세계 3대 해킹방어 이벤트 중 하나인 ‘코드게이트(CODEGATE) 2011’ 행사가 지난 4월 코엑스에서 열렸다. 선의의 목적으로 해킹을 연구하고 사이버 테러를 막아주는 정보 보안 전문가 ‘화이트 해커’를 조명하는 유익한 자리였다.
해킹과 사이버 테러는 기업 차원의 문제만은 아니다. 인프라가 마비되면 국가적으로도 큰 손실이다. 손상된 하드웨어나 안전하지 않은 소프트웨어를 악용한 기술 정보망 공격이나 스턱스넷과 같은 공격이 이에 해당된다.
개인의 이익을 좇아 악의적인 해킹을 시도하는 ‘블랙 해커’, 그와 반대인 ‘화이트 해커’를 구분하는 방법은 해킹 능력이나 기술 수준이 아닌 보안 의식과 윤리 의식의 차이다.
화이트 해커는 뛰어난 해킹 기술을 지녔음에도 자기 과시나 이익이 아닌 타인의 안전을 위해 활동한다. 기업 보안이 무너지면 불특정 다수가 피해를 보는 현대 사회에서 보안을 담당하는 이들이 새겨야 할 자세다.
보안 담당자의 올바른 의식을 이끌어 내기 위해서는 IT 보안의 투명성이 먼저 뒷받침돼야 한다. IT관리 부서는 직원들의 활동 기록을 기록하고 안전하게 보관함으로써 문제 발생 시 공정한 감사를 통해 관련자들의 책임 소재를 분명히 할 필요가 있다. 외부 공격을 막고 보안 담당자의 의식을 높이는 것도 중요하지만 철저한 집안 단속도 그에 못지않게 필요하다.
악의적 내부자에 의한 보안 위협은 큰 폭으로 늘어나는 추세다. 2010년도 버라이존 데이터 유출 조사 보고서에 따르면 내부자에 의해 데이터가 유출된 비율이 전년 대비 46%나 증가한 것으로 나타났다.
내부자 위협은 새로운 공격 형태다. 새로운 악성 코드를 개발하는 것보다 내부자를 이용하면 보안을 뚫기가 훨씬 쉽다. 위키리크스 사례에서 보듯 내부자는 기업의 수익과 직결되는 중요하고 민감한 데이터에 쉽게 접근할 수 있다. 또 비즈니스를 위해 소셜 네트워킹 사이트를 개방하고 직원 이동이 빈번해지면서 정보 접점도 다양해졌다.
내부 직원이 중요한 정보를 유출하지 못하도록 중앙의 단일화된 관리 장치를 통해 누가 어떤 정보에 접근하고 어떻게 다루고 있는지 정확히 파악해야 한다. 최근 잇달아 일어난 보안 위협을 반면교사로 삼아, 정보 보안의 투명성을 확보하고 IT 강국으로서의 위상을 다시 한 번 높여 나가야겠다.
양희정 한국CA 테크놀로지스 이사 yanhe05@ca.com
