• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안칼럼] 보안사고, “빨리 빨리”와 “대충 대충”의 결실 2011.06.28

우리나라에서 그동안 발생했던 각종 크고 작은 보안사고는 우리 사회에 만연한 빠른 성장과 성과 중심의 경쟁환경에서 비롯된 것이라고 할 수 있다. 특히 ‘빨리 빨리’하고 ‘대충 대충’, 그리고 눈에 보이는 것만 인정받는 사회 분위기속에서 ‘보안’은 눈에 보이지 않기 때문에 대충하고 빨리하고 넘어가고 있다. 


금년에만 해도 농협 전산장애, 현대캐피탈 고객정보 해킹, 3.4DDoS 공격 등 우리사회의 근본을 뿌리째 위협하는 각종 인터넷 보안사고가 지속적으로 발생하고 있다.

이러한 보안사고가 발생하는 근본적인 이유는 우리사회 각 분야에서 지난 수십년간 ‘성장’에만 너무 매달려 가시적인 성과나 실적, 그리고 보이는 것만 인정하려는 분위기에서 ‘빨리 빨리’를 추구하는 경쟁환경에서 유래된 것이라 할 수 있다.

우리나라는 그동안 ‘빨리 빨리’ 문화와 근면, 성실함을 바탕으로 세계적인 인터넷 강국을 추구하면서 유비쿼터스 시대에서 스마트 시대로의 진화와 함께 일상생활이 더욱 편리해진 반면 인터넷 의존도는 더욱 심화되고 있으며 인터넷 없이는 일상생활을 제대로 영위하기가 힘든 세상이 되어가고 있다.


보안, 지속적 투자 필요

스마트 시대에서 부당이익과 불순한 목적으로 인한 지속적인 공격과 위협으로부터 보안 사고를 막기 위해서는 시스템 구축단계부터의 적절한 투자와, 서비스향상을 위한 시스템 증설과 새로운 공격기법 등 시시각각으로 증가하는 취약점과 진화하는 위협으로부터 대응하기 위한 지속적인 투자가 필요하다.

그러나 보안에 투자가 제대로 되지 않는 이유들로는, 사업성과와 연계한 투자대비 효과에 대한 직접적 표현이 어렵고 사고가 없으면 잘 드러나지 않거나 인식하기 어려운 특성과 알더라도 당장은 아깝다거나 ‘별일 없겠지’하는 생각, 그리고 경영진의 무지와 무관심 등 보안불감증으로 ‘빨리 빨리’문화와 함께 ‘대충 대충’으로 넘어가고 있는 실정이다.

보안불감증 경영진 하에서는 정보시스템과 보안솔루션에 대해 저가위주의 최소 투자나 투자기피는 물론 보안을 담당하는 전문인력에 대한 관심이 없으며 있다하더라도 직위가 낮거나 처우도 제대로 되고 있지 않는 실정이다.

보안담당인력이 있는 경우에도 지속적인 사고위협과 과중한 직무부담, 보안사고 발생시 무거운 책임추궁, 열악한 근무환경, ‘잘해야 본전’이라는 그릇된 인식팽배 등으로 장기간 근무하지 않는 이탈현상이 반복적으로 진행되고 있다.

보안업무를 담당하는 국내 민간기업의 정보보호책임자(CSO) 임명율은 15%선으로, 그나마 정보관리책임자(CIO)나 개인정보책임자(CPO)가 겸직하고 있는 경우가 대부분으로 본연의 보안업무는 타 업무에 비해 우선순위가 떨어지게 된다.

농협과 현대캐피탈도 CSO를 임명하지 않았다고 하며 CSO나 보안담당인력이 없는 경우에는 외부업체에 보안일체를 맡길 수 밖에 없으므로 관리 부재시에는 치명적인 보안사고를 유발시킬 수 있다는 것을, 금번 사고에서 간단한 패스워드를 오래 사용하거나 수년간 시스템 패스워드를 바꾸지 않았다는 보도를 통해서도 알 수가 있었다.


보안인력 양성·업무환경도 중요

최근 잦은 보안사고, 즉 해킹, 내부직원 공모, 관리소홀 등으로 인한 개인정보 유출과 디도스 공격, 웹쉘 등의 사고를 막기 위한 시스템 구축 및 유지 보수, 운영·관리 등 보안인력의 수요가 급속히 커지고 있으나 안타깝게도 보안인력은 짧은 시간에 양성하기가 어렵다.

시스템, 네트워크, S/W, H/W 등 기술적인 소양과, 근무 현장의 환경에 적응하는 시간이 필요하며 책임감과 사명감을 갖고 오래 근무할 수 있는 환경조성이 필요하다. 또한 새로운 위협과 대응에 대한 끊임없는 대응능력 향상 노력과 처우 개선을 통한 근무의욕 고취를 강구하여야 한다.

단기적인 보안인력 양성은 대학, 대학원, 단기교육을 통해서도 가능하나, 장기적인 측면에서는 이들이 오래 근무할 수 있는 환경, 즉, CSO활성화, 보안전담직 의무화와 처우 개선 등을 통한 근무여건 개선 및 인식제고, 미국과 같은 미래 유망직종 등 장기 비전과 함께 국내 보안산업의 활성화를 통한 우수 인력들의 유입을 활성화해야 한다.

금년 9월말 ‘개인정보보호법’이 시행되면 보안에 대한 기업의 책임은 더욱 강조된다. 50인 이상 기업은 ‘개인정보보호책임자’를 지정해야 하고 개인정보의 수집·이용·제공 등에 관한 적법한 처리와 안전조치, 개인정보 파일 등록·공개, 유출통지 등 안전한 관리 그리고 정보주체의 열람요구권, 정정·삭제·처리정지요구권, 손해배상 등에 대한 대비도 철저하게 해야 한다.

현재 개인정보 유출들과 관련하여 진행중인 소송액은 수천억 규모로, 판결에 따른 추가 집단 소송, 또한 최근 사고에 대한 소송이 진행되면 천문학적으로 커지게 되고 소송에 따른 해당기업들의 엄청난 부담과 판결에 따라서는 기업의 생존여부와 직결하게 될 수 밖에 없게 되므로 이를 ‘반면교사’로 삼아 보안에 대한 지속적인 투자와 보안인력 양성 및 처우에 관심을 가져야 한다.

결론적으로, 개인정보유출을 포함하는 국내 보안사고는 총체적으로 ‘빨리 빨리’와 ‘대충 대충’문화에 의한 결실이라고 할 수 있지만 늦었다고 할 때가 가장 이른 때라고 하는 선조들의 충언이 새롭게 느껴진다.  

[글 _ 이홍섭 건국대학교 석좌교수·한국CSO협회 회장(hslee5685@naver.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>