by sisw.com



[디지털포럼]육 동 현 싸이버원 대표[2012년 02월 10일자 22면 기사]

지난 2011년은 우리나라 정보보안 역사상 한 획을 긋는 중요한 한 해로 평가할 수 있다. 개인정보보호법 제정으로 인해 정보보안이 더 이상 특정 산업에만 불가피하게 구축되는 시스템이 아니라 개인정보를 취급하는 모든 산업계가 주목해야 할 필수적인 요소가 되었기 때문이다. 국내외 주요 정보보안 업체는 개인정보뿐 만 아니라 이와 직간접적으로 연계된 다양한 상품을 선보였고 이제 일반인들도 데이터베이스 보안ㆍ암호화ㆍ방화벽ㆍ보안관제 그리고 보안컨설팅 등과 같은 전문적인 용어들에 예전보다는 많이 익숙해졌다.

하지만 지난해에는 범용 메신저 보안사고, 금융권 등 다양한 보안 사고가 나타난 한 해였다. 특히 금융권에서 다른 어느 곳보다 정보보안 분야에 많은 투자를 하여 방화벽, 침입차단시스템 및 암호화 솔루션 등 다양한 보안 인프라를 갖췄음에도 이러한 사고가 있었던 이유는 무엇일까. 취약점을 노리고 집중적으로 이를 파고든 지능형지속위협(APT) 공격이었기 때문이다. 현실성 있는 기업 보안을 위해서는 무엇을 준비해야 할까.

우리는 식물의 생장에 필요한 원소 중 다른 원소가 충분하다 하여도 어느 한 가지 원소가 부족할 경우 그 부족한 원소의 영향을 가장 크게 받아 식물이 제대로 생장하지 못한다는, 최소량의 법칙을 배운 바 있다. 이를 정보보안에 적용하면, 정보보안 인프라 대비 기업의 보안 수준을 낮추는 요소는 바로 `사람'이다. 정보보안 분야에서 짧지 않은 경험을 쌓으며 느낀 바는 어느 한 보안 인프라의 미비로 비롯된 사고가 사람의 잘못으로 일어난 사고보다 그 빈도가 많지도 않을 뿐만 아니라 그 크기 역시 크지 않았다. `정보보안'이라고 하면 기술 위주의 개념에만 집착하는 경향이 많다. 실제 정보보안업계 역시 기술 중심의 마케팅에만 초점을 맞추곤 한다.

하지만 기업의 입장에서 본 최선의 정보보안은 `사람 중심'의 보안 인식 향상으로 집약할 수 있다. 나날이 모바일 디바이스가 업무에 적극적으로 활용되고 있는 상황에서 아무리 좋은 모바일 보안 솔루션이 기업에 도입된다 하더라도 통제될 수 없는 외부 환경에서 옆 사람에게 중요 정보를 누출시킬 수 있다는 모바일 환경의 특성상 완벽한 보안이란 생각하기 어렵다.

하지만 보안 인식의 향상은 솔루션 설치와 같이 쉽게 도입되는 것이 아니다. 긴 안목의 패러다임으로 접근해 정책과 규정을 세우고 이를 지킬 수 있도록 기업의 보안 담당자가 관여해야 한다. 저는 이를 위해 두 가지를 주문하고 싶다. 하나는 지속적인 보안 교육이며 다른 하나는 보안 아웃소싱이다.

기업에서 진행하는 보안 교육은 `사례 중심의 캠페인 교육'에 초점을 맞춰야 한다. 특히 제3자 중심의 사고 사례 교육보다는 나에게도 보안 사고가 일어날 수 있다는 것을 느끼도록 하는 교육 콘텐츠가 필요하다. 북한의 해킹 공격이나 APT 이슈 등을 언론에서 익히 들은 내용을 그대로 전달할 경우 임직원들은 나와는 관계없는 먼 나라 일로 생각하기 쉬울 것이다. 나에게도 일어날 법한 일로 재구성해 스토리텔링 사례로 전달한다면 통상적인 보안 교육보다 효율적으로 보안 인식을 향상시킬 수 있을 것이다.

한편 기업들은 기업 내부적으로만 보안과 관련된 모든 것을 담당하려 하는 경향이 있다. 기업의 특성상 중요 정보자산의 보안을 외부에 맡긴다는 것은 정서상 어려운 일이다. 하지만 `완벽한 보안'이라는 것이 존재하지 않는 상황에서 효율적이고 효과적인 기업 보안을 위해 전문화된 보안 전문업체에게 아웃소싱을 의뢰하는 것이 좋은 방법이 될 수 있다.

보안 아웃소싱의 시작은 기업 스스로 자신의 중요 자산이 무엇인고 그 리스크가 어느 정도인지 인지하는 것으로 시작해야 한다. 하지만 이런 작업을 기업 내부에서 진행하는데 한계가 있다. 따라서 외부 전문업체의 보안 컨설팅을 통해 중요 정보보호 자산을 인식하고 분류한 뒤, 이에 대한 취약점 분석 및 평가를 수행할 필요가 있다. 이를 통해 기업의 내외부 보안 환경에 대응할 수 있는 중장기 전략을 수립할 수 있고, 그에 따른 관리체계 개선과 시스템 보안 강화 모델을 설계할 수 있을 것이다.

현장에서 피부로 느끼는 보안 환경은 녹록치 않다. 해커들은 앞선 기술로 공격 대상을 나날이 넓혀가고 있으며, 이에 따라 정부의 규제와 법률에 따른 민ㆍ형사상의 처벌은 강화되는 추세다. 보안이 중요하다는 것은 모두가 잘 알고 있지만, 실질적인 기업의 보안 관련 지원 및 투자는 이에 따라오지 못하는 것이 현실이다. 앞으로 보안 시장의 다양한 솔루션 구축만으로는 해결할 수 없으며 회사의 구성원 모두가 자신의 중요한 자산을 다루듯 회사의 정보자산을 여겨야 보다 나은 보안관리를 구현할 수 있을 것이다.

'Information Security' 카테고리의 다른 글

보안성패 `사람관리`에 달렸다  (0) 2012.02.20
정보보호학과 대학원  (0) 2012.02.20
정보보호 기본토픽  (0) 2012.01.24
Posted by EFP