• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기자수첩] 현대캐피탈은 얼마나 보안에 투자했을까? 2011.04.12

기술적 조치 이외에 보안 강화 조치가 과연 얼마나 있었을까?


[기자수첩]현대캐피탈 고객정보 유출이 알려지면서 관련 수사에 대해 이목이 집중되고 있다. 사실 현대캐피탈 수사에 대한 관심도 중요하지만 그보다 더 중요한 것은 거의 언급이 되지 않고 있는 것 같다. 그건 바로 “왜 현대캐피탈과 같은 큰 기업에서 고객정보가 유출됐나?”일 것이다.


왜 현대캐피탈과 같은 큰 기업에서 고객정보가 유출됐을까? 원인은 간단하다. 보안을 너무 쉽게 본것이다. 물론 내부적으로는 “나름대로 보안에 많은 투자를 한 편”이라고 말 할 수는 있지만 그것도 우리나라 기업들 기준에서의 나름대로 라고 볼 수 있다.


사실 우리나라는 기업들 스스로 보안에 많은 투자를 하기에는 어려운 환경이다. 무슨 이야기냐 하면 의욕적인 보안관리자나 보안담당자가 보안에 더 많은 투자가 필요하다고 말하기 힘든 환경이라는 것이다. 그건 바로 법에서 명시하고 있는 ‘기술적 조치’ 때문이다.


정보통신망법과 금융거래법 그리고 앞으로 시행될 개인정보보호법 등의 국내법에서는 보안에 필요한 기술적 조치를 명시하고 있다. 대부분 필요한 기술임에는 분명하다. 그러나 문제는 명시된 기술적 조치만 적용했다면 해킹을 당했다 하더라도 불가항력적인 부분으로 판단된다는 사실이다. 역으로 본다면, 기술적 조치만 했다면 설사 해킹을 당했다 하더라도 문제가 없다는 말이 된다. 즉, 법에서 정한 기술적 조치만 잘했다면 보안에 대한 주의의무를 성실하게 수행했다는 것으로 인정받는다.


보안업계의 한 전문가는 이에 대해 이렇게 지적한다.


“법에서 정한 기술적 조치는 정말 필요한 조치이며 꼭 필요한 조치일 수 있다. 그러나 그것은 어디까지나 그 법이 정해졌을 때를 기준으로 봤을 때 이야기다. 공격자들의 해킹 수법은 수시로 변하고 해킹 기법도 수시로 변하고 진화하고 있다. 이런 상황에서 법에 못 박아진 기술만으로 보안을 유지할 수 있을까?”


공격자들이 마음먹고 금전을 노려 특정 대상을 공격했을 때, 누구도 그것을 막을 수 있다고 장담할 수 없다. 다만 꾸준한 보안투자로 인해 공격자들이 해킹이 어렵겠다고 느끼게 만들 수는 있다. 이 경우 공격자들은 어려운 해킹을 피하고 해킹하기 쉬운 대상을 찾는다. 표적이 된 해킹의 위협에서 벗어나는 것이다.

 

참 우스운 이야기지만 우리나라의 해킹사고에서 유명한 해커가 참여한 적은 한번도 없었다. 그리고 간단히 구할 수 있는 해킹툴로 범행을 저질렀다는 참담한 수사결과는 여러번 본 것 같다. 이것이 우리나라의 현실이다.

 

최근 발표된 방통위의 ‘2010년 정보보호실태조사’의 내용을 살펴보자. 조사에서 정보보호에 돈을 투자한 기업은 전체의 36.5%로 나타났다. 아직도 기업의 63.5%는 정보보호에 대한 투자가 없었다는 이야기다. 2009년에는 어땠을까? 2009년 정보보호실태조사에서는 정보보호에 투자하지 않는 기업들은 63.6%였다. 1년 새 기업들의 정보보호에 대한 의식 변화는 크게 나타나지 않았다는 것이다.


2009년 조사당시 기업들은 ‘정보보호 지출이 없는 이유’에 대해 “정보보안 사고로 인한 피해가 거의 없어 필요성을 느끼지 못한다(1위, 65.1%)”라는 의견과 “정보보호에 관심이 없다(2위, 16.2%)”라는 매우 솔직한 답변을 했다. (2010년 실태조사에서는 어떤 이유에서 인지 ‘정보보호 지출이 없는 이유’에 대한 문항이 없었다)


이런 기업들의 인식 속에서, 법에서 정한 기술적 조치 이상의 보안 투자는 불가능에 가깝다. 한 기업의 보안담당자는 “보안솔루션을 선정할 때 가장 중요시 생각하는 것은 가격과 유지 보수이다”라면서 “성능이 좋다한들 가격이 비싸면 윗분들을 설득할 수 없기 때문”이라고 말한다.


결국 기업들은 특수한 상황이 아니면 기술적 조치 이상의 투자는 하지 않는다. 애당초 취지에 대한 의미가 퇴색되는 것이다. 차라리 법에서 명시했던 기술적 조치를 빼고 기업들 스스로 보안을 하도록 만드는 것이 좋을 듯싶다. 대신 보안 문제에 대한 책임을 더욱 강조하게 만드는 것이다. 개인정보보호법의 개인정보 불법유출 등 침해행위에 대한 처벌인 5년 이하 징역, 5,000만 원 이하 벌금만으로는 부족하다.


예를 들어 개인정보보호위원회가 개인정보 침해시 부여할 수 있는 벌금 제도를 만들어 사안에 따라 대기업도 겁먹을 수 있을 정도의 벌금을 부과하는 방법도 있다. 다만 그 벌금은 국가에 내는 것이 아니라 개인정보 침해 대상에 대한 보상과 유출 기업 보안에 재투자 하는 방식이 되면 좋으리라 생각된다. 개인정보 유출이 기업에도 직접적으로 피해를 준다는 인식을 심는 것이다. 물론 꼭 이렇게 하자는 것이 아니다. 어떤 방법이든 지금과 같아서는 안 된다는 이야기를 하고 싶은 것이다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>