각종 해킹 및 보안사고는 어제 오늘의 일이 아니다. IT 인프라의 확대 및 발전에 따라 새로운 해킹 기술이 증가하고 빠르게 확산되고 있다. 2008년에도 개인정보 유출과 관련된 크고 작은 사건 사고들이 뉴스의 헤드라인을 장식했고, 한편에서는 금전적 이득을 노리는 악의적인 분산서비스거부(DDoS) 공격으로 많은 서버 및 네트워크 등의 가용성에 문제가 발생했으며, PC에서는 여전히 새로운 악성 코드들로 수많은 장애를 일으켰었다.

예전부터 수많은 해킹 사고들이 있어왔지만, 최근의 보안 위협은 단순 자기 과시욕에서 끝나는 것이 아니라, 금전을 노리는 ‘범죄’ 행위로 개인뿐 아니라 조직, 기업화되고 있어 더욱 문제시되고 있다. 거액을 노리고 고객 개인 정보를 다량 유출하는 행위, 노골적으로 금전 갈취를 요구하며 행해지는 DDoS 공격 등 최근의 보안 위협은 일반적인 해킹과는 질적으로 다른 명백한 사이버 범죄 행위다.

보안, 프로세스로 정립·유지돼야
이러한 보안 사건/사고를 접할 때 보안에 대한 정확한 개념이 없는 사람들은 두 가지의 상반된 반응을 보이게 된다.

첫 번째 유형은 비관적인 사고 유형이다. 이들은 ‘역시 보안은 100% 완벽할 수 없어. 어차피 보안에 투자한다고 해도 문제는 발생하니까 보안에 지속적으로 투자하는 것은 바보 같은 짓이야’라고 생각한다. 물론 완벽한 보안이란 있을 수 없다. 그러나 문제를 그대로 방치하거나 단순하게 취급하면 더욱 큰 문제를 야기하게 된다. ‘깨진 유리창의 법칙’이라는 범죄 이론이 있다. 깨진 유리창을 그대로 방치하면 그 지점을 중심으로 범죄가 확산되기 시작한다는 이론이다.

이와 마찬가지로 적절한 보안 솔루션과 보안 관리 프로세스를 갖추고 있는 조직에 대해서는 내부인이든 외부인이든 쉽게 해킹 시도를 하려 하지 않는다. 그러나 내외부에 허점이 버젓이 드러나 있으면, 각종 사고와 해킹 시도가 자연스럽게 증가하게 되며, 그로 인한 피해를 피할 수 없게 된다.

두 번째 유형은 긍정적인 사고 유형으로 ‘우리는 보안 솔루션에 투자를 많이 했기 때문에 침해 위협으로부터 안전하다’라는 입장을 보인다. 이러한 주장 역시 보안에 대한 이해 부족으로 인한 오류다. 보안 솔루션은 기업의 정보와 자산을 지키기 위한 도구일 뿐이다. 전쟁에서 우수한 무기를 갖추고 있다는 것이 전쟁의 승리를 보장하지 않는 것처럼 보안에서도 다수의 솔루션이 안전을 담보해주는 것은 아니다.

보안에서 가장 어려우면서도 중요한 것은 결국 사람과 관리 프로세스다. 솔루션 도입이 능사가 아니며, 일회성이 아니라 지속적으로 이뤄져야 하는 프로세스로써 지속적인 보안 관리가 뒷받침될 때에만 보안 사고를 막을 수 있다.
내부 보안의 어려움
최근의 보안 사고의 또 다른 특징은 대량 개인 정보 유출 사고와 같이 내부자에 의한 사고 발생 빈도가 높아지고 있다는 것이다. 내부자에 의한 보안 사고는 대외적 기업의 신뢰도 저하뿐 아니라, 기업의 핵심 기술 및 정보 유출로 인한 사업 기반의 약화, 개인들의 집단 손해 배상 소송등과 같은 문제로 확대돼 기업을 존폐 위기로 몰아갈 수 있는 위험 요소다.

기존 전통적인 보안의 접근은 불법적인 외부의 침입에 효과적으로 대응하는 것으로 이 결과 백신(Vaccine), 방화벽(Firewall), 침입방지시스템(IPS) 등이 대표적인 솔루션으로 자리잡게 됐다. 그러나 최근 내부자에 의한 보안 사고 증가는 네트워크 접근제어(NAC), 데이터 유출 방지(DLP),보안USB 등 내부자와 관련된 보안 기술을 각광 받게 하고 있다.

기업의 입장에서 내부자의 보안 문제는 상당히 중요하면서도, 관리하기 어려운 분야일 수밖에 없다. 기존 보안 솔루션은 IT인프라에 잘 적용하기만 하면 됐지만, 내부자의 보안 문제를 다루는 솔루션들은 장비나 물건이 아닌 내부사용자 및 조직에 적용시켜야 하기 때문이다. 더욱이 내부 직원들은 기업의 정보를 생성하는 정보 생산자인 동시에 업무에 정보를 주로 활용하는 활용자이기 때문에 외부의 위협 방어와 같이 원천 차단이 힘들 수밖에 없다.

또 보안 기술과 솔루션을 조직에 잘못 적용할 경우는 예기치 못한 부작용이 발생할 수 있다. 조직의 이해와 수준을 넘어서는 보안 정책을 적용했을 경우에는 주인의식이나 연대감을 약화시킬 수 있으며, 지나치게 복잡한 보안 절차는 정상적인 업무 환경에 불편을 초래해 업무 효율성과 생산성을 침해할 수 있다.

따라서 내부 보안 솔루션의 바람직한 적용 방안은 단계적 보안 목표를 가지고 점진적으로 보안 정책을 강화해 나아감으로써 생산성과 보안성을 희생하지 않고 최종 목표에 도달하게 하는 것이다. 내부 직원들은 기기가 아니므로 새로운 환경 적응을 위한 시간과 교육이 절대적으로 필요하다는 것을 경영진과 관리자 그룹은 인식해야 한다.

관리하기 어렵고, 투자가 많이 들어간다고 해서 첫 발걸음을 내딛는 것을 주저해서는 안 된다. 세계 각국의 정부들이 기업의 사회적 책임과 의무를 요구하고 있다. 최근 정부가 포털에서 개인 사용자들이 올리는 저작물과 게시 내용에도 엄격한 책임과 관리를 요구하듯이 기업에게 지적재산권 보호의 책임, 소비자 개인정보 보호책임, 각종 산업 컴플라이언스 준수 의무와 책임이 강조되고 있다. 보안에 대한 투자가 미연의 사고를 예방하기 위한 일시적인 투자라는 구태의연한 생각은 벗어버리고, 사회가 기업에게 요구하는 책임과 의무를 게을리 하지 않을 때 사랑 받는 기업으로 지속적인 생존이 가능하다.

역동적인 유연한 보안 솔루션 ‘절실’
PC 분야의 안티바이러스(Anti-virus), 네트워크 분야의 방화벽(Firewall)이 보안 솔루션의 전부였던 시대가 불과 10여년 전이다. 이제는 보안 위협이 단말기에서 네트워크까지, 개인에서 단체(기업)에 이르기까지 종횡으로 확대·전개됨에 따라 다양한 보안 솔루션이 사용되고 있다.

그동안 가장 효과적인 보안의 실현은 초기 IT 인프라 구축 시에 보안을 전반적으로 고려한 철저한 설계가 필요하다고 피력했지만, 초기 투자의 어려움, 다양한 보안 기술과 해킹 방법의 진화 등으로 IT 인프라의 구축 후에 고려되는 것이 사실이다. 또 IT 인프라 구축 후 보안의 실현을 위한 변경, 이로 인해 재구축에 따른 추가 손실을 감내하고 있기도 하다.

해킹 기술 발전이 역동적으로 이뤄지는 추세에 따라 매번 인프라 재구축을 주장하기보다는 현재와 미래의 변화에 역동적으로 대응할 수 있는 유연성이 있는 보안 솔루션들이 개발돼야 한다.

기업들은 그 동안 신규 보안 솔루션에 지속적으로 투자해 왔고, 새로운 솔루션을 도입할 때마다 인프라를 변경하고 적용하느라 적지 않은 고생을 해왔다. 그러나 새로운 위협이 나타날 때마다 매번 단편적으로 적용하는 식으로 언제까지 감내할 수 있을지 의문이다. 미래의 보안 솔루션은 기 구축된 인프라와 적절한 조화를 이루며, 보안 시너지를 낼 수 있도록 유연성, 그리고 통합적인 방향으로 발전돼야 할 것이다.