“정보보안은 IT뿐 아니라 모든 임직원의 문제”
과거의 정보보안 위협은 비교적 단순했다. 공격자는 인터넷을 통해 서버의 IT시스템 취약성을 찾아 1차로 IT시스템의 권한을 획득한 후, 이 권한을 이용해 내부에 있는 시스템에 접근하는 방식이 일반적이었다. 내부자에 의한 정보유출 위협도 비교적 단순했다.
이러한 공격을 대응하는 것은 크게 어렵지 않았다. 인터넷과 연결된 구간에 방화벽 등 보안시스템을 설치하고 잘 관리하며, 인터넷에 공개돼 있는 서버의 취약성들을 기술적으로 해결해주면 대부분의 보안문제를 해결할 수 있었다. 즉 보안은 IT 문제였고, IT기술을 가진 보안 담당자가 대부분의 문제들을 해결할 수 있었다.
그러나 불행히도 갈수록 보안 위협은 단순하지 않다. 전통적인 위협 이외에도 애플리케이션 취약성을 이용하거나 DDoS 공격, 사용자 이용공격, 무선공격, 연계망 침투, 내부자에 의한 정보유출까지 추가적인 보안 위협 경로들이 생겨났다. 더욱이 최근에는 스마트폰을 통한 공격도 대두되고 있다.
기술 발전과 더불어 많은 침투 경로들이 생겼고, 안타깝게도 더 이상 IT기술자들만이 해결하기에는 어려운 영역들이 발생하고 있다. 지금의 정보보안 문제는 IT뿐 아니라 모든 임직원들의 문제다. 전 직원들이 보안의식을 가지고 자신이 무엇을 해야 할지 명확히 교육받아야 하며 전사적인 정책하에 움직여야 한다.
기업의 경영층은 더 이상 정보보안을 기업의 IT부서 하의 작은 조직에 맡겨서는 안 된다. 보안에 대해 기업 전체가 관심을 가지고 지속적으로 노력해야 하는 것이다.
기업 고유의 보안체계 수립 필수
기업이 제대로 보안을 하기 위해서는 고유의 보안 체계 수립이 필요하다. 그리고 이를 위해서는 ▲무엇을 보호할 것인지 ▲보호하고자 하는 정보에 어떤 위협이 예상되는지 ▲어떤 우선순위로 어느 수준만큼 보호할 것인지 ▲인적 리스크는 어떻게 대응할 것인지 ▲어떻게 보안 체계를 지속할 것인지 5가지 물음에 답할 수 있어야 한다.
몇 가지 대책으로 보안문제가 대부분 해결될 것처럼 선전하다가 문제가 발생하면 핑계되는 보안업체들도 반성이 필요하다. 취약요소가 곳곳에 있음에도 불구하고 잘 대응되고 있다고 보고하다가 문제가 발생하면 당황하는 기업의 보안관리자들을 보면서도 안타까움을 느낀다. 보안사고가 발생하면 CEO를 징계하겠다는 대책도 이슈의 여지가 있다.
위험은 항상 존재하고 있고 모든 대책은 한계를 가지고 있다. 내가 아무리 주의해서 운전해도 미친 사람이 돌진하면 사고가 날 수 있다. 그렇다고 해서 보안을 운에 맡길 수는 없다. 내가 부주의 하지 않아도 사고는 날 수 있다. 그러나 주의하면 사고를 줄일 수 있다. 결국 보안대응의 목적은 위험을 0으로 만드는 것이 아니라 위험을 어떤 허용 가능한 범위 내로 관리하기 위함이다.
이를 위해 기본 체계를 수립하고 이후에는 지속적으로 진단하고 대책을 구현하고 점검해야 하는 프로세스를 밟는 것만이 왕도라는 것을 기억해야 한다.
