사단법인 한국침해사고대응팀협의회(이하 CONCERT)가 ‘2007년도 기업 정보보호 이슈’에 대한 조사를 실시하고, 7대 정보보호 이슈를 선정해 발표했다. 선정된 7대 이슈는 통합보안관리, 신규 정보보호 관련법안, 금전적 공격, 사내 보안인식제고 방법론 진화, 정보보호 활동의 성과관리, 웹2.0 등 새로운 환경변화, 보안 감사범위 확대 등이다.

이번 조사는 지난 1월 8일부터 22일까지 2주간에 걸쳐 344개 회원사 중 19개 운영위원사와 90개 정회원사를 대상으로 실시된 것으로 벤더의 입장이 아닌 순수 사용자의 입장에서 기업 실무와 직접적으로 관련된 이슈만을 추려냈다는 점에서 의미를 갖는다.

우선 통합은 지난해에 이어 올해 역시 모든 기업 정보보호의 핵심 키워드로 조사됐다. ‘기업 통합보안관리 솔루션’을 지향하며 등장했던 ESM의 개념이 사용자들에 의해 진화하고 있는 것. 특히 ESM은 기업보안을 ‘관리(Management)’ 해주는 솔루션임을 벤더 측에서는 주장해왔지만, 실제 적용과정에서는 진정한 의미의 관리가 아닌 모니터링의 역할만 하는 것으로 사용자들은 인식하고 있었다. ESM의 진화를 위한 노력이 필요한 것이다.

통합 이슈와 관련, CONCERT 심상현 사무국장은 “보안을 위한 사람은 항상 부족하다”며, “따라서 통합은 선택이 아닌 사실상 필수”라고 지적했다.

또한 올해는 많은 정보보호 관련 법안들이 기업 정보보호 담당자들을 혼란스럽게 하는 한해가 될 것으로 예상된다. 오는 2월 또는 4월 임시국회에서 통과될 가능성이 있는 개인정보보호법을 비롯해 타인의 주민번호를 도용하는 경우 처벌을 명기한 주민등록법이 지난해 9월 개정됐고, 전자금융사고시 이용자의 중대한 과실이 아닌 경우에 전자금융업자의 책임을 규정한 전자금융거래법이 올해 1월 1일부터 시행됐다. 그런가 하면 의료기관이 지켜야 할 건강정보보호지침을 마련할 것을 규정하고 개인 동의 없이 건강정보를 활용할 수 없도록 한 건강정보보호법이 지난해 10월 입법 예고된 상태다. 또 국가 핵심기술의 해외매각이나 기술이전시 정부의 통제를 받도록 규정한 산업기밀유출방지법도 올해 4월부터 시행예정으로 있다.

정보보호 관련 법들이 지금까지 정보보호 관련 벤더들과 기업 정보보호 담당자들에게 가장
유력한 방향타의 역할을 해왔음을 되새겨본다면, 올해 역시 이러한 관련법안들이 또 다른 이슈들을 등장시킬 것으로 예상된다.

해커, 드디어 강도되다
지난해 말, 상당수의 중소규모 사이트가 중국 해커그룹으로 추정되는 단체로부터 협박성 메일을 받은 것으로 파악됐다. DDoS 공격을 통해 사이트의 정상적 운영을 사실상 불가능하게 해놓고, ‘사이트를 정상화시키려면 언제까지 얼마를 입금하라’는 내용의 메일이었다. DDoS 공격은 지난 2000년 2월 7~9일에 걸쳐 야후와 이베이, 아마존, CNN, 미 증권거래소 등을 마비시켰던 악명 높은 공격수법으로 지금까지도 이렇다 할 대책이 없는 것으로 알려져 있다.

공격에 대한 대책마련이 물론 중요한 시점이지만, CONCERT 회원사들은 이러한 공격이 이제 대놓고 돈을 요구하는 수준에 이르렀다는 점에 크게 우려된다. 특히 피싱과 같이 일정 부분 사용자의 부주의나 실수를 전제한 상업적 공격이 아니라 사실상 ‘알아도 막을 수없는’ 공격을 특정 대상을 지명해 자행하고 있다는 점에서, 게다가 DDoS에 사용된 이른바 ‘좀비 PC'들이 마치 온라인 게임의 아이템들이 거래되듯이 해커그룹 사이에서 거래되고 있다는 소문이 나돌고 있다는 점에서 그 심각성은 더해가고 있다.

사내 보안인식제고 방법론의 진화는 환영할 만한 일이다. 기업 내부 임직원에 대한 정보보호 인식제고 노력은 최근 몇 년 동안 줄기차게 이어져왔지만, 지금까지는 그 효과가 눈에 띄게 나타나질 않았기 때문이다. 이러한 상황은 올해 극복될 것으로 예측되고 있다. 우선, 가장 눈에 띄는 움직임은 부서별 보안담당자의 지정. 기업 보안담당자를 축으로 회사의 보안정책을 부서별 보안담당자들을 통해 원활히 전파하기 위한 움직임을 여러 기업에서 보이고 있다. 아예 ‘사내 정보보호 커뮤니케이터’라는 명칭을 도입한 기업도 있는 등 교육의 방법 또한 이전에 비해 한층 세련된 모습을 보일 전망이다.

무선 랜, 와이브로, HSPDA 등의 무선통신과 더불어 IPv6, 웹2.0 등 새로운 환경에 대한 보안담당자들의 고민 또한 큰 것으로 조사됐다. 특히, 웹 보안 솔루션의 경우 올해 CONCERT 정회원사의 대다수가 관심을 가지고 있어 지난해에 이어 올해 역시 웹 보안 솔루션들은 활황을 보일 것으로 예상된다. 한 가지 재미있는 사실은 지난해 같은 조사에서 회원사들은 웹 보안을 위해 개발 단계에서부터 보안을 적용하는 근본적인 대책수립을 계획하는 등 다소 ‘이상적인’ 계획을 세웠으나 올해 들어서는 이들 대부분이 다분히 ‘현실적인’ 대책마련으로 돌아섰다는 점이다. 그러나 IT 분야에 있어서의 새로운 환경이란 그 생성에서 소멸의 시점에 이르기까지 언제나 ‘진행형’이기 때문에, 이에 따른 대책마련은 올해 역시 숨가쁠 수밖에 없을 것으로 보인다.

보안 감사범위 확대도 주목할 만한 부문이다. 흔히 ‘물리적 보안’이라 칭하는 분야에 대해 대다수의 기업이 새롭게 인식하고 있는 것. 물리적 보안 분야는 IT 보안과는 별개의 영역으로 인식되어 왔던 것이 사실이지만, 올해의 조사결과 이제 물리적 보안은 기업보안의 핵심영역 중 하나로 대다수의 기업 정보보호 책임자들의 주목을 받는 것으로 나타났다. <오현식 기자>