전체적으로 아직은 낮으나 점점 올바른 방향으로 가고 있는 추세

보안 강화를 비용 지출이 아닌 미래 투자로 인식해야

[보안뉴스 문가용] 미국의 대형 쇼핑몰인 타깃(Target)의 전 CEO인 그렉 스타인하펠(Greg Steinhafel) 씨는 특별히 보안을 소홀히 하지 않은 CEO로 알려져 있다. 정확히 말하면 사이버 보안의 리스크 관리에 많은 신경을 쓴 인물이다. 하지만 그의 그런 노력에도 이름, 전화번호, 이메일 주소, 우편주소 등 7천만 명 가량의 고객정보가 유출되는 사고가 지난 달 발생했고 그는 그 자리에서 물러나야 했다.

그렇다면 일반 직원들은 자신들의 CEO가 가진 보안 능력을 어떤 식으로 평가하고 있을까? 외국의 한 커뮤니티에서 관련된 설문조사를 진행했고 750명이 이 설문조사에 응했다. 16%가 ‘우리 회사의 CEO는 보안에 대한 인식이 높고 리스크 관리를 최고 가치로 여기고 있다’고 답했고 그 반대 급부인 ‘보안에 대해 완전히 무지하다’고 평한 사람이 19%에 달했다.

전체 응답자의 1/4인 25%가 ‘완벽하진 않지만 올바른 방향으로 가고 있다’고 답해 기업 리더십에 긍정적인 움직임이 있음을 드러냈으나 동시에 ‘하지만 필요한 툴을 아직 다 갖추고 있지 않다’는 불만도 제기해 흥미롭다.

단일 항목에서는 올바른 방향으로 가고 있다는 평이 많긴 했지만 수를 합산했을 때는 부정적인 평가가 여전히 많은 게 사실이다. ‘최소한의 표준만 겨우 지키는 수준’과 ‘일단 명목상의 보안팀만 있을 뿐 안개 속을 헤매고 있다’고 답한 사람을 합쳤을 때 전체 응답자의 40%에 달하기 때문이다.

이 설문에 따르면 기업의 CEO들은 여전히 보안문제를 뒷전에 두고 있거나 크게 ‘나의 일’이라고 생각하지 않는 듯 하다. 타깃의 스타인하펠 씨가 35년이나 기업을 이끌어온 베테랑 CEO였고 실제 보안에 많은 신경을 썼음에도 유출사고 때문에 일자리를 잃었다는 건 시사하는 바가 크다. 게다가 요즘처럼 기술과 보안이 빠르게 진화하는 때에는 더욱 그렇다. 이제 보안은 투자의 개념으로 봐야지 비용지출로만 봐서는 안 된다. 이에 관해 트러스트웨이브(Trustwave)의 GM인 레오 콜(Leo Cole) 씨의 기고문 일부를 인용한다.

“사이버 공격의 형태가 갈수록 다양해지고 있고 그 지평도 넓어지고 있다. 그런데 그런 기민한 움직임이 무색할 정도로 기업의 보안 인식은 요지부동이다. 아직도 많은 기업 대표들이 이윤 남기기에만 몰두하고 보안에 대해서는 하나도 신경 쓰지 않는 모습을 볼 수 있고 실제 여러 조사나 통계에서도 보안은 추후에 신경 써도 된다는 풍토가 만연한 것을 알 수 있다.

그러다보니 보안팀을 회사 내에서 구성하고 유지하긴 하지만 명목상 유지되거나 그렇지 않더라도 보안에 대한 인식이 워낙 낮은 탓에 인적 물적 지원이 낮다. 그러니 최신 공격에 대한 정보도 부실하고 그에 대응할 수 있는 기술과 툴을 갖추고 있지 못할 때가 빈번해 보안담당자가 지고 가야 하는 십자가가 너무 무겁다. 그러니 보안에 구멍이 뚫리고 책임은 보안담당자에게 지워지는 악순환이 일어나는 것이다.

그런데 보안팀이 있는 경우 자체도 흔치 않다. 그냥 IT 관련 부서의 누군가가 보안도 담당하는 경우가 태반이다. 보안은 첫째와 셋째 사이에 낀 둘째 취급도 받지 못하는 게 현실이다. 인식의 전환이 필요하다. 그리고 CEO들의 인식을 제일 많이 변화시킬 수 있는 도구는 돈과 이윤이므로 그런 관점에서 설명을 붙여보겠다.

사업장에서 고객들이 카드 결제를 할 수 있게 해주는 경우(아마 대부분이 그럴 것이다) 고객 정보에 민감해야 할 수밖에 없다. 왜냐하면 이게 다 돈과 직결되기 때문이다. 신용카드 정보 보안의 표준인 PCI-DSS를 준수하지 않을 경우 벌금이 상당하기 때문이다. 수천 달러에서 수만 달러에까지 이른다. 이 어마어마한 돈을 아끼는 것은 수익을 창출하는 것이나 다름없다.

게다가 이 돈 뿐만이 아니다. 유출사고가 발생했을 때 그 발생 지점에 해당하는 사업장에서는 고객의 카드를 전부 교체해줘야 하는데, 이 비용은 누가 물어야 할 것 같은가? 바로 유출사고를 겪은 사업주다. 유출사고에 대한 보상은 말할 것도 없다. 즉 누군가 당신의 고객 카드 정보로 100만원 짜리 옷을 샀다면, 100만원을 그 원래 카드 주인에게 물어주어야 하는 것 역시 해당 사업장의 주인이라는 뜻이다.

사고 후에는 포렌식 수사가 이어지기 마련인데, 이는 대부분의 경우 법정 소요로 이어지는데 이 과정에 발생하는 모든 비용 역시 사업주가 책임져야 한다. 여기까지는 ‘계산이 가능한’ 액수에 불과하다. 사실 어지간한 규모의 사업장 입장에서는 이것만으로도 사업을 접어야 할 가능성이 높은데도 말이다.

그렇다면 측정 불가능한 비용에는 뭐가 있을까? 사고를 해결하느라 잠시 쉬고 있는 기간, 쉬는 동안에 잃어버리는 고객, 회사 신뢰도가 떨어지면서 함께 떨어져 나가는 사업 파트너들과 고객들 등이 여기에 속한다. 이런 보이지 않는 손실 때문에 사고에서부터 복구하더라도 계속해서 파산 위기에서 벗어나지 못하는 회사 또한 많이 보았다.

정보보안에 ‘한 방 해결책’이나 ‘만병통치약’ 같은 게 없다고 하더라도 포기해서는 안 되는 이유가 바로 여기에 있다. 보안은 전형적으로 잘해봤자 티 안 나지만 못했을 때 엄청 티가 나는 일이다. 소와 돈과 고객 잃고 외양간 고치는 건 너무 늦다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>