[3·20 사이버테러 1주년] “잇따른 대형 보안사고, 보안 불감증 여전”
상태바
[3·20 사이버테러 1주년] “잇따른 대형 보안사고, 보안 불감증 여전”
  • 김선애 기자
  • 승인 2014.03.20 10:27
  • 댓글 0
이 기사를 공유합니다

기본 무시하는 조직문화 개선 시급 … 보안시장 저가경쟁 벗어나야

3·20 방송사·금융기관 전산망 마비사고가 일어난지 1년이 지났다. 3·20 사고 이후 현재까지 우리나라에서는 각종 사이버 보안사고가 끊임없이 일어났다. 6·25 정부기관 홈페이지 해킹사고, 각종 전자금융사기 사고, 최근 드러나고 있는 초대형 개인정보 유출 사고까지 그야말로 다양한 보안사고가 잇따르면서 보안 불감증을 오히려 심화시키고 있다.

대형 보안사고에도 보안업계 ‘침체’
지난해 3·20, 6·25 사고가 발생했을 당시만 해도 보안업계에서는 즐거운 비명을 지를 준비를 하고 있었다. 극심한 경기불황으로 IT 업계 전반이 침체돼 보안업계는 그 어느 때 보다 더 어려운 시기를 겪고 있던 터였다.

보안사고가 발생하면 이와 같은 사고를 방지하기 위한 사업이 신규 발생하면서 보안시장을 활성화 시켜온 것이 사실이다. 그래서 보안사고가 발생하면 보안업계는 매출 성장을 기대하면서 이 사고에 대응하기 위한 준비를 했다.

그러나 정부와 합동조사단이 이 두 사고를 북한에 의한 사이버테러로 규정하면서 정확한 사고경위나 피해내용, 재발방지 대책 등에 대한 상세한 조사는 흐지부지 종료돼 보안시장이 새로운 기회를 얻지 못했다.

심종헌 KISIA 회장은 “기업은 연초에 당해연도에 반드시 필요한 보안사업을 계획하고, 체계적으로 추진할 수 있도록 예산을 배정해 두는데, 대형 보안사고가 발생하면 이 사고에 대응하기 위한 예산으로 사용하고 만다. 해당 시점에 추진되지 못한 보안사업이 다시 취약점이 되어 사고가 발생하는 악순환이 계속된다”며 “애초에 계획된 보안사업은 예정대로 추진하며, 새로 발생한 사고에 대해서는 별도의 예산을 책정해 진행해야 보안 취약점을 낮추는 방법인데, 그렇게 되지 못하는 상황이 안타깝다”고 토로한 바 있다.

웹 통한 악성코드 유포 ‘심각’
지난해 하반기에는 고도화된 피싱·파밍으로 인한 전자금융사기 및 웹페이지를 통한 악성코드로 일반 사용자들에게 피해를 입히는 사고가 빈번하게 발생했다.

빛스캔이 매주 발간하는 ‘인터넷 위협’ 보고서에서는 악성코드 유포지로 이용되는 웹사이트는 사용자들의 방문이 많은 언론사, 인터넷 쇼핑몰, 인터넷 교육기관, 인터넷 배너 제작 대행사는 물론이고, 국내 대표적인 IT 기업도 포함돼 있다.

국내 대표적인 인터넷 포털의 특정 구간이나 배너도 위조돼 파밍 공격에 이용되기도 하며, 모바일 웹을 통한 공격도 심심치 않게 일어난다.

웹을 통한 공격은 예방이 쉽지 않다. 시큐어코딩을 적용해 설계 단계에서부터 소스코드 보안 취약점을 제거해야 하며, 웹 사이트 운영 중에도 상시모니터링을 통해 공격을 막을 수 있어야 한다. 그러나 대부분의 기업/기관에서는 자사에 직접적인 피해가 없다면 큰 관심을 갖지 않기 때문에 웹페이지 취약성 공격은 줄어들지 않는다.

보안인력에게 책임 떠넘기는 개인정보 유출 사고
이보다 더 큰 문제가 개인정보 유출이다. 최근 잇달아 드러나고 있는 개인정보 유출 사고는 SC은행, 한국씨티은행 등 제1금융권과 KB국민카드, 롯데카드, NH농협카드 등 신용카드사, 이동통신3사 등 극히 민감한 개인정보를 취급하는 기관에서 발생한 것이어서 충격을 더하고 있다.

이 사고는 내외부 직원이 직접 서버에 USB를 연결해 개인정보를 저장하거나 직접 인쇄해 가져가는 방법을 사용해 가장 기초적인 보안 정책도 제대로 지켜지지 않았다는 비판을 받는다.

KT는 해커들이 초보적인 해킹툴을 이용해 개인정보를 빼간 사례로, 고객정보 보호 의무를 소홀히 한 혐의로 KT 보안팀장이 불구속 입건되기도 했다.

사고를 일으킨 기관들은 경영진의 사퇴와 개인정보 유출 피해 고객에 대한 보상을 약속하고 있으며, 정부는 개인정보보호법과 정보통신망법을 더욱 강화해 개인정보 유출사고를 일으킨 기관에 대한 강력한 처벌을 내리겠다고 발표했다.

그러나 보안팀장 입건, 경영진 사퇴로 사고가 재발하지 않으리라는 보장이 없다. 특히 보안담당자에 대한 처벌과 관련, 보안업계 전반이 술렁이고 있다. 보안사고가 일어났을 때 보안 담당자를 처벌한다면 누가 보안업계에 몸을 담겠는가 하는 것이다.

보안업계에서는 “KT 보안팀장에 대한 처벌을 보면서 보안업계에 종사하고 있다는 것 만으로 잠재적인 범죄자가 되는 것 아닌가라는 회의가 든다” “보안산업 침체로 보안 전문인력을 확보하는 것도 어려운데, 이번 사고로 더 많은 인재들이 빠져나갈 것 같아 걱정이다”라는 등 비판의 목소리가 쏟아지고 있다.

구태언 테크앤로법률사무소 대표변호사는 “보안사고를 완벽하게 막을 수 있는 방법은 없다. 보안사고는 필연적으로 일어날 수 밖에 없으며, 정부는 보안사고를 일으킨 범죄자를 처벌하는데 초점을 맞춰야 한다. 지금처럼 보안 담당자와 경영진에 대한 처벌만을 강화한다면, 담당자와 경영진은 보안을 강화하기보다 사고를 숨기는데 급급할 것”이라고 지적한 바 있다.

보안업계 고질적인 병폐, 해결 방법도 없다?
대규모 보안 사고가 끊임없이 이어지고 있지만, 이를 해결할 수 있는 희망이 보이지 않는다는 것이 가장 큰 문제이다. 우리나라 보안 시장은 오랫동안 해결하지 못한 고질적인 병폐에 시달리고 있다.

가장 심각한 것은 보안의 기본을 지키지 않는다는 것이다. 막대한 예산을 들여 보안 시스템을 구축하고, 보안 정책을 수립하며, 임직원 교육과 변화관리 프로젝트를 시행하지만, 현업에서는 보안정책을 위반하는 일이 비일비재하게 일어난다.

외주직원에게 비밀번호 하나로 시스템 전체를 총괄하는 마스터 관리권한을 주는가 하면, 부서장의 아이디와 패스워드는 부서원이 공유하면서 밀린 결재를 대신 하는 일도 비일비재하게 일어난다.

강력한 보안을 보장하는 망분리 환경에서도, 망간 데이터 전송시 반드시 관리자의 승인을 받아야 하지만, 대부분의 경우 승인절차를 생략한다. 관리자가 수많은 전송 데이터를 일일이 검토할 수 없으며, 직원들의 업무 효율성이 떨어진다는 이유 때문이다.

이처럼 보안정책을 쉽게 위반하는 환경이 변화되지 않으면 보안위협을 낮출 수 있는 방법이 없다.

보안업계 저가경쟁 “닭이 문제냐 달걀이 문제냐”
저가경쟁을 유도하는 보안시장의 고질적인 문제도 있다. 우리나라 보안 솔루션은 각각 경쟁력을 가진 특정 기능에 있어서는 외산 솔루션을 능가할 정도로 앞선 기술력을 자랑한다. 이 기술을 더욱 고도화해 안정성이 높은 제품으로 승부하는 것이 기업과 시장을 성장시키는 유일한 방법이다.

그러나 국내에서 사업을 영위하기 위해서는 어쩔 수 없이 가격경쟁을 할 수 밖에 없으며, 사업을 수행하면서 수익을 내지 못해 기술개발에 투자하지 못하고 핵심 기술력을 발전시키지 못하게 된다.

현금 유동성 확보를 위해 특정 기간에 유행하는 포인트 솔루션을 급조한 후 저가로 판매하면서 더욱 가격경쟁을 심화시키는 악순환은 해결되지 않고 있다. 고객은 컴플라이언스 때문에 어쩔 수 없이 제품을 사지만 결국 사용하지 못하고 예산만 낭비하는 셈이 되며, 보안 솔루션이 보안 취약점으로 전락하는 경우도 비일비재하다.

업계에서는 “어떤 보안 장비 업체는 제품의 무게를 달아 판매하는 수준이더라” “특정 사업에서는 합리적으로 결정된 금액의 10% 수준으로 수주한 벤더도 있는데, 사업을 수행하면 큰 손해를 입게 돼 사업을 계속하지도, 중단하지도 못하는 상황이라더라”는 등의 소문이 무성하다.

“보안 강화 위해 조직·문화·예산 삼박자 맞아야”
올해도 역시 크고 작은 보안사고가 연이어 발생할 것으로 예상된다. 개인정보 유출 문제는 이미 발생해왔던 것이 고구마 줄기 엮듯 줄줄이 드러날 것이며, 웹페이지를 통한 악성코든는 모바일웹으로 확장되면서 개인에 대한 직접적인 공격이 이어질 것이다.

내외부 직원에 의한 정보유출 사고, APT와 같은 지능적인 보안공격 등도 끊임없이 발생할 것이며, 나아가 사물인터넷, SDx, 가상화·클라우드 등 새로운 IT 환경을 타깃하는 고도화된 공격도 끊임없이 발생할 것이다.

정태명 성균관대 교수는 “개인정보보호를 비롯해 보안 위협을 낮추기 위해서는 조직과 문화, 예산의 삼박자가 균형을 이뤄야 한다. 보안정책을 체계적으로 수립해 지키는 문화를 만들고, 보안조직에 힘을 실어 전사 보안 수준을 올릴 수 있도록 해야 하며, 필요한 예산을 필요한 곳에 반드시 사용할 수 있도록 해야 한다”며 “현재 많은 기업/기관에서는 보안예산이 턱없이 부족할 뿐 아니라 조직과 문화 면에서 상당한 수준으로 떨어져있다. 이 문제를 시급히 해결해야 한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.