2021-06-23 10:45 (수)
[EBS 해킹사건] 법 준수 만을 위해 해왔던 보안의 폐해!
상태바
[EBS 해킹사건] 법 준수 만을 위해 해왔던 보안의 폐해!
  • 길민권
  • 승인 2012.05.18 19:28
이 기사를 공유합니다

정보유출 사고 발생 원인=리스크 분석에 인색한 한국 사회
지금까지 대형 개인정보 유출사고는 대부분 민간 기업에서 발생했지만 지난 15일 발생한 EBS 개인정보 유출사건은 공공사이트에서 발생한 사건으로 볼 수 있다. 이러한 대형 개인정보 유출 사고가 끊이지 않고 발생하고 있는 이유는 무엇일까.
 
개인정보보호법이 본격 시행되고 있고 지난 2월 개정된 정통망법이 8월 18일 적용을 앞두고 있다. 이러한 상황에 EBS는 웹쉘업로드 공격으로 악성코드에 의한 해킹을 당해 대규모 정보유출이 이루어진 것이다.  
 
개인정보보호 전문가들은 “EBS 입장에서는 기존 법률과 새로운 법률 등에 맞춰 어떻게 대응해야 할지 가이드를 받으며 진행해야 할 것”이라며 “우선 해킹발생 인지 후 수사기관과 관할기관에 신고를 했으며 고객통보도 했기 때문에 사고 직전에 준수해야 할 법적인 조치는 한 것으로 보인다”고 말했다.
 
특히 정통망법 적용 사업자가 정보유출 사고 신고를 할 때 KISA(한국인터넷진흥원)에 하면 되는데 KISA에는 개인정보보호단이 2곳이 있다. 행안부와 방통위 관할 부서 양쪽에 모두 하는 것이  맞다고 한다.  
 
법무법인 관계자는 또 “사고 이후 주의 할 것이 언론대응이다. 확인되지 않은 내용을 언론에 밝히는 것은 추후 법적 논쟁이 붙었을 때 기업에 상당히 불리하게 작용할 수 있기 때문”이라며 “법원 판결에 언론 기사가 많은 영향을 미치기 때문에 확인되지 않은 내용을 공개해서는 안되다”고 밝혔다.
 
한편 기업들이 주의해야 할 점에 대해 전문가들은 “메인시스템은 대부분 점검도 받고 주의를 기울여 관리를 하고 있는 반면 관리가 안되는 서버 등에도 보안을 철저히 해야 한다”고 강조하고 있다. 넥슨도 백업서버가 당한 것이고 EBS도 메인서버가 아닌 별도 관리하고 있던 서버가 당한 것을 보면 메인을 넘어 모든 부분에 관리를 철저히 해야 한다는 것을 보여주고 있다.
 
◇법을 지키기 위한 보안에서 벗어나야=이경호 고려대 교수는 “기업들은 제3자 관점에서 볼 때 우리가 공격을 당할 수 있는 부분이 있는지 봐야 한다”며 “법이 요구하는 사항만 준수한다고 해서 해킹을 막을 수는 없기 때문이다. 개인정보보호법과 정통망법이 요구하는 관리적 조치 수준은 최소한의 요구라는 것을 알아야 한다”고 강조했다.
 
특히 이 교수는 “우리나라는 비즈니스를 시작할 때 리스크 분석을 제대로 하지 않고 있기 때문에 이러한 사고들이 발생하고 있다”고 강조하고 “기업의 내부 환경과 외부 환경을 분석해 강점(strength), 약점(weakness), 기회(opportunity), 위협(threat) 요인을 규정하고 이를 토대로 경영 전략을 수립하는 SWOT 분석이 필요하다. 우리나라는 대부분 비즈니스 전략을 수립할 때 강점과 기대효과만 분석을 하고 약점과 위협은 분석을 하지 않는 경향이 있다. 정보유출 사고는 여기서 비롯된다”고 설명했다.
 
비즈니스를 시작하면서 개인정보로 가득한 서버가 얼마나 사업에 큰 리스크로 다가올 수 있는지 리스크 분석을 제대로 했다면 당연히 보안에 투자를 할 수밖에 없다는 말이다.
 
이경호 교수는 “공격 수준을 보고 준비해야 한다. 법에서 요구하는 안전조치 수준을 지키기 위해 백신이나 IPS/IDS, 방화벽만 설치한다고 해서 해결될 문제가 아니다”라며 “그러한 보안장비들로 최근의 APT 공격과 같은 치밀한 공격들을 막아낼 수는 없다”고 강조했다.
 
또 그는 “보안에 투자를 하려면 정확하게 해야 한다. 많은 기업들이 법을 준수하기 위해 보안투자를 하고 있다. 하지만 투자한 만큼 방어가 이루어지지 않고 있다는 점에 대해 인식할 필요가 있다”며 “보안장비 중심으로 가는 것은 비용도 많이 들고 효과적이지 못하다는 것을 최근 사고들이 보여주고 있다. 법 준수를 위해 마지못해 보안을 한다는 인식이 바뀌지 않는 한 이런 사고는 계속 터질 것”이라고 말했다.
[데일리시큐=길민권 기자]