많은 기업들이 다양한 정보를 활용해 기술을 개발하고 상품을 홍보하는 것은 이미 당연한 현실로 받아들이고 있고 이를 통해 수익을 올리며 이윤을 창출하는 기업들이 늘어나고 있다. 결국 정보화 사회에서 사업화의 성공은 기업이 자체 보유하는 기술력과 정보력을 어떻게 융합화해 시너지 효과를 낼 수 있느냐로 단순화시켜도 결코 과장이 아니다.

최근 발생하고 있는 분산서비스 공격, 개인정보 유출, 내부 기밀 탈취 등의 다양한 침해를 수행하는 해커는 이러한 패러다임의 변화를 가장 잘 이해하고 있고 몸소 실천하는 악의적인 실행가로 볼 수 있다. 즉 사이버 침해는 정보화 사회에서 정보가 곧 돈이 된다는 사실을 가장 잘 반영하고 이를 악의적으로 이용하는 가장 극단적인 예일 것이다.

이러한 환경의 변화와 함께 다양하고 복잡해져 가는 사이버 침해 속에서 기업의 CEO들이 정보보호에 대해 어떠한 마인드를 가지고 어떠한 대응을 수행하는가 하는 것은 해당 기업의 경쟁력과 직결된다고 할 수 있다. 본 고에서는 CEO의 정보보호에 대한 인식을 제고하고 발상의 전환 측면에서 3+1가지만 강조하고자 한다.

CEO는 ‘정보보호가 지출항목’이라는 마인드를 버려야 한다

많은 기업들이 정보보호가 매출을 올려주는 항목이 아니라 비용을 발생시키는 항목으로 취급하고 관련 예산을 확보하고 있지 않다. 대다수 기업들이 사이버 침해를 경험하고 난 후에야 부랴부랴 관련 예산을 편성하고 인력을 투입하는 실정이다.

확률적으로 1년에 사이버 침해를 2회 정도 당하고 해당 피해액이 대략 2,000만원이라고 가정할 때 과연 그 피해를 무시할 수 있겠는가? 관련 담당자에게 100만원짜리 교육 프로그램을 듣게 한다든지, 200만원짜리 보안 소프트웨어를 구매해 침해를 막을 수 있다면 충분히 투자할 가치가 있지 않은가?

더군다나 사이버 침해로 입을 기업 이미지 실추, 고객 불만 제기, 매출 감소 등을 고려한다면 정보보호 예산의 확보는 간접적으로 기업의 매출을 올려주는 항목이라고 생각할 수 있다. 물론 이렇게 단순하지는 않겠지만 기업의 물리적 보안을 위해 경비를 두듯이 기업의 정보를 보호하기 위해 정보보호 예산이 반드시 확보돼야 한다.

CEO는 ‘정보보호는 기술’이라는 고정관념을 바꿔야 한다

보통 정보보호라 하면 기술적인 측면이 전부라고 생각하는데 주로 문제는 여기서부터 발생한다. 전담 인력을 배치하고 보안 장비를 구매해 운용하는 것만으로 안심하고 있다가 DDoS, 개인 정보 유출, 악성코드 감염 등이 발생해 막대한 피해를 입곤 한다.

정보보호의 패러다임도 통신 보안 기술에서 네트워크 및 시스템 보호를 지나 기술겴管혖정책을 기반으로 한 ‘정보보호 활동’ 중심으로 변화되고 있다. 아무리 뛰어난 인력과 최신 장비를 운용한다 해도 정보보호 정책의 수립과 지속적인 정보보호 활동 없이는 언제 어디서든 사이버 침해를 받을 수 있다. 특히 최근 사이버 침해는 내부자에 의해 더 많이 발생한다는 통계 자료는 외부에 의한 해킹 대응을 중심으로 한 기존 기술 중심의 방식으로는 더 이상 막을 수 없다는 사실을 극명하게 보여준다.

CEO도 정보보호를 생활 속에서 실천해야 한다

침해 동향을 분석해보면 기업이나 대학들도 피해를 많이 당하기도 하지만, 최근에는 전체의 68.5% 정도가 개인을 대상으로 하고 있다는 사실은 되새겨 보아야 할 부분이다.

보안 장비를 구매하고 보안 정책을 수립하고 보안 인력을 운용할 수 있는 기업이나 지자체는 더 이상 침해의 표적이 아니라 보안에 대한 개념도 희박하고 대응 방법에 대해서도 한계를 가질 수밖에 없는 일반 개인이 표적의 대상이 되고 있다는 사실은 누구나 피해자가 될 수 있다는 사실을 의미한다.

특히 모종의 목적을 가지는 악의적인 해커라면 일반 개인보다도 정보를 다루는 기업의 종사자, 나아가서 기업의 CEO를 대상으로 공격을 수행한다면 훨씬 유용하고 중요한 정보를 탈취할 수 있을 것이고 이는 금전을 목적으로 하는 최근 공격의 의도와 합치된다. CEO도 한 개인이고 유명인사이므로 일반 개인보다 공격 당할 수 있는 확률이 훨씬 높다는 것은 당연하다 할 수 있다. 따라서 기업의 정보보호에만 신경 쓸 것이 아니라 민감한 기업 정보를 취급하는 CEO 자신의 정보보호에도 스스로 노력하고 생활 속에서 실천해야 한다.

부가적으로 CEO와 기업은 정보보호에 대한 지속적인 관심이 필요하다. 굳게만 닫혀있던 국내 스마트폰과 태블릿PC 시장이 기지개를 켜고 있고 하드웨어 기반의 IT기술이 콘텐츠 및 소프트웨어로 중심축이 이동하고 있다. 다양한 기기들이 인터넷망에 직접 접속 기능을 탑재하고 있으며 기존 PC 중심의 서비스들이 모바일 환경에 맞춰 다양한 형태로 변모하고 있다.

이러한 추세 속에서 사이버 침해 기술도 함께 진화하고 있다. 스마트폰 악성코드, 무선인터넷 망을 이용한 정보 유출, 트위터를 이용한 피싱 등은 이전에는 생각하지도 못한 위협이었으며 더욱더 보편화되고 향후에는 새로운 방법들이 등장하리라 확신한다. 이제 기업에 있어서 정보보호는 지속적인 관심 대상이 될 수 밖에 없고 적자생존의 기업 생태계에서 반드시 도입겳楮되瞞?하는 생존의 한 방편이 될 수밖에 없다고 감히 주장해 본다. 단, 하나의 정보라도 취급하지 않는 기업이 있다면 정보보호 따윈 무시해도 좋다.

마지막으로 정보보호에 대한 CEO의 뇌구조를 자의적으로 그려 봤다. 단, 패러디한 내용이므로 심각하게 받아들이지는 말았으면 한다. 아래와 같은 뇌구조를 가지고 있는 CEO가 만약 있다면 이 글이 정보보호에 대한 발상을 전환하는 계기가 됐으면 한다.

<글 : 신원 동명대학교 정보보호학과 교수(shinweon@gmail.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>