[김홍선 칼럼]보안은 기술이 아니라 마인드다

2008.09.08

 

컬럼 연재를 시작하며


러시아로부터 독립한 지 10년이 조금 넘은 인구 140만 명의 에스토니아라는 국가가 있다. 이 국가는 시내 어느 곳에서든지 인터넷 접속이 가능하고 그만큼 인터넷 생활화가 앞서 있는 나라였다. 어느 날 이 나라는 조직적인 해킹 공격에 의해 주요 전산망이 마비되는 사태가 벌어졌다. 누가 어떤 목적으로 이런 공격을 했는지는 아직도 물증이 없다. 단지 러시아로부터의 독립에 불만을 품은 해커들의 소행이라고 추측될 뿐이다.

영화 ‘다이하드 4’에서도 미국의 금융을 포함한 기반 시설이 이런 형태의 공격을 동시 다발적으로 받는 것을 묘사하고 있다. 과연 영화 속의 스토리가 현실 세계에서 가능할까?

이 글을 읽고 있는 독자들은 인터넷이 주는 혜택을 만끽하는 생활을 영위하고 있을 것이다. 아마 인터넷 없는 생활은 상상이 안 되는 경우가 대부분이다. 그렇다면 이 거대한 인터넷이 누군가에 의해 조종되고 내 생활에 정지 상태가 발생할 수 있다면? 보안의 고민은 여기에서 시작한다.

오늘날 인터넷은 우리의 일터와 가정의 생활 속에 필수불가결한 요소로 자리잡았다. 10대 중고생부터 연세가 많은 어른에 이르기까지 연령대도 다양해졌고, 이용하는 서비스도 전자메일, 정보 검색, 온라인 게임, 전자상거래, 민원 신청, 인터넷 뱅킹, 채팅 등 공적, 사적 업무를 총망라하고 있다. 가히 인터넷은 빠른 속도로 우리의 생활 패턴과 삶의 형태에 변화를 가져왔다. 게다가 관련 신종 직업도 끊임없이 탄생하고 있다. 정보통신과 운송 수단의 발달로 형성된 글로벌 경제 패러다임에 불을 지른 것은 인터넷이라는 표준 커뮤니케이션 프레임워크다.

이렇게 인터넷을 사용하는 폭이 넓어지고 사용 빈도가 커질수록 ‘보안’의 중요성도 커지고 있다. 인터넷은 ‘오픈성’이라는 고유의 특징으로 인해 태생적으로 보안의 취약성을 지니고 있고, 결국 각종 위협의 경로를 제공하고 있기 때문이다.

IT 강국을 자부하는 우리 나라에서도 ‘보안’ 문제의 심각성을 오래 전에 인지하고, ‘정보보호’라고 다소 친밀한 느낌을 주는 이름으로 산업과 기술, 정책의 정체성을 정립했다. (사실 ‘정보보호’는 특정 실체를 보호한다는 수동적 개념으로 해석될 수 있어 ‘보안’보다 적극성이 떨어지게 비추어질 수 있다. 최근 정부에서도 ‘정보보안’으로 용어를 바꾸기로 했기 때문에 본 컬럼에서도 ‘정보보안’을 사용한다.)

인터넷의 보편화와 함께 등장한 정보보안은 우리의 업무 현장과 개인의 활동 속에 제품과 기술의 형태로 조금씩 스며들었다. 바이러스 백신과 인터넷 방화벽은 이미 일상 제품(commodity)화되었다. 인터넷 뱅킹을 한번 하려면 그 과정에서 무수히 많은 보안 기술과 제품을 거쳐야 한다 – 공인인증서, 온라인 백신, PC 방화벽, 키보드 보안, 네트워크 방화벽, 암호화 등. 보안이 중요하면 보안 단계가 더욱 강화되거나 보안 제품과 기술이 추가된다.

그럼에도 불구하고 왜 시간이 흐를수록 보안의 문제는 오히려 더 심화되어 가고 있을까? 바로 다양한 위협들이 보다 구체적인 목적을 갖고 조직적 범죄의 형태로 꾸준히 변화하고 있기 때문이다.또한 보안 사고는 일단 발생하면 그 여파가 일부 개인이나 공동체의 수준을 벗어나 국가적으로 때로는 글로벌하게 파장을 일으킨다.

패러다임이 급속히 바뀌고 기술의 생성과 통합, 그리고 소멸이 극명한 IT 분야에서 이렇게 한 분야의 영향력이 꾸준히 확대되는 것은 아주 드문 일이다. 그것은 보안이 인프라의 특성을 갖고 있기 때문이다. 이는 ‘보안’에서는 번뜩이는 아이디어보다 꾸준하게 파고드는 집중력과 전문성이 중요한 이유이기도 하다.

필자는 정보보안에만 14년이 넘는 기간을 종사했다. 주위에서는 1세대 보안 전문가라고 한다. 산업이 제로 상태에서 오늘의 규모로 성장한 것을 보면 신기함마저 느낀다. 개인적으로는 새로운 제품을 만들어 내서 고객이 사용하는 것을 목격하는 보람도 느껴 보았고, 새로운 사업 모델과 아이디어를 고민하는 즐거움도 누릴 수 있었다. 한편 벤처 산업의 버블 속에 혼란스런 상황도 경험 했고 개인적으로는 영욕의 세월을 보냈다.

정보보안은 인식과 마인드가 형성되어야 하기 때문에 전도자(evangelist)의 역할은 불가피했다. 정보보안에 종사하는 기업은 국가와 국민을 보호하는 공익적인 신념을 가져야 한다는 게 필자의 생각이기 때문에 봉사하는 마음으로 열성을 바쳤다.

고객은 물론 일반인, 정부의 정책 담당자, 전문 인력을 키워내는 학계에 계신 분들을 만나서 교육하고, 의견을 듣고, 실행 방안을 같이 만들었다. 국내뿐만 아니라 해외에서는 어떤 위협이 존재하고 노력을 하는지도 끊임없이 모니터링하고 우리 기술에 접목시켰다.

그러나, 그 동안 보안의 취약점과 사고는 수그러들 기미를 보이지 않는 가운데 우리의 안전은 계속 위협을 받고 있다. 문제가 발생하면 사회적으로 시끄럽지만 구조적인 개선은 좀처럼 이루어지지 않는다. 위협은 우리 생활 속 곳곳에 숨어 있음에도 여전히 마인드는 떨어진다.

보안은 추상적인 구호보다 실질적인 Hands-on 기반으로 구축되어야 하는데 현실은 그렇지 못하다. 그러는 사이 정보보안산업을 같이 일으켰던 많은 이들이 지쳐서 떠나갔고 정작 산적한 문제를 해결할 전문 인력은 점점 줄어들고 있다. 사용자나 공급자, 정책 입안자 모두가 불만족스러운 상황으로 치닫고 있다.

그러다 보니 모두가 정보보안에 지쳐가는 모습을 보게 된다. IT 환경과 서비스는 역동적으로 발전하고 있고 위협 상황은 급증하기 때문에 다양한 스펙트럼의 문제에 대응하는 것이 어려운 과제다. 또한 정보보안은 기업의 보안 담당자만의 몫이 아니라 기업의 대표의 인식 그리고 더 나아가 전사적으로 함께 고민해야 할 문제이다. 개인과 공동체의 사용 형태, 법적 규제, 문화적 요소를 고려하지 않은 정책은 무의미하다.

어떻게 하면 이 난국을 타개하고 모두가 윈윈(win-win)할 수 있는 상생 방안을 찾을 수 있을까? 이런 고민 끝에 그 동안 여러 가지 현실적 문제에 부대끼면서 필자가 체험한 것과 터득한 지식이 도움이 될 것 같다는 생각이 들었다. 이를 통해 보다 체계적으로 ‘보안’의 문제를 쉽게 접근할 수 있고, 동일한 시행착오를 하지 않을 수 있기 때문이다.

오늘날 정보보안에 관련되지 않는 사람은 거의 없다. 정보보안업체에 종사하는 사람, 기업에서 보안을 책임지고 있는 담당자, 인터넷 거래를 하려는 개인 사용자 등 각도는 차이가 있지만 보안이라는 중심 테마와 관련이 있다. 이런 분들이 정보보안에 비슷한 공감대를 가지는 것이 이 글을 쓰려는 목적이다.

본 컬럼은 특정 기술이나 제품의 지식을 겨냥한 것은 아니다. 단지 우리의 업무와 문화 속에 자리잡아야 하는 정보보안의 문제, 신뢰의 플랫폼을 구축하고자 하는 사회 구성원의 공감대 구축, 글로벌 표준에 맞춘 가이드라인과 같은 총괄적 인식의 어젠다를 다룰 것이다. 여러모로 부족한 필자의 경험이 독자들에게 도움이 되었으면 한다.@

[저자] 김홍선 안철수연구소 대표