2024-03-30 01:00 (토)
대형 보안사고 이래서 일어난다!
상태바
대형 보안사고 이래서 일어난다!
  • 길민권
  • 승인 2011.06.24 04:05
이 기사를 공유합니다

아랫돌 빼서 윗돌 막는 정보보안 인력의 악순환
IT 초기 설계 단계부터 보안은 배제되고 있다
현대캐피탈 정보유출 사건, 농협 전산망 해킹 사건 등등 지속적으로 금융권 보안부실 문제가 도마 위에 오르고 있다. 금융감독원이 있고 금융위원회가 있고 금융결제원, 금융보안연구원 등 여러 조직에서 금융기관 보안을 위해 애쓴 것 같았는데 왜 이런 대형사고들이 계속해서 발생하는 것일까. 23일 금융보안 그랜드 콘퍼런스에서는 ‘금융분야 보안대란이 남긴 과제’라는 주제로 패널토론이 열렸다.(사진출처. www.flickr.com / stupidfotos 
 
◇박광진 한국인터넷진흥원 본부장은 “기본에 충실하지 않아서 발생하는 사고들이다. 특히 개인정보에 대한 처리 주체인 금융기관이 의무수준을 지키지 않았다. 개인정보 DB에 대해 주민등록번호 뒷자리를 암호화하라는 정통망법을 금융기관들은 제대로 지키지 않았다”며 “금융기관이 무너지면 사회 전체가 혼란을 겪는다. 이제 금융시설은 사회기반시설로 취급해야 하고 그에 준하는 인력과 비용이 투입되어야 한다”고 강조했다.
 
◇김기범 경찰청 사이버테러대응센터 경감은 “2002년에 대우증권사 직원이 관리계좌를 도용당해 300억원 가까이 손실을 입은 일을 수사한 적이 있었다. 그때도 내부직원 관리 문제가 도마 위에 올랐는데 그 문제가 여전히 해결되지 못한 것 같다”며 안타까워했다.
 
또 “최근 검찰의 농협사건 수사 결과에 대한 국민들의 불신이 크다. 이유는 수사과정에서 수사기관들이 정보를 독점하다 보니 국민들이 납득하지 않고 있다. 수사기관의 정보공유 노력과 투명한 수사 노력이 필요하다”고 지적했다.
 
김 경감은 “최근 해킹 공격은 외국에서 많이 이루어진다. 옥션 정보유출 사건 뿐만 아니라 최근 금융권 해킹공격도 대부분 해외에서 공격이 이루어졌다. 최근 사건으로 101개 한국 기업의 개인정보가 중국에 돌아다닌다는 첩보도 있다. 해외에서 발생하는 해킹공격이지만 많은 경우가 한국인의 청부에 의해 해킹이 이루어지는 경우가 많다”며 “해외 해킹 공격에 대한 대응책 마련에 주력해야 한다”고 피력했다.
 
더불어 한국 기업들의 협조도 당부했다. 도박사이트를 예로 들면서 만약 IDC센터에서 도박사이트를 받지 않겠다는 의지가 있다면 불법 도박사이트들은 상당수 사라진다는 의견이다. 또 적극적인 신고도 당부했다. 옥션도 그랬고 현대캐피탈도 크래커(악성해커)의 협박에 시달렸다. 상당수 기업들은 공격과 협박을 받다가 어쩔 수 없이 그들이 원하는 금액을 입금한 경우도 많다.
 
김 경감은 “사건이 발생하면 신속하게 경찰에 신고해야 한다. 범죄자들이 원하는 대로 돈을 주다 보면 한국은 크래커들 사이에서 공격하고 협박하면 돈을 주는 나라로 인식돼 더욱 거센 공격을 받게 된다”며 “국가 전체를 생각해서라도 돈을 주면 안되고 미수 사건일지라도 신속히 신고를 해야 하고 적극적인 수사협조를 통해 범인을 검거하고 원인을 밝혀 다른 기업들로 피해가 확산되지 않도록 상호 협조해야 한다”고 강조했다.
 
김 경감은 안타까워했다. 아직까지도 3~4년 전에 공개된 취약점으로도 많은 기업들이 공격을 당하고 있고 너무 쉽게 정보를 탈취당하고 있기 때문이다. 그는 또 정보보안 장비도 중요하지만 전문 인력 양성에 정부의 뚜렷한 의지가 필요하다고 역설했다.
 
착잡한 예가 있다. 경찰청은 매년 20명씩 사이버 보안전문가를 특채로 모집하고 있다. 경쟁률이 7대 1에 달한다. 미국은 FBI같은 정부기관에 2~3년 근무하면 대부분 대우가 좋은 민간기업으로 나가길 원한다. 그래서 미국 사이버 보안 전문가들은 한국의 이러한 현상을 신기해 한다. 그만큼 민간에서 정보보호 전문가로 살아간다는 것이 힘들다는 방증이다. 다시 생각하면 공공기관으로 유입되는 보안전문가들은 새롭게 양성된 인력이 아니라 결국 민간에서 빼내온 인력들이다. 이렇게 되면 민간에서는 인력이 부족해지는 악순환 구조가 계속 이어지는 것이다. 보안인력의 선순환 구조를 만드는 것이 무엇보다 중요한 이유다.  
 
◇유원식 한국오라클 대표는 “해외 연구기관에서 조사한 결과, 개인정보 한 건당 기업이 입는 손해는 290불이라고 한다. 100만 건의 정보유출이 발생하면 3억불 정도 손실이 발생한다. 소송비용, 고객이탈, 이미지 실추 등을 종합한 피해액”이라며 “정보보안의 핵심요소는 사람, 기술, 프로세스, 거버넌스다. 이중 사람이 가장 중요한 요소”라고 강조했다.
 
한편 그는 “기술적인 부분을 생각해보자. 데이터가 만들어지면 스토리지에 보관되고 서버를 통해 활용된다. 데이터는 하드웨어와 네트워크를 통해 움직이고 이를 활용하기 위한 오퍼레이팅시스템, 데이터베이스, 미들웨어, 애플리케이션 등이 필요하다. 이 모든 분야에서 기술적 보안이 이루어져야 정보보안이 이루어질 수 있다”고 설명했다.
 
하지만 유 대표는 “이 과정에 성능이 떨어지는 보안솔루션이 투입되면 전체 IT성능이 떨어진다. 많은 기업들이 침입탐지, 침입차단, 방화벽 등 선제적 방어시스템 보안장비를 도입하고 있지만 보안사고는 계속 발생하고 있다”며 “근본 문제는 IT 아키텍쳐 설계 초기부터 정보보안이 같이 고려돼야 하는데 대부분 기업들이 눈에 보이는 어플리케이션 사용에만 신경을 쓰고 보안비용은 후순위로 미루고 있기 때문”이라고 지적했다.
 
IT 설계가 다 끝난 이후, 정보보호 설계를 하다 보니 비용이 더 들어가고 성능저하가 발생하고 서비스 지속성에 문제가 발생하는 것이다. 그래서 많은 기업들이 돈 들여 보안솔루션 도입했지만 사용도 못하고 사장시키는 이유가 여기에 있다.  
 
유 대표는 “정보보안은 IT아키텍쳐 설계부터 보안정책과 관련 기술이 충분히 반영되어야 근원적인 보안문제가 해결될 것”이라며 “관련 법률을 준수하는 범위 내에서 현실성있는 보안솔루션을 선택해야 투자효과가 발생한다”고 조언했다.
 
한편, 글로벌 IT벤더로서 고충도 토로했다. 그는 “우리나라 정보보안 시장에 진입하기 위해서는 국가기관 인증절차를 거쳐야 한다. 글로벌 정보보안 업체들의 가장 큰 고민거리다. 글로벌 업체가 특정국가 때문에 모든 보안솔루션을 변경할 수 없다. 우리나라 기업들이 보안 이외에는 대부분 글로벌 IT시스템을 사용하고 있지만 유독 정보보호 솔루션만큼은 글로벌 솔루션을 거의 사용하지 못하고 있다”고 안타까워했다.
 
그의 말은 글로벌 보안 제품은 이미 검증된 국제적 알고리즘을 사용하고 있기 때문에 글로벌 정보보호 솔루션이 국가기관이 인증한 국산 보안솔루션보다 글로벌 경쟁 우위에 있다. 국제적 신뢰를 받고 있고 성능 우위의 제품들을 기업이 선택적으로 도입할 수 있도록 해야 한다는 주장이다. 국산 SW를 지키겠다는 신념이 글로벌 벤더들에게 진입장벽을 만들고 진정 정보보안의 길을 가는데 걸림돌이 될 수도 있다는 의견이다. [데일리시큐=길민권 기자]  
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★