전방위적 보안 강화 위해선 전 구성원의 보안교육·훈련 중요

[보안뉴스 김태형] 지난 3월 20일 주요 언론사 및 금융권 전산망 마비 사태가 지나갔지만 여전히 그 후유증이 남아 있다. 이번 사이버테러 뿐만 아니라 보안사고는 지속적으로 발생하고 있으며, 앞으로도 발생할 수 있는 만큼 그에 대한 실질적인 보안 대응방안 마련에 대한 목소리가 지속적으로 높아지고 있기 때문이다.

사건발생 9일여가 지난 3월 29일이 되어서야 피해기관들은 모든 시스템 복구를 완료해 정상화한 것으로 전해지고 있는 가운데 일각에서는 이러한 보안사고에 대한 대응방안으로 인터넷망과 내부망 분리를 해야 한다는 등의 기술적 대안을 내놓고 있다. 하지만 이는 관리적 보안조치가 병행되지 않으면 실질적인 대응방안이 될 수 없다는 것을 우리는 이미 경험을 통해 체득한 바 있다.

이에 통합 위험관리 전문기업 에이쓰리시큐리티의 한재호 대표는 미국의 암호학 연구자이자 컴퓨터 보안전문가인 브루스 슈나이어(Bruce Schneier)의 “보안은 어떤 제품을 사용하는가에 관한 문제가 아니라 어떤 절차를 시행하는가의 문제다”는 말을 인용하면서, “APT공격이나, 점차 늘어가는 모바일 기기를 이용한 업무환경에서의 위협에는 특정 제품만으로는 해결이 불가능하고, 시스템·사용자의 전방위적인 보안 강화를 위해서는 반드시 전 구성원의 교육 및 훈련이 무엇보다 중요하다”고 말했다.

한 대표는 이러한 보안사고의 원인으로 “보안정책을 따르지 않는 내부 임직원의 업무습관과 보안인식이 낮은 경영진으로 인한 보안 투자 소홀” 등을 지적하고, “사고가 발생함에 따라 인력 확충 등의 대안마련도 좋지만, 사람에 의하여 발생하는 사고가 가장 많은 만큼 사람이 변하기 위해서는 보안교육이 무엇보다 중요하고, 그에 따른 보안관리가 필요하다”고 강조했다.

또한 이번 보안사고에 대해 이상 징후를 탐지해 사전 경고를 한 바 있는 빛스캔의 전상훈 이사는 “이러한 해킹사고가 발생했을 때는 빠른 대응과 긴밀한 협력으로 사용자의 보호를 강화해야 하는데, 이를 위해서는 말뿐인 정보보안에 대한 인식제고가 아닌 안일한 업무형태 및 인식에 대해 생각해 보고, 그에 따른 적절한 보안교육 등이 선결돼야 할 것”이라고 언급했다.

한편, 이번 3.20 사이버테러로 인해 피해를 입은 언론사 중 한 곳인 YTN을 비롯해 지방자치단체와 일부 기관들은 이후 26일에도 홈페이지 접속장애가 일어나는 2차 사고가 연이어 발생해, 허술한 보안관리에 대해 지적을 받았다. 이에 향후 이들 기관·기업들의 보안관리와 보안교육에 어떠한 변화가 있을지 이목이 집중된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>