한국 보안, 기술보다 사람에 대한 계획 필요

칼은 어떻게 쓰느냐에 따라 이로울 수도 있고 해로울 수도 있다. 정보통신 기반 산업은 우리나라 경제의 한 축이며, 인터넷과 이동통신 등 정보통신 인프라는 이미 사회의 한 축이 되고 있다. 정보통신이 날이 잘 선 칼이라고 한다면 보안은 칼의 손잡이다. 날이 잘 서있는 칼의 손잡이가 불안하다면 이 칼은 쓸수록 위험하다는 것을 알아야한다.

이제는 거론하는 것도 지겨운 7.7 DDoS 대란 그 이후. DDoS 문제에 대한 대처 방안 마련을 위해 일부 정부 부처와 유관기관은 매우 바빴던 것으로 기억한다. 매일 세미나와 회의가 있었으며 대규모 DDoS 장비 도입 등 여러 대책이 제안됐다. 그러나 이런 논의는 모두 기술적인 부분이었다.

얼마 전 보안뉴스 특별좌담회에서는 우리나라에서 보안을 보는 관점이 달라져야 한다는 이야기가 나왔다. 우리나라에서 보안은 기술적인 부분에만 주력하고 있다는 이야기다. 가령 옥션이나 GS칼텍스에서 나타났던 대규모 개인정보 유출 사고가 일어난 후에는 암호화를 의무화 시키고, 7.7 DDoS 대란 후에는 DDoS 장비 확충에 많은 예산을 쏟아 붇고 있다. 그러나 최근 나타난 이런 대형사고 밑에는 보안의식 결여가 크게 작용하고 있다.

보안의 핵심은 기술이 아니다. 바로 책임감이다. 그것도 관리자와 이용자 모두에게 주어지는 책임감. “보안장비가 지켜주겠지”라는 생각을 하고 있다면 큰 오산이다. 물론 예전에는 보안장비가 전부 지켜줄 수 있었다. 방화벽 하나로 보안이 가능하던 시절에는 말이다. 하지만 지금은 매일 새로운 위협이 수도 없이 나타나고 있다. 그 이유는 바로 보안 허점을 이용해 금전을 노리는 범죄들이 성행하고 있기 때문이다. 이런 범죄는 손에 칼을 들지 않아도 되며 피를 보지도 않기 때문에 더욱 거리낌 없이 늘어나고 있다.

이런 상황은 점점 기술적으로 해결할 수 없는 보안 영역에 다가가고 있다. 특히 인간의 심리를 이용한 사회 공학적 보안 위협은 기술적인 보안 조치로는 해결이 점차 어려워지고 있다. 따라서 보안은 인간에 좀 더 가까워져야 한다. 결국 보안이 문화가 돼야하고 보안이 사람들의 머릿속에 자리잡아야한다. 그러기 위해서는 사회적인 노력이 요구된다. 교육과 문화 활동에서 보안이 자리 잡도록 하는 활동이 점차 늘어나야한다.

정부는 아직도 기술적인 조치에 집중하고 있다. 단적인 예로, 몇 년 전부터 발생한 대형 보안 사고에 대한 해결방책은 기술에 능통한 부처나 기관(방통위나 KISA 등)에 의존하고 있으며, 행안부나 국정원, 국방부 역시 기술적인 조치방안에만 매달리고 있다. 문화와 교육을 주도하는 교육과학기술부나 문화체육관광부에서는 내일이 아니라고 손을 놓고 있다.

그러나 보안에 대한 문화나 교육이 제대로 되지 않은 상태에서 완벽한 보안을 요구하는 것은 밑 빠진 독에 물붓기라고 할 수 있다. 교육기관은 어릴 때부터 보안의 중요성과 더불어 스스로에게 보안에 대한 책임이 있다는 것을 배우게 만들어야한다. 그리고 보안과 관련된 더 많은 문화 콘텐츠가 나와 문화와 생활에서도 보안이 깊숙이 자리 잡게 해야 한다.

법적인 측면에서는 외국의 사례를 참조해야할 것 같다. 외국의 보안 컴플라이언스를 살펴보면 기술적인 언급보다는 책임에 대한 언급이 더욱 강하다. 우리나라처럼 기업이나 기관에서 정해진 기술적인 조치만 취하면 책임을 면하게 하는 것이 아니라 기술적인 조치는 어떤 것이든 상관없는 대신 문제가 발생하면 책임을 지도록 하고 있다. 이런 차이는 기업이나 기관들이 누가 머라하지 않아도 더욱 보안에 신경 쓰게 만든다. 그리고 보안최고책임자(CSO)나 보안 담당자에게 더 많은 권한을 주는 대신 더 큰 책임을 가지게 만든다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>