최근 대형 개인정보 유출사고가 잇따르면서 보안에 대한 경각심이 높아지고 있다. 보안 해결책으로 제시되는 것 중 하나가 사용자 인식 강화이지만, 이는 말처럼 쉽게 이뤄지는 일은 아니다. ‘사람’은 보안의 출발점인 동시에 종착역으로 매번 사용자의 보안 인식 강화가 강조되지만 실제로 이뤄지지는 않고 있다고 보인다. 실질적인 사용자 인식 강화를 꾀할 수 있는 방안을 3회에 걸쳐 알아본다. <편집자>
최근 유래 없는 보안 사고들이 빈번하게 발생하며 신문 지면과 방송에 떠들썩하게 오르내리고 있다. 특히 최근의 사고는 대규모 개인정보 유출, 금융거래 중단 등 일반 국민들의 생활에 직간접적인 영향을 끼치는 것들이었기에 그 어느 때보다 일반 대중의 보안에 대한 경각심과 관심을 높이고 있다.
매번 대형 사고들이 발생하면 대부분의 IT보안 전문가들은 ‘기업과 기관의 사용자 보안의식을 높여야 한다’는 것을 해결책으로 제시하지만 사용자의 ‘보안의식’ 부재 해결이 보안사고를 예방할 수 있는 최선의 선택이지만, 어떻게 하면 보안의식을 높일 수 있는지 실천적인 방법들에 대한 접근과 논의는 상당히 부족하다. 앞으로 3회에 걸친 연재를 통해 조직의 보안의식 수준을 어떻게 하면 높일 수 있는지 실천적이고 구체적인 아이디어를 함께 고민해 보자.
‘사람’은 정보보호에 있어서 가장 취약한 연결고리로 언급되곤 한다. 고의적인 것이든 우발적 실수에 기인한 것이든 상관없이 사람은 네트워크와 IT 인프라에서 가장 취약한 지점이다. 커다란 쇠사슬의 강도는 평균 두께와 강도가 아닌 가장 약한 고리에 의해 결정된다. 가장 약한 부위가 표적이 되어 공격을 당하면 커다란 쇠사슬일지라도 쉽게 끊어질 수밖에 없다.
최근 대규모 해킹 피해를 입은 SK커뮤니케이션즈나 농협 또한 보안에 지속적인 투자를 하고 최첨단 보안 솔루션을 구축/운영하고 있는 기업들이었다. 방화벽, 침입탐지시스템 및 악성코드 탐지 솔루션 등 다양한 첨단 보안장비를 갖춘 곳이었음에도 당한 이유는 무엇일까? 외부의 공격자가 조직의 IT 인프라에 침투하기 위해 가장 취약한 연결고리를 노리고, 이를 집중적으로 파고들었기 때문이다.
물리학자 출신의 앨리 골드랫 박사는 ‘제약이론(TOC: Theory of Constraints)’에서 “모든 기업은 보다 높은 수준의 성과를 얻어낼 수 없도록 성과를 제약하는 자원이 반드시 하나 이상 존재한다. 기업은 이러한 제약 자원을 파악하고, 개선해야만 기업의 성과를 향상 시킬 수 있다”고 말한다. 이 제약이론은 기업의 IT보안에 적용할 수 있다. 기업이 높은 보안수준을 유지하려면 보안을 제약하는 자원을 개선해야 하는데, 그 보안수준을 제약하는 자원은 바로 사람이 된다.
우리는 보안에 대해서 너무 기술 위주의 접근만을 하고 있으며, 사람에 대한 부분은 도외시하거나 무시하는 경향이 많다. 장비와 솔루션에 많은 투자를 했을지라도 내부 사용자와 관련한 취약성을 계속 방치한다면 사고는 언젠가 발생하게 될 것이고, 보안에 대한 투자는 자금만 낭비하게 되는 꼴이 될 수도 있다.
