얼마 전 큰 비가 내려 남부 지방을 휩쓸고 갔다. 회사 직원 중 한명도 걱정스러운 마음에 고흥에 살고 있는 친척들에게 전화를 해보니 “논이며 밭이며 다 쓸려갔고, 이번 추석에는 시골장도 서지 못할 상황”이라는 소식을 들었다며 안타까워했다. 복제 양 돌리를 마술처럼 만들어 내고, 휴대폰으로 가정에 있는 가전제품도 통제할 수 있는 유비쿼터스 세상이 멀지 않은 세상에 살고 있지만, 자연 재해 앞에서 인간의 힘이 얼마나 무력한 것인가를 깨닫게 된다.이런 자연 재해가 닥치기 전에 미리 예측하고 대응할 수 있었다면, ‘최악’, ‘최대’의 피해는 줄일 수 있었을 것이다. 또한 매년 반복적으로 발생하는 수해에 철저한 준비를 한다면 우리 국민의 소중한 인명과 재산 또한 보호할 수 있을 것이다.
이러한 가정은 비단 자연재해에 국한된 내용이 아니다. 사고를 사전에 탐지하고 예방해 피해를 줄이는 것은 사이버 세계에 있어서도 큰 과제이자 부담이 되고 있으며, 나아가 한 국가와 기업의 경쟁력을 좌우하는 큰 이슈로 떠오르고 있다.
자주 거론돼 온 2003년 1.25 인터넷 대란은 우리에게 많은 교훈을 줬다. 인터넷 대란이 터지기 전에 코드레드로 인한 국내외 피해가 속출하면서 정부와 기업은 외부 위협에 대한 나름대로의 준비를 했지만 인터넷 대란을 피할 수 없었다. 국내 인터넷 백본 불통, 이로 인한 피해 규모는 어마어마했다. 초고속 인터넷 보급률 세계 1위라고 자랑하는 국가이면서도 동시에 보안에 소홀히 하는 국가, 세계에서 가장 큰 피해를 입은 나라, 다른 국가에도 피해를 끼치는 나라가 돼버린 것은 집계되지 않는 또 다른 큰 손실이라 할 수 있다.
정보화 사회, 역기능 방지해야
2007년 1월 현재 전세계 인터넷 사용자는 7억명 이상으로 집계된다. 우리나라의 경우에도 급속하게 보급된 IT 기술은 사회·경제·생활·문화부분에 있어서 경제 성장의 원동력이 되고 있으며, 유비쿼터스 환경에 발맞춰 와이브로(WiBro), 디지털 방송, RFID, VoIP 등 다양한 분야로 넓어지면서 그 영향력은 더욱 커지고 있다.
하지만, 정보화 사회로 발달하면서 그에 대한 역기능의 골 또한 점차 깊어지고 있다. 인터넷에 대한 의존도와 영향력이 커지면서 정보화의 역기능인 사이버 침해와 해킹사고가 증가하고 해킹 수법 또한 발전하고 있는 것이다.
악성댓글, 스팸메일, 개인정보 유출, 금전적 이익을 목적으로 한 보안위협의 증가로 인해 개인적인 피해가 증가하는 것은 물론 산업기밀 및 국가기밀의 유출 사고가 발생하여 세상을 떠들썩하게 하기도 했다. 네트워크의 확대로 인해 정보 유출 가능성이 매우 높아지면서 불건전한 정보의 유통과 개인 프라이버시 침해 등은 오늘날 심각한 사회문제로 대두될 정도로 정보화의 역기능으로 인한 문제는 적지 않다. 나아가 국내의 발전된 인프라가 해킹과 바이러스 유포를 위한 경유지로 활용되기도 하고, 국가의 주요기반시설까지 위협받고 있어, 정보화 사회의 역기능은 국가 안보적 측면에서도 위협이 되고 있다.
정보화 수준에 걸맞은 정보보호 수준을 갖추기 위한 노력과 각 기업 및 기관의 특성에 맞는 정보보호 시스템을 갖추는 것은 매우 시급한 문제라고 할 수 있다. 이를 위해서는 점점 첨단화·지능화 되는 사이버 공격과 가속화되는 웜·바이러스의 감염을 사전에 방지할 수 있는 예방체계 보강이 중요하다.
종합적 대응능력 확보돼야
물론 몇 년 전과 비교해 봤을 때 인터넷 뱅킹 피해 사례 등이 보고되면서 보안은 일반인들까지 많은 관심을 기울이고 있는 분야가 됐다. 하지만 아직까지도 우리의 보안현황은 그다지 훌륭한 상황이 아니다. 우리나라 기업의 정보화 대비 정보보호 투자예산 비율은 2006년도에 약 2.89%에 불과한 것으로 조사되는데, 이는 선진국에서 책정하고 있는 8%에 비해서 매우 낮은 수준이다. 우리나라는 세계가 인정하는 IT 강국이면서도 여전히 보안에 소홀한 국가인 것이다.
더욱 큰 문제는 지능화된 위협에 대응할 수 있는 종합적 능력이 떨어진다는 점이다. 국가정보원과 정보통신부가 발간하는 ‘2006 국가정보보호백서’를 살펴보면 안티바이러스와 방화벽, IDS, IPS와 같은 단위 보안 솔루션의 비중은 많이 늘었지만, 날로 고도화되고 지능화되고 있는 각종 외부 위협에 대응하기 위한 능동적이고 관리적 차원에서의 솔루션 도입은 아직도 저조한 편이라고 지적되고 있다.
나아가 각 보안 솔루션들을 운영하고, 정보보호 침해사고에 신속하고 정확하게 대처하며, 정보자산을 안전하게 관리할 수 있는 정보보호 전담조직 및 전문인력 역시 매우 부족한 실정이다. 정보보호 기술의 발전에 대응해 정보를 노리는 공격 역시 지능화되고 복합화되고 있는 만큼 고도화된 위협에 대응할 수 있는 능력 배양에 보다 힘써야 할 것이 요구된다.
그 동안 보안은 방화벽이나 IPS, 안티 바이러스 도입 같은 단순한 방식으로 이뤄져 왔지만, 이제는 더 이상 개별 보안제품 도입만으로는 내외부의 네트워크 위협과 소중한 정보의 유출을 막을 수는 없다. 개별 보안제품은 복합적이고 지능화된 공격에 한계를 지닐 수밖에 없다. 사고가 발생한 뒤에 조치를 취하던 기존 보안관리 방식으로는 나날이 지능화되는 위협에 효과적으로 대응하기 어려운 것이 오늘날의 현실이기 때문이다.
이미 벌어진 사건들을 모니터링해 신속한 사후 대응을 하는 것도 매우 중요한 일이지만, 지능화된 공격의 증가로 기관과 기업이 보유하고 있는 IT자원에 대한 위험 요소들을 사전에 파악하고 예방할 수 있게 하는 보다 능동적이고 통합적인 관리의 중요성이 점차 커지고 있다. 보안이라는 분야에서 지경을 더욱 넓혀 기업 전체의 비즈니스 프로세스와 연관시켜 더욱 포괄적으로 관리해야 하는 것으로, 다행스럽게도 현재 이러한 움직임은 점차 활발해지고 있다.
보안은 이제 국가 전략이다
더 나아가 다양한 위협으로부터 정보자산을 보호하고, 사전/사후 대응을 가능하게 해 IT 자산에 대한 가용성·무결성·기밀성을 보장하는 한편 IT자산의 위험도를 분석해 적정한 보안수준을 유지할 수 있도록 관리하는 총괄적인 위험관리가 병행 돼야 할 것이다.
지금의 보안은 각 기업과 기관이 보유하고 있는 보안 제품들을 효과적으로 관리해 신속·정확하게 내외부의 위협을 탐지하고 처리하는 수동적인 보안 차원에서 빠르게 발전하는 중이다. 다양한 보안 기술을 활용해 효과적으로 관리하고 내외부의 위험을 미리 예측해 능동적으로 대응하는 것에 초점을 두는 추세로 나아가고 있다.
이는 기존의 보안제품들과의 연동은 물론이고, 기업이나 기관이 보유하고 있는 정보자산과 취약점을 파악해 잠재된 보안위험을 제거하는 것에서 시작한다. 이러한 작업을 통해 발생할 수도 있는 손실을 예방하고, 기업 내부적인 보안 체계를 수립해 안전한 상황을 유지하도록 노력을 기울여야 한다.
‘100% 완벽한 보안’이란 있을 수 없다. 뚫는 자와 막는 자의 ‘결투’가 창과 방패처럼 계속될 것이기 때문이다. 완벽한 보안은 없지만, 우리는 있을 수도 있는 피해를 최소화 시키고 대처할 수는 있다.
이제 보안은 우리나라의 새로운 국가전략이자 비전이 돼야 한다. IT 강국이자 동시에 전세계적인 보안강국으로 우뚝 서야 할 것이다. 거시적인 관점에서, 보안에 대한 인적/물적/시간적 투자가 선행된다면 유비쿼터스 시대에 부합하는 강력한 기업과 국가로 자리매김할 수 있을 것이다.
