보안, 이제는 기업의 사회적 책임

2010.07.20

 

기업의 사회적 책임이라는 것이 있다. 기업이 성장, 발전하게 되면 사회적 영향력이 커지고 이에 따라 사회의 일정 기능을 담당하게 되어 어느 정도 그 사회에 대한 책임이 부과되는데 이를 기업의 사회적 책임이라 정의하고 있다. 기업의 사회적 책임을 정의한 Caroll 교수에 의하면 이는 4가지로 구분된다고 한다. 경제적 책임, 법적 책임, 윤리적 책임, 자선적 책임이 바로 그것이다.

사회적 책임의 예를 들면 이렇다. 유한킴벌리는 목재를 원료로 많이 사용하고 있는 기업이다.
그러므로 이런 원료를 얻기 위해서는 수 많은 나무를 잘라야만 할 것이다. 나무를 많이 잘랐다고 해서 기업이 나무를 다시 심어야 한다는 법적 의무는 없다. 하지만 유한킴벌리는 '우리 강산 푸르게 푸르게' 라는 캠페인을 1984년 부터 전개하며 국내에 나무를 심고 숲을 가꾸는 일을 시작하였다. 바로 이런 것을 기업의 윤리적 책임이라고 볼 수 있다.

 

기업의 사회적 책임(SR:Social Responsibility)이 보안과 무슨 관련인가? 필자가 언급하고자 하는 것은 이제는 사회적 책임에 보안적 책임도 부여하여야 한다는 의견이다. 시간이 지나고 세월이 흐름에 따라 기업에 요구되는 사회적 책임의 범위도 달라져야 한다. 지금 세상을 뒤덮고 있는 인터넷은 우리 삶을 크게 바꾸어 놓고 있다. 이에 따라 비즈니스는 오프라인에서 온라인으로 이동하였다.

그러나 이러한 기술의 혜택 뒷면에는 '보안' 이라는 문제를 우리에게 남겨주었다. 악성코드의 급격한 증가와 금전적 형태로의 변화, 개인정보유출, 해킹, DDoS 등 사회적 문제가 발생되고 있다. 자, 이러한 원인에는 개인의 책임도 있지만 그 반대로 안전한 서비스 및 보호장치를 제공해야 할 기업에게도 보안적 문제들이 증가하고 있기에 이에 대해 짚어볼 필요가 있다.

 

보안의 관점에서 본 사회적 책임의 범위

기업마다 제공하는 서비스와 범주에 따라서 보안의 범위가 달라지지만 기본적인 맥락은 같을 것이다. 바로 안전한 서비스이다.

개인정보 유출사례를 보자. 옥션은 1,081 만명의 개인정보가 유출되었고, 추가조사에서 700 만명의 정보가 더 유출된게 확인되었다. 엔씨소프트는 개인정보가 200만건이 유출되었고, 신세계백화점은 2,000만건, GS칼텍스 1,125만명으로 정보유출 피해는 크다. 잦은 유출사건은 이제 개인정보 보호의식마저도 무감각하게 하고 있다. 개인들은 서비스를 이용하기 위해 기업에 개인의 정보를 제공하였고, 분명 기업은 개인의 정보를 안전하게 보관할 의무가 있다. 이렇게 유출된 정보에 기업은 사과문을 공지하고 시간이 지나면 어느새 잊혀져 간다. 우리가 제공한 정보는 이제 어떻게 사용되어지고 있는지, 그리고 유출된 내 정보들은 어디로 흘러갔는지 알 수 없다. 기업의 사회적 책임에 보안범주가 들어가야 할 이유가 바로 여기에 있다.

또 무엇이 있을까? 기업의 웹 페이지로 눈을 돌려보자. 기업의 대문이라고 할 수 있는 대표 웹페이지에는 회사의 각종 정보와 다양한 서비스들이 제공된다. 그러나 개발 당시부터 보안을 제대로 고려하지 않았거나 충분한 검증을 거치지 않았다면 웹 페이지의 SQL 인젝션, XSS, 잘못된 구성 등으로 인한 외부의 예기치 않은 접근을 허용하게 된다. 과거 몇 년 전부터 유행하기 시작한 웹 해킹이 바로 이것이다. 고객은 정보를 얻기 위해 또는 서비스를 받기 위해 웹 페이지에 접속하지만, 기업 웹 페이지에 삽입되어 있는 악의적 코드로 인해 고객의 컴퓨터는 악성코드에 감염되어 정보 유출 및 여러 가지 위험 상황에 처하게 된다.
 

 

고객은 방문한 사이트가 해킹에 의해 침해되었을 것이라 상상이나 했을까? 아니, 어디 이상한 곳을 방문한 것도 아니고 합법적인 사이트를 방문했다가 내 컴퓨터가 악성코드에 감염되었다는 사실이 당황스러울 것이다. 이러한 일이 소수에만 해당된다고 믿는가? 아니다. 해킹된 웹 페이지가 이 시간에도 많이 존재하고, 그러한 사실을 인지조차 못하고 있는 곳이 많다. 이름있는 큰 기업도 그런데, 하물며 보안을 생각치도 못하는 기업은 어떨까?

자, 마지막 예로 이건 어떨까? 소프트웨어를 만들어 판매하는 기업을 보자. 소프트웨어에 존재하는 취약점을 통해 원격의 공격자는 임의의 명령어를 수행할 수도 있다. 대표적인 운영체제 소프트웨어인 윈도우, 플래쉬, 브라우저 등 우리가 많이 사용하는 프로그램에도 취약점이 존재하고 있다. 고객은 비용을 지불하고 소프트웨어를 구매하며 이를 사용한다. 그러나 소프트웨어를 사용하는 것만으로도 내가 위험에 처해질 수 있다는 사실에 주목해야 한다. 기업은 단지 소프트웨어에 고객이 필요로 하는 기능만 구현한 것으로 책임을 다하는 것인가? 비용을 지불한 소프트웨어를 사용하다 개인정보가 유출되고, 악의적 용도로 나의 컴퓨터 자원이 이용되었다면 이건 또 어디에 하소연해야 하는 것일까? 이것도 사과문을 게시하고 조용히 잊혀져 가야 하는 걸까?

보안을 위한 사회적 책임을 다하고 있는가?

얼마 전 일본의 유명한 자동차 기업인 도요타는 큰 곤혹을 치렀다. 미국에서 생산된 도요타의 다수 제품이 부품결함으로 드러나면서 대규모 리콜에 들어간 것이다. 하지만, 처음에 도요타는 결함사실을 부인했고, 언론과 정부의 집중 조명에 사실로 들어나면서 리콜을 했다. 이것뿐만 아니라 미국내 수백 건의 결함사실을 접수 받았으나, 편법으로 이를 숨겨왔다는 사실도 드러나면서 기업의 가치는 크게 하락하였고, 천문학적인 비용도 들게 되었다. 중요한 점은 결함이 있음에도 결함사실을 숨겨왔다는 것이다. 소프트웨어도 마찬가지이다.

분명 문제점은 존재할 수 있을 것이다. 그런데 이 문제점을 그대로 놔두는 것이 아니라 기업이 적극적으로 문제를 해결할 수 있는 방안을 제시하고 알려야 한다는 것이다. 자동차가 리콜을 하는 것과 같이 소프트웨어도 자발적 리콜을 수행해야 한다. 소프트웨어의 문제점을 공개하는 것이 기업에 부정적 영향을 줄 수도 있겠지만 이런 인식은 문제점을 적극적으로 알리고 해결하려고 한다는 점에서 이 기업의 제품은 안전하게 사용할 수 있다는 인식을 넓게 형성할 수 있다.
 

 

이러한 인식에는 개인의 의식에도 변화가 필요하다. 소프트웨어에 보안적 문제가 존재할 수 있다는 가능성을 인정하고, 패치를 제공하고, 사용자들이 빨리 적용할 수 있도록 적극적으로 알리는 이런 기업에 우리는 박수를 쳐주어야만 한다.

기업은 이제 '보안' 이라는 것을 단순히 고려해야 할 것으로서가 아니라, 기업의 사회적 책임 중 하나로 인식을 달리해야 한다.  필자가 말하는 보안적 책임은 단지 기업 시스템에 방화벽, 침입탐지시스템과 같은 보안 시스템을 설치하는 것만으로서 보안이 끝나지 않는다는 것이다. 지속적인 관심과 보안 트랜드의 변화에 민첩하게 대응해야 한다.

나는 말한다. '보안'은 이제 기업의 사회적 책임의 의무로서 그 책임을 다해야 할 것이라는 것을 말이다.<Ahn>

필자 주: 나는 이 글에서 기업의 이름을 숨기지 않았다. 이미 기사화를 통해 많이 알려진 사실이므로, A 기업, B 기업으로 표시하는 것은 의미가 없다고 생각한다. 여기서 해당 기업을 질책하고자 하는 것이 아니라 단지 사실의 한 예로서만 표기한 것이니 독자 여러분도 그렇게 받아들여주길 바란다.

 

 

 정관진시큐리티 분석가

 

현재 안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “안랩 칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 특히 오픈소스(Open Source)에 많은 관심을 가지고 있어 아파치 웹 서버의 정보를 제공하는 아파치사용자그룹(http://www.apache-kr.org) 사이트를 운영하고 있다.

위 글은 안랩닷컴 

 페이지에서도 제공됩니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
[보안, 이제는 기업의 사회적 책임]
보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요