| 공격하는 해커 입장에서 보안을 생각하라! | 2014.03.25 | |||
보안사고 발생 전에 취약점 찾으려고 노력해야 CEO가 보안 투자하기 위한 필수적 환경 마련 먼저 [보안뉴스 김지언] 보험사, 통신사, 의사협회, 카드사 등에서 잇따라 개인정보 유출사고가 발생하면서 여론이 시끌하다. 이 가운데 보안사고 조사의 관점을 새로운 시각으로 봐야한다는 주장이 제기됐다. 사건을 누가 했는지 보다 원인이 무엇인지에 초점을 맞춰야 한다는 것이다.
김 교수는 먼저 지속적으로 발생하고 있는 보안사고에 안타까움을 나타냈다. 그는 “보안사고가 발생하면 그 원인을 먼저 파악해야 함에도 불구하고 누가 보안사고를 일으켰는지에 대해 초점이 몰리고 있다”며 “왜 이러한 보안사고가 발생했는지를 파악하고 그 원인을 고쳐야 한다”고 언급했다. 첫 번째 원인으로는 공격자 입장에서 보안을 생각하지 않고 있다는 점을 지적했다. 김 교수는 “보안을 한다는 것은 공격자와 같이 생각해야 한다는 것을 의미한다”며 “방어를 하면서 공격자와 같은 생각을 하지 않는 것은 뚫린 수비를 하는 것과 같기에 각 계층마다 취약점을 찾는 것이 중요하다”고 밝혔다. 즉 보안사고가 발생하기 전에 먼저 취약점을 찾고 미리 예방해야 함에도 이를 하지 않았다는 것이다.
▲ KAIST 김용대 교수 또 외국기업에서는 취약점을 발견할 시 포상금을 주는데 반해 우리나라는 외부에서 문제가 되는 취약점을 알려줌에도 수정하려하지 않는 현 기업의 실태를 꼬집었다.
두 번째로는 국내관련 법이 너무 강해 정보보안산업이 오히려 약화된다는 딜레마를 언급했다. 김 교수는 “대기업은 정부가 정한 가이드라인만 지키면 된다고 생각하고 중소기업들은 법 규정 수준의 보안도 이뤄지지 않은 상태”라고 지적했다. 이어 김 교수는 “보안을 기업 자체적으로 맡겨 사고가 발생하면 기업 생존에 위협이 갈 수 있게 책임지도록 해야 하는데 해킹기술은 점점 고도화되는데 반해 법은 과거에 머물고 있어 문제가 되고 있다”며, “보안담당자가 새로운 보안 솔루션을 들여오려고 해도 기업 입장에서는 법규만 잘 지키면 된다고 생각한다. 보안 솔루션 개발 업체에서도 정부에서 규제하는 보안 솔루션만 개발하고 새로운 기술이 도입된 보안 솔루션 개발을 등한시하게 됨으로써 결국 보안산업 전체의 성장에 걸림돌이 되고 있다”고 주장했다. 세 번째로 그는 “보안전문가들이 CEO에게 정보보안 투자를 건의할 수 있는 환경을 마련하는 데도 노력해야 한다”며 “보안사고가 터졌을 때 CEO가 책임지는 구조를 만듦으로써 보안투자가 적극적으로 지원될 수 있게 하는 것이 필요하다”고 밝혔다.
한편, 정보보호최고책임자협의회는 사이버공격이 급증함에 따라 정보보호최고책임자(CISO)의 역할이 부각되는 상황에서 발족됐다. 기업 정보보호활동 강화 및 기업 간의 협력체계 구축을 위해 ‘정보통신망법 제45조의3’에 의거해 기존 한국CSO협회에서 명칭과 소관부처가 변경돼 2013년 12월 다시 출범했다. [김지언 기자(boan4@boannews.com)]<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||
 |
