“인간의 역사는 바이러스와 끊임없는 투쟁의 역사다.” 세계 병리학자 제프리 타우벤버거의 말처럼 인류는 지금도 공기 중에 수없이 돌아다니는 바이러스와 사투를 벌인다. 인류는 바이러스에 대항키 위해 위생 환경을 조성하고 백신 등을 개발, 면역 체계를 강화했다.
이와 유사한 역사가 컴퓨터 창시 이래 정보통신기술(ICT) 분야에서도 이뤄진다. 컴퓨터와 네트워크가 생긴 이래 컴퓨터 바이러스도 끊임없이 컴퓨터와 사용자를 공격한다. 전 세계가 인터넷으로 연결되면서 빛의 속도로 돌아다니는 수억개의 바이러스는 사회를 구성하는 ICT 인프라와 그 위에 펼쳐진 인류의 삶을 위협한다.
일상의 바이러스 노출 속에서도 건강을 유지하려면 `면역체계`가 필요하다. 컴퓨터 바이러스로부터 중요 정보를 지키고 인터넷을 안전하게 이용하기 위해서는 컴퓨터 바이러스 면역체계, 즉 `정보보호 면역체계`가 필요하다. 주기 감염 검사와 치료, 외부 바이러스 출입 통제, 바이러스 창궐지 접근 제한 등 실제 바이러스 대응 방법과 유사한 방법들이다.
한국인터넷진흥원은 기업이 정보보호 면역체계를 갖춰 기업 이윤과 생존뿐만 아니라 국민 정보를 지키도록 지원한다. 그 가운데 하나는 심사를 통해 정보보호가 일정 수준에 도달한 기업에 `정보보호관리체계(ISMS) 인증`을 부여한다. 국가 민간 정보 보호 체계 확립을 위해 2013년 인증 의무화 이후 매년 400건 이상의 기업 인증서를 심사하고 유지·관리한다.
모든 바이러스에 대항하는 완벽한 면역체계는 존재할 수 없다. 인증 역시 해당 기업이 정보보호 사고에 대해 완전무결함을 의미하는 것을 아니다. 사고에 대한 면죄부도 아니다. 극히 일부지만 인증 받은 기업 가운데 `인증 범위가 아닌` 다른 시스템에서 문제가 생기는 기업도 있다. 그러나 인증 범위 외의 문제로 사고가 난 경우를 포함하더라도 2013년 이후 총 1468건의 인증 가운데 사고는 4건으로, 전체의 약 0.27%에 불과하다. 한국인터넷진흥원(KISA)으로부터 정보보호 인증을 받은 기업들은 해킹, 감염 등에 대해 잘 대응하고 인증 체계가 유효성이 있음을 수치로 증명하는 셈이다.
제4차 산업혁명을 앞두고 있다. ICT는 일부 산업 분야가 아니라 정부, 학술, 의료 등 전체 사회·경제 기반이다. 어느 한 부분이 정보보호 관리를 소홀히 하면 전체가 무너질 수 있다. 이 때문에 초연결 시대를 살아갈 기업·공공기관·의료기관·대학 등은 스스로 정보보호 관리체계 강화, 국가의 정보보호 수준 제고를 위해 협력해야 하는 의무를 진다. 인터넷진흥원도 정보보호에 대한 국민 관심과 기대에 부응하기 위해 아래의 세 가지를 중점 추진한다.
첫째는 중소·중견 기업들에도 정보보호 관리체계가 확산되도록 지원한다. 사물인터넷(IoT)과 정보보호 기업에 보안시험시설 지원 외에도 정보보호 관리체계를 위해 컨설팅, 교육 지원을 확대해 나간다. 둘째는 인증 심사의 질 수준을 높인다. 지금까지 104개 인증 심사 기준을 수립하고 1000여명의 심사원 양성 및 전문성 제고 교육 등을 실시했듯 인증 수준에 따른 등급별 인증 부여, 심사원 수준 제고를 위한 교육 강화 등을 추진한다. 마지막으로 인증체계 실효성 강화로 침해사고 긴급조사권 부여 등 다양한 방법을 국회·정부 등과 협의, 인증 실효성을 높인다.
건강한 삶과 안전한 사회 유지를 위해 앞으로 인류는 `바이러스와의 투쟁`과 `컴퓨터 바이러스와의 투쟁`에서 모두 승리해야 한다. 한때 인류 생존을 위협하던 바이러스들도 의료 분야가 백신을 개발하고 보건 분야가 깨끗한 환경을 만들면서 이에 사회 구성원이 협조해 하나하나 극복했다. 우리나라가 세계에서 오는 수많은 컴퓨터 바이러스 속에서도 강력한 면역 체계를 유지하기 위해 합심할 때다. 조윤홍 KISA 정보보호산업본부장 yhcho21@kisa.or.kr
