[미래포럼] 정보보안을 위한 대응자세

이임영 순천향대학교 컴퓨터학부 교수

컴퓨터 네트워크의 기술발전으로 어디에서나 원하는 정보를 쉽게 찾아볼 수 있게 됐다. 특히 인터넷의 보급확산은 국내는 물론 태평양이나 대서양 너머에 있는 국가의 정보시스템에까지 접속할 수 있는 여지를 마련했다. 그러나 원거리에서 정보시스템에 접속할 수 있게 됨에 따라 인증받지 않은 사람들이 전산시스템에 접속, 중요한 정보를 깨뜨리는 등 적지 않은 문제를 야기시키고 있다.

따라서 네트워크의 기술발전 못지않게 최근에는 보안에 대한 중요성이 한층 강조되고 있다. 과거처럼 물리적으로 전산센터를 단단히 지어 정보시스템을 격리시키는 것만으로 보안을 유지할 수 없게 됐기 때문이다.

오늘날과 같이 네트워크가 다양화하고 컴퓨터가 범람하게 된 상황에서는 종래 같은 방식의 시큐리티 대책만으로는 근본적인 문제를 해결할 수 없다. 정보보안에 대한 전반적인 재인식이 필요하다는 것이다. 이것은 개방된 정보시스템 환경에서 정보보안을 생활의 일부로 인식해야 하며 지속적인 대응책을 마련하지 않으면 안된다는 것을 의미한다. 해커의 출현 등 현재와 같이 교묘하게 정보시스템을 교란시키는 사용자들이 늘고 있는 상황에서는 정보시스템의 보안대책 역시 더 많은 투자와 지속적인 연구를 수반해야 한다는 것이다.

건전한 정보사회를 구축하기 위해서는 우선 정보시스템을 운용하고 있는 조직체가 보안대책을 충실히 확립하는 것이 필요하며, 정보사회를 살아가는 개개인 역시 철저한 대응 자세를 갖추는 것이 중요하다.

그러나 지금은 개인적인 차원에서 정보보안에 대응하기 위한 제도적 장치가 없다고 해도 과언이 아니다. 그만큼 정보보안에 무관심했다는 것이다.

정보보안에 대해 의식을 갖고 있는 사람은 염려가 되어 그 대책을 생각하지만 의식이 없는 사람의 입장에서는 정보보안의 중요성을 잘 인식하지 못한다. 이것은 식사예절과 비교할 수 있다. 예를 들어 식사예절이 바른 사람과 음식을 입에 넣은 상태에서 이야기를 한다든지, 소리 내어 음식을 씹는 식사예절이 나쁜 사람이 함께 식사를 할 경우 식사예절이 바른 사람은 대단히 불쾌한 기분을 가지나 예절이 나쁜 사람은 전혀 의식하지 못한다. 이 차이는 무엇일까. 식사예절이 나쁜 사람은 예절교육을 전혀 받지 않았기 때문에 의식이 없고 미안한 마음도 갖지 않을 것이다. 그러나 예절교육을 받게 되면 식사예절을 몸에 익혀 다른 사람에게 불쾌감을 주지 않고 식사를 할 수 있게 된다.

정보보안도 마찬가지로 개개인이 시큐리티의 의의나 그 중요성을 인식하지 않는 것은 각종 위험에 대한 위기 의식을 갖지 않는 것과 마찬가지인 것이다. 이러한 것이 『시큐리티에 돈을 들여도 이익을 얻을 수 없으므로 이러한 투자는 필요 없다』는 주장을 낳게 하는 요인이 되기도 한다.

눈부시게 발전하고 있는 오늘날 정보시대에 사업을 지속시키기 위해서는 시큐리티 대책이 불가결의 요소라는 상황을 인식하고, 시큐리티에 드는 투자가 당연히 부담하여야 하는 경비임을 빨리 인식해야 할 것이다. 사고나 재해 등에 대한 대비와 마찬가지로 시큐리티 대책을 미리 세우고 비용을 부담하는 것이 훨씬 값싼 것임을 인식해야 한다.

이러한 상황에서 다양한 차원의 시큐리티 교육이 필요함은 틀림없다. 시큐리티 교육을 실시함에 있어 무엇을 어떻게 교육하면 될까라는 것은 대단히 어렵고 명확하지 않다는 것도 사실이다. 여기에서는 정보시스템에 관련된 일반적인 레벨을 대상으로 한 시큐리티 교육을 실시함에 있어 기본적인 내용에 대하여 살펴보기로 한다.

먼저 정보보안의 의미를 모르고는 시큐리티 대책을 진행시킬 수 없을 것이기 때문에 시큐리티가 무엇이고, 왜 필요한가 등의 개념을 가르칠 필요가 있다.

그리고 정보시스템을 사용함에 따라 발생할 수 있는 보안상 위험요소가 무엇인지도 배워야 한다. 정보시스템을 사용할 때 해커가 침입할 수 있는 여지를 남길 수 있기 때문이다. 따라서 정보시스템을 이용할 때마다 어떠한 위험요소가 발생했는지, 위험을 방지하려면 어떻게 대처해야 하고, 어떤 방식으로 이를 분석해야 할 것인지를 알아야 한다.

또한 컴퓨터 범죄가 무엇이고 무엇이 원인이 되어 발생하는가 등과 구체적인 시큐리티 대책의 방법과 그 메커니즘 및 역할을 가르쳐야 할 것이다.

그밖에 시큐리티 기준, 시큐리티 관련 법규, 시큐리티 감사 등이 있을 수 있다.

이제 21세기도 얼마 남지 않았으며 앞으로 수년 사이에 맹렬한 기세로 정보화는 진전되어 갈 것이다. 2000년 혹은 2010년이라는 것은 얼마 남지 않은 미래이지만 그때를 예측하는 것은 대단히 어려울 것이다. 그러나 명확한 것은 정보화가 진행되면 될수록 사고나 재해 등의 영향을 받는 범위가 넓어지고 컴퓨터 범죄가 대규모 그리고 복잡 다양하게 진행되는 등 이를 그대로 방치해 두면 보안문제가 더욱 심각하게 대두될 것임에 틀림없다. 따라서 정보보안은 정보사회의 기반적 요건임을 아무리 강조하여도 지나침이 없을 것이다. 정보시큐리티에 대한 만반의 준비를 함으로 더욱 밝고 건전한 정보사회를 구축할 수 있을 것이다.