[열린마당]정보보호가 경쟁력

◆백태종 에이쓰리시큐리티컨설팅 사장 tjb@a3sc.co.kr

　

　얼마 전 일어난 인터넷 마비사태는 현재 우리나라의 사전예방 관리능력과 보안사고 대응능력의 현실을 보여주는 사건이라고 할 수 있다. ‘윈도 SQL슬래머 웜’이 일으킨 인터넷 마비사태를 직간접적으로 수습하면서 느낀 아쉬움이 몇 가지 있다.

　먼저 정기적인 취약점 분석과 장기적인 보안컨설팅을 받았다면 취약점을 사전에 판단할 수 있었다는 것이다. 운용하고 있는 전체 시스템 중에서 어느 부분이 취약하고 또 그 보완방안이 무엇인지 알고 나서 대비했더라면 그러한 ‘사태’를 방지할 수 있지 않았을까 하는 생각이 든다. 취약점 분석이나 보안컨설팅까지는 받지 않았더라도 네트워크의 취약점을 진단하는 도구를 사용해 이상징후를 사전에 발견하고 신속히 대처할 수 있었다는 점도 아쉬운 부분이다. 뿐만 아니라 외부 전문가에게 CERT서비스를 받고 있었다면 인터넷 마비사태가 발생했다 하더라도 정보부족이나 인력부족으로 인해 피해가 확산되는 일을 방지할 수 있었을 것이다.

　이번 사태를 야기한 원인을 전체적인 관점에서 보면 첫번째 원인은 조직책임자(경영자 또는 기관장)의 정보보호에 대한 마인드가 부족했던 점이라고 생각한다. 기업과 기관의 전산담당자들을 만나보면 보안에 대한 투자를 꺼리는 이유로 적은 예산과 인력상황을 언급한다. 이는 정해진 자원으로 정보보호업무를 수행함에 있어 어려움이 많다는 것이고, 다른 업무를 겸임하는 경우도 많아 정보보호업무는 우선 순위에서 밀리기 마련이다.

　두번째 원인은 일반 사용자의 정보보호에 대한 마인드가 부족했던 점이라 생각한다. 특히 인터넷서비스의 경우 ‘얼마나 빠른 초고속망 서비스를 제공할 수 있느냐’는 것만이 경쟁력의 요인으로 판단되고 있기도 하다. 이는 매년 ETRI의 ISP 성능측정 결과 등 외부기관들의 ISP평가가 속도 위주 기준이어서 ISP들이 보안에 대한 우선순위를 뒤로 하게 만드는 원인이 되고 있다. 결국 일반사용자의 보안 요구사항이 증가해야 기업 및 기관들의 보안에 대한 투자가 늘어나고, 정보보호산업도 성장해 국가경쟁력으로 자리를 잡을 것이다.

　세번째 원인은 위험관리에 대한 정착이 미흡하다는 것이다. 이번 사태는 국가의 예방관리 및 사고대응 능력을 보여준다. 정보보호 관리의 기본은 주기적인 위험분석을 통한 예방 및 대응체계를 강화하는 것을 의미한다. 기존의 정보보호 관리는 방화벽, IDS 및 기타 보안솔루션이나 네트워크장비의 기술적인 관리가 주요 업무로 자리잡고 있다. 하지만 기업이 위험을 관리하기 위해서는 이에 대한 경영진의 관심과 책임, 정보보호 전담조직, 이행여부 관련 감사를 통한 문제지적 등 관리적인 요소들이 기본이 돼야 한다. 이러한 기틀 없이 이루어지는 정보보호활동은 구조적인 문제점을 가지고 있다고 볼 수 있다.

　사실 국내 정보보호활동의 발전은 지난 몇 년 동안 활발하게 진행돼 왔다. 정부의 정보통신기반보호법의 시행, 기업 및 기관들의 CSO체제 도입, 보안전담팀의 신설 등 모든 부분에서 지속적인 발전이 이뤄진 것은 사실이다. 하지만 네트워크의 발전, 인터넷서비스의 발전 정도를 감안한다면 이는 분명 뒤처진 것이라고 말할 수 있다.

　앞서 언급한 바와 같이 정보보호의 근본적인 주체는 기업 및 기관의 경영자와 일반사용자, 소비자라고 할 수 있다. 전산담당자나 정보보호업체는 일종의 수단이라고 볼 수 있다. 이는 소비자가 정보보호에 대한 필요성을 요구할 때 경영자가 정보보호에 대한 투자를 아끼지 않을 것이고 경영자들은 변화하는 소비자들의 요구를 충족시키기 위해 그리고 고도화되는 위협으로부터 내부 중요자산을 보호하기 위해 정보보호에 대한 투자를 확대해 나가야 한다. 이로써 정보보호산업은 보험의 성격이 아닌 투자의 개념으로써 새로운 경쟁력을 확보하게 될 것이다.