2011.05.31 김홍선 대표, KMA 최고경영자 조찬회에서 강연 발표

 

지난 5월 27일 하얏트호텔에서 'KMA 최고경영자 조찬회'가 있었습니다. 이 자리에서는 기업 CEO를 대상으로 안철수연구소 김홍선 대표가 '사이버 위협의 동향과 기업의 리스크 관리'라는 주제로 이전과 달라진 사이버 위협의 현실, CEO만 모르는 '보안'에 대한 불편한 진실에 대해 기업 CEO에게 직접 강조하는 자리였습니다. 매일같이 일어나는 해킹 사건 만큼이나 높아진 보안에 대한 관심 때문인지, 최근 대학가와 기업에서 보안 CEO를 초빙한 많은 강연 요청이 쇄도하고 있다고 하는데요. CEO를 대상으로 하고 있는 강연은 처음이라고 합니다.

 

김홍선 대표가 보안의 중요성을 이토록 피력하는 이유, 그것은 비단 보안회사 CEO라서는 아닐겁니다. 김홍선 대표는 "보안은 기업의 최종목표가 아니다." 어디까지나 "사업을 위해 24시간 장애를 받지 않게 하게 돕기 위함"이라고 말하며, 다양한 측면에서 정보 보안의 중요도가 높아졌음에도 불구하고, 여전히 인식은 부족하다고 피력했습니다. 그 내용을 간단히 요약했습니다.

 

먼저, 보안에 대한 변화는 인터넷의 혁명과 함께 과거와는 달라진 '정보'에 대한 변화와 큰 관계가 있음을 강조했습니다. 김홍선 대표는 "인터넷이 생기며 폐쇄적이던 정보 접근성이 개방화되었고, 통신의 혁명에 따라 브로드밴드를 사용하며 사람들은 정보와 항상 연결 된 상태가 되었다"고 말했습니다. 또한, "디지털 혁명으로 인하여 물리적 문서들이 자리를 차지 하지 않게 되자 디지털(정보)는 폐기시키지 않게 됬다"며, 바로 이러한 변화들에서 역기능이 발생할 수 있다고 합니다.

 

"인터넷은 누구도 책임질 수 없는 불안한 곳인데, 자신의 모든 업무와 자산이 올려져 있다"고 말하며 "인터넷상의 '정보 자산'은 도둑이 열 번을 훔쳐가도 그 자리에 있기 때문에 도둑 맞았다는 것을 인식하지 못 한다."고 덧붙였습니다.

 

그럼에도 불구하고 17년간 변하지 않는 것이 있다고 말했습니다. 그것은 바로 '보안'에 대한 인식이라고 하는데요.  제일 먼저 ID, 패스워드 부터 제대로 관리하라고 컨설팅하면, 기업은 낸 돈이 얼만데 겨우 이거냐며 분통을 터트린다고 합니다. 김홍선 대표는 "실행이 안된다는 것이 문제다. 간단한 것부터 지키는 것이 중요하다. 보안 수칙에 대한 준수부터 해결되어야 할 문제이다."라고 말했습니다.

 

한편, 현재 사이버 공격과 위협은 조직적이고, 범죄화 되고 있다고 말했습니다. 실제로 에스토니아는 국가 전체 인터넷망이 마비된 적이 있고, 이란의 원전은 바이러스에 의해 작동불능이 되기도 하는등 사이버 보안 위협은 점차 조직적, 지능적 위협이 되고 있다고 하는데요. 김홍선 대표는 "조금 조용하면 해킹이 일어나고 있지 않다고 생각하기 쉽지만, 이미 해킹 사고는 보이지 않는 곳에서 범죄 수준으로 일어나고 있다"고 말하며 "1•25 대란은 피해액이 7조 8500억원으로 태풍 재난보다 피해가 컸음에도 불구하고 눈에 보이지 않기 때문에 잊혀져 이에 대한 투자가 뒤따르지 않았다."고 말했습니다.

 

또한 사이버 보안 위협의 한국만의 특수한 여건에 대해서도 언급했습니다. DDoS 공격은 우리나라에 가장 많이 발생하고 있다고 합니다. 이는, 도박 사이트 등 불법적인 업체 간에서 DDoS 공격이 자주 발생하기 때문이라고 합니다. 최근 중국에서 국내로 일어나고 있는 보이스피싱도 하나의 공격위협이라고 말했습니다.

 

한국의 특수한 여건인 안전의식 부재, 안전불감증, 사이버 재난에 대한 평가 홀대의 측면들도 지적했습니다. "사용자들은 빠르고, 다양한 기능을 요구하면서 비용은 적게, 경쟁자보다 먼저 구축하려고 한다. 이는 보안에 대한 인식과 문화, 법과 규정적인 실효성이 취약해질 뿐 아니라 IT 전문 인력과 실전 인력이 이탈될 수 밖에 없다"고 말했습니다.
 
많은 IT 보안 담당자들이 보안 시스템을 강화하기 위해 고생하고 있지만, 기업에서는 비용 문제를 이유로 우선순위 밖으로 밀어내고 있어 IT·보안 체계가 바로 잡히지 않으면 한 순간에 흔들릴 수 있다고 말했습니다.

 

그 밖에도 악성코드의 진화, 올 9월 말 시행 예정인 개인정보보호법에 대해서도, 개인정보보호법에 대해 기업은 '모든 직원이 법의 핵심을 이해하고, 정보는 최소한으로 수집하고 가능한 삭제하는 것, 위반 수준을 진단하는 것, 예외 근거를 확보하는 것, 보안 사고에 대비할 것'을 권고했습니다.