4차 산업혁명을 중심에 두고 '기대'와 '우려'의 상반된 주장이 나오고 있다. 로봇공학, 사물인터넷(IoT), 블록체인, 클라우드 컴퓨팅, 빅데이터, 자율 주행 등 4차 산업혁명을 주도하는 기술은 우리 삶이 더 나아지는데 기여한다. 한편으로 해커들의 무대가 넓어지는 역효과도 가져올 수 있다. 이 때문에 4차 산업혁명이 성공리에 추진되고 이로 인한 이득을 온전히 가져오기 위해서는 제반 기술, 장비, 운영 등에서 인증·암호화 등 '정보 보호의 내재화'가 선행돼야 한다.
그러나 이른바 4차 산업혁명이 가져오는 '신기술'이라는 것은 전에 없던 기술이 나타나는 것이 아니다. 인터넷 등 우리에게 익숙하지만 기술이 범위와 영역을 넘어 융합한다. 서류 작업 등 기존의 아날로그 방식으로 이뤄지던 과정이 완전한 디지털화를 이루는 것을 의미한다. 즉 산업 간 융·복합화를 통해 복잡성을 더해 간다 하더라도 그 기본이 되는 기술과 보호를 위한 조치는 크게 달라지지 않는다. 정보 보호도 우리가 알고 있는 기본을 지키고 안전한 기반을 만들기 위해 집중하는 것에서 출발한다.
최근 국내외에서 발생한 정보 보호 사고를 살펴보면 많은 피해가 발생한 사고일수록 정보 보호 기초 활동이 미흡한 것에 놀란다. 웹 프로그램 개발 시 입력 값 검증이 부실했거나 외주 직원의 보조저장장치 관리 소홀, 보안 패치 미적용 등이 대표 사례다. 최근에 기승을 부리는 랜섬웨어도 결국 주요 데이터 백업만 이뤄졌더라도 해커의 위협에 시달리지 않을 수 있었다. 즉 새로운 기술이 나오고 산업 간 융·복합화를 통해 복잡성을 더해 가지만 그럴수록 정보 보호는 기본부터 탄탄히 다지고 가야 한다. 시스템에 권한이 있는 사람만 접근할 수 있도록 관리하고, 중요 정보를 암호화하고, 적절히 백업해 두는 등 기본 수칙만 준수했어도 피해는 최소화할 수 있었을 것이다.
기본을 지키기 위해서는 어떤 부분부터 집중해야 할 것인가. 첫째 정보 보호 관련 제품에 대한 신뢰와 활용이다. 정보 보호 제품은 무수한 데이터와 트랜잭션 상에서 발생 가능한 보안 위협을 사람이 처리하고 관리할 수 없기 때문에 등장했다. 방화벽, 침입탐지시스템(IDS), 백신, 분산서비스거부(DDoS) 대응 장비 등 다양한 정보 보호 제품을 통해 데이터의 기밀성·무결성·가용성을 유지한다. 기존의 기밀성·무결성·가용성의 초점이 시스템, 데이터 등 보호 대상에 초점을 맞췄다. 최근에는 정보 보호 제품 자체의 안정성, 성능 관심도 높아졌다. 정보 보호 제품은 결국 가격 경쟁보다 성능 중심 패러다임으로 전환할 때 제품 활용도 전반이 높아지고, 정보 보호 산업 발달도 이끌어 갈 수 있을 것이다.
이를 위해 공공은 정보 보호 기업이 제품 개발을 원활하게 할 수 있도록 테스트베드 제공, 교육 등을 지원해야 한다. 기업은 제품 경쟁력을 강화, 외산 제품에 대응하는 등 정보 보호 산업의 선순환 구조를 이어 가도록 노력할 필요가 있다.
두 번째는 정보 보호 체계다. 정보 보호 제품이 아무리 뛰어난 성능을 발휘해도 이를 제대로 관리, 운용하기 위한 사람이 없다면 무용지물이다. 제품 운용 효과를 보기 위한 체계가 절실하다. 여기에 정보 보호를 위한 정책, 조직 구성, 역할에 맞는 교육, 제품이나 시스템 접근 통제 및 운영 보안, 침해 사고 대응 등이 모두 포함된다. 보안 운영, 침해 사고 대응 등 과정을 통해 발견된 사항을 제품 및 정보 보호 활동 개선에 반영하고 관련 인력에 대한 교육을 실시해 조직 전반의 정보 보호 인식을 제고하는 것이 곧 정보 보호 체계 강화로 이어질 것이다.
천려일실이라는 말이 있다. 여러 번 생각해서 신중하고 조심스럽게 한 일에도 때로는 한 가지 실수가 있다는 말이다. 정보 보호에는 이러한 한 가지 실수가 치유할 수 없는 사고로 이어질 수 있기 때문에 실수를 하지 말아야 한다. 실수를 하더라도 반드시 복구할 수 있는 체계 마련이 필요하다. 기본을 다지는 것부터 출발하는 정보 보호 활동이야말로 앞으로 4차 산업혁명 성공을 위한 필요 조건이 될 것이다.
이상무 한국인터넷진흥원 보안성능인증팀장 smlee@kisa.or.kr
