[칼럼] 기업 보안, 사람과 시스템 둘 다 바꿔야 한다
"기업이 얼마나 보안을 신경쓰고 있는지 등급을 메겨 소비자가 한눈에 확인할 수 있도록 하겠다"
지난 2월 13일 국회 미래창조과학방송통신위원회에 출석한 최문기 미래창조과학부 장관이 한 말이다. 빠르면 올해 상반기, 늦어도 올해 하반기 내에 '기업 보안 등급 공시제'가 실시된다. 기업의 보안 등급을 A, B, C, D, F 등 다섯 등급으로 나눠 관공서 홈페이지나 기업 상품, 서비스 전면에 표시하는 제도이며, 지난 1월 카드사 개인정보 유출 대란이 일어난 후 정부가 내놓은 후속조치다.
연이은 개인정보 유출 사태로 기업의 보안에 대한 소비자들의 불신이 극에 달해 있다. 때문에 소비자들은 이제 기업의 상품이나 서비스를 선택하며 가격, 품질뿐만 아니라 기업의 보안 수준까지 세심하게 확인하기 시작했다. 기업 보안 등급 공시제가 시행되면 이러한 흐름은 더욱 가속화될 전망이다. 보안이 R&D, 마케팅, 홍보처럼 기업의 핵심 경쟁력으로 떠올랐다는 의미다.
그렇다면 국내 기업들의 보안 수준은 어느 정도일까? 단도직입적으로 말해 '낙제점'이다. 지난해 안전행정부가 기업의 개인정보보호 실태를 조사해본 결과 전체 조사 대상 기업 2,000곳 가운데 72.7%는 개인 정보 보호를 담당하는 부서가 없었고, 95.9%는 암호화 장비 구입, 모니터링 인력 운용 등에 필요한 개인 정보 보호 관련 예산 자체가 없다고 답변했다. 예산을 확보한 기업은 전체의 3.9%에 불과했다.
소비자들의 불신은 더하다. 국내 기업은 보안이라는 개념 자체가 없다고 판단한다. 하나로텔레콤(현 SK 브로드밴드), 옥션, 네이트, 넥슨, KT, 그리고 이번 신용카드 3사까지 연례행사처럼 기업에서 개인정보가 새어나가고 있으니 당연한 판단이다. 오죽하면 중국의 검색 포털 QQ에서 '한국 주민'을 한자로 입력하니 전국민의 주민등록번호가 나온다고 하겠는가.
하지만 위기는 기회가 될 수 있다. 다른 기업이 보안 문제로 쩔쩔맬때 완벽한 보안 대책을 세울 수 있다면 그만큼 시장에서 앞서나갈 수 있을 터. 기업 보안을 사람과 시스템의 관점에서 살펴보자.
열길 물속은 알아도 한길 사람속은 모른다
개인정보 유출은 국내뿐만 아니라 해외에서도 번번이 일어난다. IT 기업 중에는 소니와 어도비의 사례가 유명하고, 카드회사 중에는 로드웨이 D&B와 하틀랜드 페이먼트 시스템즈의 사례가 대표적이다. 그런데 흥미롭게도 미국, 유럽 등 서양 기업과 한국, 중국 등 아시아 기업의 개인정보 유출 양상은 명백한 차이점이 존재한다. 서양 기업은 서버(HW) 또는 운영체제(SW)의 보안 취약점을 통해 해커가 침입하는 시스템적인 문제만 발생하는 반면, 아시아 기업은 시스템 문제와 함께 내부 직원이 개인정보를 유출시키는 사람 문제도 함께 발생한다.
미국 기업인 하틀랜드 페이먼트 시스템즈는 외부에서 해커가 침입해 개인정보를 훔친 반면, 국내 신용카드 3사와 중국 로드웨이 D&B는 내부 직원이 개인정보를 빼돌렸다. 이러한 차이는 어디서 발생하는 걸까. 서양인이 동양인보다 더 양심적이기 때문에? 천만의 말씀이다. 불온한 마음을 먹은 직원은 어디에나 존재한다. 둘의 차이점은 간단하다. 서양 기업은 내부 직원이 개인정보를 빼돌릴 수 있다는 점을 인지하고 이에 대비하는 반면, 아시아 기업은 설마 직원이 개인정보를 빼돌리겠어라고 안이하게 대처하는 경향이 짙다. 서양 기업은 사소한 개인정보 하나만 열람하려 해도 매니저를 거쳐 디렉터의 허가가 필요한 반면, 아시아 기업은 사원, 대리급 직원도 CRM(고객관계관리) 솔루션만 접속하면 고객의 개인정보를 모두 파악할 수 있다. 쉽게 접근할 수 있으니, 직원이 딴맘을 먹으면 막을 길이 없다. "우리 직원은 그럴리 없겠지"라고 순진한 생각을 하는 관리자는 없으리라 믿는다.
서로 다른 기업 문화도 이러한 현상을 부추긴다. 서양 기업은 업무를 먼저 생성하고 거기에 맞는 사람을 찾는다. 반면 아시아 기업은 사람을 먼저 채용하고, 그 사람에게 맞는 일을 찾아준다. 때문에 임파워먼트(권한 부여)의 차이가 심하다. 서양 기업은 업무에 관련된 정보 외에는 직원의 접근을 엄격히 차단한다. 차단되는 정보에는 고객의 개인정보도 당연히 포함돼 있다. 하지만 아시아 기업은 자신의 업무와 큰 관계가 없는 정보도 직원이 쉽게 열람할 수 있다. 그 속에 고객의 개인정보가 섞여 있다. 고객의 개인정보에 별다른 제약 없이 접근할 수 있다보니 해당 정보가 중요한 것인지 판단이 제대로 서지 않는다.
이번 신용카드 3사 개인정보 유출 사태가 그렇다. CRM 솔루션을 구축하기 위해 협력업체에 외주를 주면서 데이터 입력이 제대로 되는지 확인해 보라고 고객의 개인정보를 고스란히 넘겼다. 더미(가짜) 데이터를 넘겨줘야 한다는 사실조차 떠올리지 못했다. 쉽게 접하다 보니 해당 정보의 중요성 자체를 잊어버린 사례다. 다른 기업의 상황도 다르지 않다. 단지 신용카드 3사보다 운이 좋았을 뿐이다. 본사의 CRM 솔루션 속에 암호화돼 들어있으면 차라리 다행이다. 지사의 PC 속에 엑셀 파일로, 그것도 암호화조차 돼 있지 않은 상태로 고객정보를 보관하는 기업이 얼마나 많은가.
단순히 고객의 개인정보가 중요하다는 교육만으론 인식을 바꿀 수 없다. 사소한 개인정보도 관리자가 허가해야 열람할 수 있도록 개인정보를 취급하는 방식 자체를 바꿔야 한다. 기업 역시 개인정보가 R&D 결과물이나 마케팅 전략만큼 중요한 정보라는 것을 깨달아야 한다. 이를 깨닫지 못하면 제2, 제3의 개인정보 유출 대란의 주역이 될 수밖에 없고, 소비자는 하나 둘 발길을 돌릴 것이다.
뭐든지 뚫는 창은 있어도 모든 것을 막는 방패는 없다
모순(矛盾)이라는 말이 있다. 뭐든지 뚫는 창과 모든 것을 막는 방패가 함께 존재할 수 없다는 고사성어다. 하지만 필자는 조금 다르게 생각한다. 모든 것을 막는 방패는 불가능하지만, 뭐든지 뚫는 창은 충분히 가능하다. 방패는 창이 어디로 뚫고 들어올지 모르기 때문에 모든 곳을 신경써야 하고, 그만큼 제작이 힘들다. 하지만 창은 방패의 한 부분만 뚫어도 되기 때문에 촉 부분만 집중하면 된다.
시스템 보안이 창과 방패의 관계다. 막는 것은 대단히 어렵지만, 뚫고자 맘먹으면 안 뚫리는 게 없다. 여기저기 찔러보고 가장 얇은 부분을 힘껏, 또는 여러번 찌르면 뚫린다. 많은 기업이 이렇게 해커에게 당했다. 옥션, 네이트, 넥슨 등 국내에서 손꼽히는 IT 기업뿐만 아니라 소니(플레이스테이션 네트워크), 어도비(어도비CC) 등 해외 유력 IT 기업까지 당한 기업도 참으로 다양하다.
그렇다고 시스템 보안을 신경쓰지 않을 순 없다. 모든 것을 막는 방패는 만들 수 없겠지만, 뚫기 어려운 방패는 충분히 만들 수 있다. 뚫기 어려운 방패를 만들려면 두 가지 방법을 실천해야 한다. 첫째는 다른 기업이 왜 뚫렸는지 분석하고, 해당 취약점이 우리 시스템에 존재하는지 비교하는 것이다. 이를 통해 해킹 시도의 80%를 무력화할 수 있다. 과거엔 DDOS(분산서비스거부) 공격을 통해 약점을 파악하고, 보안 시스템을 뚫는 방식이 해커들에게 선호받았다. 하지만 많은 기업이 이 공격을 막을 방법을 연구했고, 퍼포먼스 서버와 관리용 서버를 분리하는 방식 등 다양한 방어 방법을 도입함으로써 DDOS 공격에 이은 해킹을 막아낼 수 있게 됐다.
둘째는 최신 보안 기술을 도입함으로써 보안 시스템을 보다 견고히 구축하는 것이다. 이를 통해 해킹 시도의 15%를 무력화할 수 있다. 지금도 수많은 IT 기업이 각종 해킹 시뮬레이션을 시행한 후 이에 대한 대처법을 고안해내고 있다. 최고정보보안관리자(Chief Information Security Officer)는 여러 IT 기업과 교류함으로써 다양한 최신 보안 기술을 도입할 수 있어야 한다. 남은 5%를 막아내는 것 역시 최고정보보안관리자의 역량에 달려 있다.
뚫리는 것을 막을 수 없다면 뚫릴 경우 발생할 피해를 최소화하는 것도 하나의 방법이다. 고객 식별을 위한 최소한의 정보(예: ID, 비밀번호, 이메일)를 제외한 나머지 정보는 수집하지 않거나, 수집하더라도 휘발성 데이터로 처리해 즉시 삭제한다면 설령 개인정보가 유출되더라도 큰 문제가 되지 않는다. 해커는 돈이되기 때문에 고객의 개인정보를 노린다. 수집한 정보에 별 다른 가치가 없다면 해커가 노릴 이유가 없다. 국내 회사는 주민등록번호, 주소, 전화번호 등 가치있는 개인정보를 너무 많이 수집한다. 해커가 탐욕스럽게 노릴 이유가 충분하다. 소니와 어도비가 해킹당한 이유도 신용카드 정보를 품고 있었기 때문이다.
사족으로, 최근 클라우드가 최고의 보안 대책인 것처럼 각광받고 있다. 프라이빗 클라우드(자체 구축 클라우드)의 경우 네트워크, 서버(프로세서), 운영체제, 가상화SW, 데이터베이스, 애플리케이션 등 구성요소에 관계된 모든 제작사가 자사의 보안 기술을 강조하고 있다. 기업이 보안에 가장 큰 관심을 보내고 있으니, 모두 '보안 타령'을 하는 게 당연할지도 모르겠다. 퍼블릭 클라우드(임대형 클라우드)도 마찬가지다. 아마존, 마이크로소프트, IBM, 이동통신사 등 모든 관련 기업이 우리가 제일 안전하다고 주장한다. 하지만 잊지 말아야 할 것이 있다. 클라우드에서 각종 인프라, 개발도구, 애플리케이션을 확보하더라도 운영 주체는 어디까지나 기업이며, 보안 역량도 스스로에게 달렸다. 소니와 어도비는 아마존의 퍼블릭 클라우드 'AWS'를 사용했음에도 해커에게 당했음을 잊지 말아야 한다. 클라우드는 좀 더 안전한 솔루션이지, 완벽하게 안전한 솔루션이 아니다.
정부와 소비자 모두 기업에게 보안을 요구하고 있다. 보안은 결국 사람과 시스템으로 요약할 수 있다. 좋든 싫든 최고정보보안관리자는 시스템(IT)뿐만 아니라 사람을 관리할 수 있는 역량(HR)까지 갖춰야 할 시점이다.
- 해당 기사에 대한 의견은 IT동아 페이스북(www.facebook.com/itdonga)으로도 받고 있습니다.
글 / IT동아 강일용(zero@itdonga.com)