2011.02.14
보안사고, 지금은 모두가 노력해야할 때
2010년에도 많은 보안 사고가 있었고 올해도 줄어들 가능성은 낮아 보인다. 보통 언론을 통해 보안사고가 알려지게 되면 사람들은 문제의 원인과 해결 방식을 조금씩 다르게 생각하기 마련이다. 보안 제품 성능이 떨어져 발생했다고 생각하는 사람이 있는가 하면 규제를 제대로 못하는 정부에 책임을 돌리는 사람도 있고 보안의식이 부족한 사용자들을 탓하는 사람도 있다. 하지만, 어느 한쪽의 책임만 있을까? 그리고, 우리는 어떤 일을 해야 할까?
첫째, 보안 회사의 입장
많은 사람들이 보안은 보안 회사에서 책임져야 한다고 생각한다. 하지만, 현실은 보안 회사는 보안을 도와주는 도구를 만드는 회사이다. 과거 보안회사는 자사 제품만 사용하면 보안 문제를 잊어 버릴 듯하게 광고를 했다. 하지만, 이제 보안 제품은 보안을 위한 하나의 도구에 불과하다는 인식이 증가하고 있다. 보안회사 입장에서 보면, 보안을 강화하면 사용자들이 불편해하고 약하면 보안에 허점이 생기게 된다. 결국 현실적인 보안에 대한 고민을 제품과 서비스에 접목시켜야 한다. 그리고, 보안회사에서 나오는 정보는 보안을 전문적으로 연구하는 사람 수준에 맞춰있는 경우가 많은데 보안 문제를 해결하기 위해서는 사용자들 눈높이에 맞는 자료도 많이 나와야 한다.
둘째, 개발자의 입장
과거 국내외 회사에서 운영 중인 시스템에서 많게는 수천 만 명의 개인정보가 유출되기도 했다. 시스템이 직접 공격받는 경우도 있고 다른 시스템에서 훔친 아이디와 비밀번호를 대입하기도 한다. 프로그램이나 서비스를 개발할 때는 보안에 대한 신경을 써야 할 것이다. 요즘은 보안사고 때문에 주기적인 비밀번호 변경도 필요하다. 하지만, 특수문자나 심지어 대소문자를 섞어 사용하지 못하는 경우도 있다. 제작의 편의성 때문인지 사용자 편의성 때문인지는 모르겠지만 보안관점에서는 문제가 있다.
셋째, 기업 및 보안관리자의 입장
보안사고가 계속 발생하고 있지만 많은 회사가 보안에 대한 투자를 소홀히 하고 있다. 보안 제품만 구매하고 제품만으로 모두 해결하려고도 한다. 자체적인 보안관리자를 두고 있어도 다른 업무와 병행해 집중하지 못하는 경우도 있으며 보안관리업무를 전담해도 권한이 부족해 보안 관련 업무에 지장을 받기도 한다. 이런 문제를 해결하기 위해서는 기업에서는 보안에 대한 투자와 교육을 지속적으로 해야 하며 현실적인 보안지침을 마련해 보안 지침을 어기면 인사상 불이익을 줘야 할 것이다.
넷째, 정부의 입장
몇 년 째 애드웨어와 허위 보안 프로그램 문제가 발생하고 있지만 이를 규제할 수 있는 법은 나오지 않고 있다. 또 경우에 따라서는 심한 규제로 사용자들의 반발을 불러 일으키게 된다. 경찰에서 사이버범죄자들을 지속적으로 검거하고 있지만 상당수는 해외 발 공격이라 검거도 쉽지 않다. 법적 처벌 강화와 해외 공조가 요구되며 사이버범죄에는 상대적으로 죄의식을 느끼지 않고 있어 어린 학생 때부터 윤리 교육과 사용자를 위한 홍보도 지속적으로 해야 한다.
다섯째, 언론의 입장
필자가 언론을 통해 보도되는 보안 기사를 보면 사용자에게 도움이 되는 유익한 내용도 많지만 어떤 내용은 지나치게 과장되고 자극적이고 선동적인 내용이 많다. 언론은 자극적인 내용보다는 실제 사용자들에게 도움이 되는 내용을 지속적으로 알려야 할 것이다.
여섯째, 개인의 입장
어느 날 자신이 이용하는 인터넷 서비스가 불통이 될 수 있다. 하지만, 해당 인터넷 서비스의 공격이 자신의 컴퓨터로부터 발생할 수도 있다. 많은 사용자들이 보안에 대해 잘 모르거나 관심이 없고 알아도 실천을 하지 못하고 있다. 하지만, 개인들도 자신의 잘못된 컴퓨터 사용이 타인에게 피해를 줄 수 있다는 점을 알아야 한다.
이 글을 읽는 사람이라도 보안에 대해 한번 더 생각 했으면 하는 바램을 가지고 글을 마친다. 이제 보안의 문제는 개인의 책임일 뿐 아니라 점점 사회와 공통의 책임이 되어 간다고 느끼는 건 필자만의 생각일까? <Ahn>
'AhnLab 칼럼' 카테고리의 다른 글
[CEO칼럼] IT는 사업의 핵심이다 (0) | 2020.04.22 |
---|---|
스마트폰과 연결된 자동차? '커넥티트카(Connected Car)' (0) | 2020.04.22 |
좀비PC, 나는 피해자인 동시에 가해자 : 좀비PC 예방 방법 (0) | 2020.04.22 |
악성코드라는 용어, 어디서 왔을까? (0) | 2020.04.22 |
보안, 이제는 기업의 사회적 책임 (0) | 2020.04.22 |