코로나19 사태는 보안업계에 기시감을 준다. 전개 양상이 사이버 세계의 그것과 너무 비슷하기 때문이다.
지금처럼 백신이 없는 상태에서 사이버 세계에서는 감염을 '제로데이' 공격이라고 이른다.
모두가 제로데이 공격에 노출되더라도 더 취약한 사람이 있다. 노인이나 어린이, 지병이 있는 사람은 회복력이 다소 떨어진다. 무증상 감염자가 위험한 이유는 회복력이 약한 사람에게 치명타로 작용하기 때문이다.
사이버 세계에서는 영세 업체일수록 회복력도 떨어진다. 스타트업, 중소기업이 해당한다. 주로 보안 조치에 큰 자원을 투입하기 어렵다. 공격자에게는 이런 곳이야말로 좋은 먹잇감이다. 속된 말로 재수가 없으면 공격에 당한다. 그 가운데에는 폐업하는 곳도 있다.
침해사고에 당하고 싶은 기업은 없다. 지난달 한국인터넷진흥원(KISA)에 의해 침해사고를 인지한 어느 스타트업도 마찬가지였다. 개인정보가 유출됐다는 소식에 이용자로부터 질타를 받았다. 대표가 여러 차례 사과했지만 이용자의 분노는 가라앉지 않았다.
그렇다면 침해사고를 당한 회사는 다 폐업해야 할까. 그렇지 않다. 공격과 사고 자체를 막을 순 없었지만 이제부터라도 보안에 신경 써야 한다. 경영을 지속하며 추가 피해를 막아야 한다. 한 번 유출된 개인정보는 주워 담을 수 없지만 당했다고 손놓고 있을 일도 아니다.
다행스럽게도 이 회사 대표는 이번 사고를 계기로 보안의 중요성을 알게 됐다고 고백했다. 나름대로 최선을 다했지만 이용자 피해를 막을 수 없었다고 낙담하기도 했다. 침해사고를 보도해서 상처에 소금을 뿌린 기자에게 연락한 후 추가 피해를 막기 위한 방법 관련 조언을 구했다. KISA와 적극 협력, 사고 이전과는 다른 모습으로 새로워졌다. 정보를 유출하고도 쉬쉬하기 급급한 다른 업체와 매우 다른 태도였다.
침해사고 발생 시 최고정보보호책임자(CISO)에게 책임을 물어 해고하거나 CISO 본인이 사의를 표하는 것 역시 가장 바람직한 선택은 아닐 것이다. 보안은 어느 한 사람만의 과업이 아니다. 조직 구성원 전원이 보안 수칙을 준수할 때 기업 보안도 지킬 수 있다.
대표 한 명, CISO 한 명이 백방으로 노력하더라도 직원 한 명이 무심결에 건드린 악성 링크 하나로 정보는 쉽게 유출된다.
지난 2월 미국 샌프란시스코에서 폐막한 세계 보안 콘퍼런스 'RSA 2020'에서도 회복력은 큰 화두였다. 보안업계에선 공격이 계속 늘어날 것으로 본다. 누군가는 공격에 또 당한다. 중요한 건 공격 이후다. 공격에 당하더라도 빠르게 원상태로 돌아올 수 있는 기반을 구축해야 한다. 또다시 찾아올 바이러스에 맞서 일상으로 복귀할 힘을 기를 때다.
오다인기자 ohdain@etnews.com