이 된다. 전문가적 시각으로 차분하면서도 체계적인 접근이 절실하다.@