정보보안, 사회적 인식 변화 필요...해킹시 재해 수준의 피해 발생 

[보안뉴스= 주영흠 잉카인터넷 대표] 최근 유명 커피회사의 홈페이지가 해킹을 당해 이슈가 됐다. 또한, 유명 포털 업체의 해킹으로 인해 개인정보가 유출된 사건에 대해 지방법원에서 1인당 20만원을 지급하라는 배상 판결이 나왔다.

비록 1심이지만, 그 규모나 이로 인한 사회적 파장 등을 고려할 때 의미 있는 판결이며 향후 유사한 소송으로 확대될 것으로 예상돼 귀추가 주목된다.

위 사건은 최근 유행하고 있는 APT공격에 의한 개인정보 절취 사건이다. APT란 Advanced Persistent Threat 의 약자로써, 우리말로 번역하자면 지능적이고 지속적인 위협 정도로 해석될 수 있다.

이해를 돕기 위해 보다 간단하게 얘기하자면, 기존에 악성코드가 불특정 다수에게 유포되고 감염시킨 후에 특정 목적(개인정보 절취, 피싱, 파밍 등)을 행하는 것이었다면, APT공격은 특정 기업이나 조직을 노린 공격이라는 측면에서 그 목적성 측면에서 가장 큰 차이점이 있다고 할 수 있다.

앞서 얘기한 포털 업체 해킹을 비롯해 2010년에 발견된 스턱스넷(Stuxnet)은 단순한 정보 절취를 넘어서 이란의 산업시설(핵발전소, 우라늄농축시설 등으로 추정)에 대해 정교한 공격을 감행하는 등 이로 인한 피해가 IT 사고 수준을 넘어서 재해에 까지 이를 수 있다는 것에서 보다 높은 주의가 필요하다.

우리 사회는 인터넷 등으로 대표되는 IT 기술의 발달로 세상의 많은 부분이 정보화 되고 시스템화됐다. 지하철의 움직임을 제어하거나 신호등을 켜고 끄고, 원자력 발전소를 제어하는 등 거의 모든 분야에서 기계식이 아닌 전자식 제어 시스템을 사용하게 됐으며 이를 제어하는 것 역시 형태의 차이가 있을 뿐 컴퓨터를 통하여 운영되고 있다.

또한, 회사에 출근해서 제일 먼저 컴퓨터를 켜고 이메일을 통해서 정보를 주고 받으며, 많은 의사결정을 온라인을 통해서 결정되고 문서파일을 메신저를 통해 주고 받는 등 비즈니스에도  IT 기술이 필수가 된지 오래다.

이런 인프라를 보호하기 위해서 필요한 것이 정보보안 업무와 보안 솔루션이라고 할 수 있다. 그러나 아무리 좋은 보안 솔루션이라고 하더라도 모든 공격에 대처할 수 없다는 한계가 항상 존재할 수 밖에 없다는 것을 잊지 말아야 한다. 제대로 된 정보보안을 하기 위해서는 내부에 프로세스를 정비하고 중요한 정보 자산에 대해 접근을 통제해야 한다.

무엇보다 정보보안이 비용이 아니라, 비즈니스 인프라를 보호하기 위한 투자로써, 발생할 수 있는 리스크를 최소화하기 위함이라는 인식을 조직 전반에 갖추는 것이 필요하다.

많아야 수천에서 수억원이면 할 수 있는 보안 인프라를 게을리 했다가는 기업 비즈니스 전반에 심각한 타격을 입을 수 있다는 것이 다양한 해킹 사례가 주는 교훈이다. 사회의 인프라 보호를 조금이라도 등한시 한다면, 인프라에 대한 공격으로 인해 사회 전반한 심각한 혼란이 초래할 수 있다는 것이 스턱스넷이 주는 교훈이라 할 것이다.

필자는 정보보안 업종에서 근 20년 가까이 종사하고 있으면서 최고의 방패로써, 최적의 솔루션을 개발하기 위해서 힘쓰고 있지만 아직은 갈 길이 멀다는 생각이다. 이와 함께 IT 강국으로써 지금보다 한층 발전하기 위해서는 법과 제도의 정비와 함께 사회적 인식 역시 높아지기를 기대해 본다.

[글_ 주영흠 잉카인터넷 대표이사]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>