본문 바로가기
AhnLab 칼럼/CEO 칼럼

[김홍선 CEO 칼럼] 개방된 인터넷 환경과 보안의 주체

by 보안세상 2020. 4. 20.

2008.10.13

 



올해는 기업이나 공공기관에서 보관하고 있는 개인 정보가 대량 유출되는 사고가 연이어 발생해 충격을 주었다.

 

대표적 온라인 쇼핑몰 업체부터 게임 업체, 통신 업체, 그리고 공공기관에 이르기까지 많게는 천만 명 이상의 개인 정보가 한꺼번에 유출되기도 했다.

 

 

사고를 일으키는 데 드는 비용에 비해 사고가 발생해 입는 피해 규모는 쉽게 계산이 되지 않을 정도로 크다. 일례로 9.11 테러를 보자. 미국은 9.11테러 사태로 200~300조원의 경제적 손실을 입었다.

 

 

하지만 9.11테러를 일으키기 위해 들인 액수는 100만 달러도 되지 않는다. IT분야에서 발생하는 보안 사고는 더 말할 나위가 없다. 사실 보안 이슈는 인터넷 때문에 발생했다.

 

 

인터넷은 아무도 책임지지 않고 오너십이 없는 네트워크이기 때문에, 결국 이 위에 올라오는 것이 모두 취약하다고 할 수 있다. 이것이 보안이 가지고 있는 구조적인 중요성이다.

 

 

인터넷의 가장 중요한 패러다임은 개방형 환경이라는 점이다. 구글은 이런 개방형 환경을 기반으로 수십만 대의 해킹 서버로 전세계 정보를 계속 수집하고 있다. 이런 상황에서 보안 측면에서 중요한 문제는 인터넷 상에 노출되지 않아야 할 정보는 사용자 스스로 철저히 관리해야 한다는 것이다.

 

 

우리나라에서는 애플리케이션을 개발할 때 보안에 대한 가이드라인을 제대로 배우지 않을 뿐더러, 시간에 쫓기기도 하고, 보안에 대한 진지한 고려도 하지 않는다.

 

 

결국 지금처럼 곳곳에서 취약점이 노출되는 현상이 벌어지고 있는 것이다. 궁지에 몰려서야 솔루션으로 막아보려 하는데, 이는 매우 안타까운 모습이다. 외국에서는 3단계, 4단계로 대비하는 것이 보통인데, 우리 나라는 항상 급하게 하다 보니 취약점이 줄어들지 않고 있는 것이다.

 

 

한편, 정보 유출은 오프라인으로도 이루어진다는 점을 주목해야 한다. 아무리 시스템을 잘 갖춰 놓아도 중요 정보에 접근할 수 있는 사람이 문서를 유출하면 아무 소용이 없는 것이다.
 
올해 발생한 일련의 개인 정보 유출 사고를 보면 이메일이나 게시판 등의 온라인은 물론, CD로도 빼돌리는 등 다양한 방법으로 이루어졌다. 따라서 최적의 해법을 찾으려면 정책과 시스템, 오프라인과 온라인 측면을 통합적으로 보아야 한다.

 

 

필자가 정보보안 업계에 몸 담은 이후 약 14년 동안 지켜본 바로는 특히 우리 나라는 굉장히 많은 위협이 산재해 있고, 사회 기반이 흔들릴 정도로 보안이 취약하다. 그에 반해 대응은 매우 미흡한 상황이다. 사고가 터졌을 때의 손실을 생각하면 결코 소홀히 할 수 없는 분야임에도 리스크를 예방하는 데 둔감한 게 사실이다.

 

 

정보보안에서 유의해야 할 것이 몇 가지 있다.

첫째, 보안의 목적은 안전하게 관리되어 신뢰받을 수 있는 플랫폼, 사이트를 만드는 데 있다.
 인터넷의 진화에 따라 무수히 많아진 애플리케이션의 보안 이슈에 어떻게 대응하느냐가 관건이라고 할 수 있다.

 

 

둘째, 보안은 어느 한 쪽만 잘해서는 되지 않고, 전체적인 구성원과 중소기업, 개인이 같이 이루어가야 한다. 각자가 보호하고 싶은 정보도 다르고, 직면한 위협도 다르다. 그렇기 때문에 세분화해서 가급적 자기에게 맞는 것을 찾는 것이 중요하다.

 

 

셋째, 보안은 실용적이어야 한다. 보안 가이드라인이 많은 것을 뿌듯해하는 경우가 있는데, 그러면 아무도 지키지 않는다. 가이드라인, 법 체계, 정책이 무거울수록 예외가 발생한다. 예외가 많이 발생하면 정책은 의미가 없어지는 것이다. 또한 가이드라인 등을 어겼을 때 처벌이 약해도 실효성이 약해진다.

 

 

넷째, 보안은 IT 담당자만의 몫이 아니라는 것이다. 우리 나라에서는 보안 사고가 나면 실무 담당자에게 책임을 묻는 일이 적지 않다. 그러나 미국의 글로벌 기업에서는 CEO의 가장 중요한 임무 중 하나가 위험 관리이며, 관리해야 할 주요 대상 중 하나가 보안 위험이다.

 

 

마지막으로 강조하고 싶은 것은 IT나 보안은 인프라이지 최종 목적지로 보면 안 된다는 것이다. 즉, 사회의 기간망이라고 할 수 있다. 따라서 보안 이슈는 사용자 스스로 풀어가려는 적극적인 노력이 필요한 사안이다.