“보안도 창의성이 있어야 한다”
상태바
“보안도 창의성이 있어야 한다”
  • 김선애 기자
  • 승인 2012.10.19 16:56
  • 댓글 0
이 기사를 공유합니다

임종인 개인정보보호포럼 대표 “공격자 심리 역으로 이용해야…개인정보보호 수준 등급제도 시급”

“보안도 창의성이 있어야 한다.”

임종인 고려대학교 정보보호대학원장의 주장이다. 임 교수는 정교한 공격에 대응하기 위해서는 전통적인 대응방식에 얽매어서는 안되며, 창의적인 사고를 기반으로 공격 패턴을 읽어야 한다는 설명을 덧붙인다.

지능형 지속가능 위협(APT)·표적공격(ATA) 등 최근 보안위협들은 사회공학적인 방법과 사람의 심리를 이용하는 방법을 사용하며, 이전에는 생각하지 못했던 매우 독창적이고 기발한 방법으로 ‘사람’을 공격하고 있다. 따라서 보안업계에서는 공격자의 심리를 파악하고, 이를 역으로 이용해 공격을 막을 수 있는 방법을 찾아야 하며, 이를 위해서는 매우 창의적인 아이디어를 풍부하게 갖고 있어야 한다.

임 원장은 “보안에 있어 가장 중요한 것은 사람이다. 고성능 보안 솔루션이 있어도 사람의 부주의나 실수 때문에 시스템이 뚫릴 수 있다. 보안 조직이 아무리 철저하게 시스템을 정비하고, 관리한다 해도 직원 한 사람이 악성코드가 감염된 메일을 클릭하는 순간 철통같은 방어체제가 허물어지게 된다”고 주장했다.

“법 집행은 강력하게…‘당근’ 전략도 필수”
임 원장은 9월 발족된 개인정보보호포럼의 대표로 선출됐다. 한국정보화진흥원(NIA) 주관으로 결성된 포럼은 개인정보보호 정책을 제안하고 전문가와 실무자 사이의 교류 확대와 개인정보보호 인식제고를 위한 활동을 펼쳐나갈 계획이다.

임 원장은 “포럼을 통해 산·학·연 전문가과 실무자와의 정책 제안이나 공동연구를 시행하고 정책발전을 위한 조언을 하고 있다”며 “관계 부처들의 개인정보보호 수준과 노력이 상향평준화될 수 있도록 노력한다”고 말했다.

현재 우리나라에서는 개인정보보호와 관련된 정책이 수없이 쏟아지고 있다. 지난해 9월부터 시작된 개인정보보호법이 대표적인 예로, 다른 나라의 정책과 비교했을 때 상당히 강력한 수준의 정보보호 대책 마련을 주문하고 있다.

그러나 법 시행 초기인 만큼 혼란도 적지 않다. 개인정보보호법에 따르면 내년부터 개인정보유출사고가 발생하면 해당 기업/기관은 2년이하의 징역이나 1000만원 이하의 벌금이 부과된다. 개인정보 유출사고가 발생했을 때 피해자의 집단소송이 가능해지기 때문에 기업과 기관의 정보보호 노력이 더욱 절실하다.

그러나 규제를 지키기 위해 구체적으로 무엇을 해야 하는지 알지 못하는 기업이 많다. 행정안전부의 지침에 따르면 개인을 식별할 수 있는 정보는 암호화하거나 이와 같은 효과를 낼 수 있는 기술을 적용해야 한다.

그러나 DB 암호화를 적용하면 시스템 성능이 느려지기 때문에 금융권 등 응답속도가 중요한 산업에서는 암호화 도입에 난색을 표하고 있다. 예산과 인력이 부족한 중소기업과 소규모 사업자들은 개인정보보호법이 규정한 모든 시스템과 프로세스를 도입하는데 어려움을 겪고 있다.

임 원장은 “현재 개인정보보호법이 우리나라 기업 현실에 비춰봤을 때 강력하다는 지적은 사실”이라며 “강력한 법 제정 이후 이를 준수할 수 있도록 다양한 지원이 마련돼야 한다. 포럼에서는 기업/기관의 법 준수와 이행의지 제고를 위해 노력하면서, 정책적인 지원이나 제도개선 방안 등을 제안하고자 한다”고 밝혔다.

“업무 특성 맞는 정보보호 기준 마련돼야”
임 원장은 이어 “단지 법 준수만을 위해 보안 솔루션을 도입하는 것은 현명하지 못하다. 시스템적으로 보안을 강화할 수 있는 방법이 필요하며, 기업과 기관이 자발적으로 보다 안전하게 정보를 보호할 수 있는 노력을 기울일 수 있도록 유도해야 한다”고 강조했다.

그 방법으로 임 원장은 기업/기관의 개인정보보호 수준을 몇 단계의 등급을 매겨 평가하는 기준을 만들어야 한다고 주장했다. 신용평가기관이 기업/기관과 개인의 신용등급을 매겨 금융거래에 제약을 주거나 혜택을 주는 것과 같은 방법이다.

예를 들어 개인정보보호 수준 최상위 등급을 받은 기업에서 개인정보 유출사고가 발생했을 때 보다 완화된 처벌을 내리고, 낮은 등급을 받은 기업에서 사고가 발생했을 경우 매우 엄중한 처벌을 내린다.

개인정보보호수준 평가기준을 마련하기 위해서는 기술이나 벤더 중립적이고, 객관적인 평가를 내릴 수 있는 기관이 필요하며, 기존의 신용평가기관에서 맡거나 별도의 독립적인 기관을 설립하는 것도 방법이 될 수 있다.

임 원장은 “현재 개인정보영향평가나 개인정보보호인증 등이 있지만, 일정한 기준을 만족시키느냐 여부를 단정하는 방식으로 정보보호 수준을 높일 수 없다. 단지 규제준수만을 위한 보안 시스템을 구추하는데 급급해 허술한 솔루션을 도입한 후 정보보호를 위해 최선을 다했다고 주장하며 책임을 회피하려는 태도를 보일 수 있기 때문이다”라고 경고했다.

그는 “개인정보보호인증을 통과한 기업에서도 개인정보 유출사고가 일어났다. 규제준수가 아니라 근본적인 개인정보 보호 노력을 유도하기 위해서는 비즈니스 특성에 맞는 보안 정책을 수립했는지 객관적으로 검증하고, 올바른 정보보호 노력을 이끌어낼 수 있는 환경이 마련돼야 한다”고 거듭 강조했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.