[보안뉴스 김경애] 2003년 1.25 대란 이후 보안의 개념이 크게 변화했다. 이전에는 보안하면 일반적으로 물리적 보안만 생각했었는데, 1.25 대란 이후 기술적 보안을 중심으로 한 정보보호의 중요성이 대두된 것이다.

1.25 대란 당시 정통부에 따르면 1.25대란은 우리나라 SQL 서버 감염률이 일본의 7배, 중국의 2배라고 발표한 바 있다. 이는 보안 불감증이 불러온 인재라는 점을 확인하게 된 동시에 보안이 그만큼 중요하다는 사실을 입증하는 계기가 됐다.

이와 관련 ISEC 2014 명사초청 토크콘서트 두 번째 시간에는 ‘응답하라! 2003 : 1.25대란에서 개인정보 유출사고까지’라는 주제로 그간의 정보보안 이슈와 함께 정보보안 담당자가 나아가야할 방향이 제시돼 이목이 집중됐다.

강연을 맡은 네이버 이준호 CISO(이사)는 “2003년 1월 포털사 다음 인프라본부(IT) 업무 시절 당시에는 보안정책서도 없었고, 보안 비중도 그리 높지 않았으나 1.25 대란을 겪으면서 보안조직 구성과 보안인재 양성이 이루어지기 시작했다”고 당시 상황을 설명했다.

그러나 10년이 지난 지금도 아직까지 보안담당자가 풀어야 할 숙제가 있다는 것. 바로 2008년 최초로 발생한 1863명(A인터넷 쇼핑몰)의 대규모 개인정보 유출사고 이후, 지금까지 개인정보 유출사고가 끊이지 않고 발생하고 있기 때문이다. 게다가 내부자 유출, 외부 해킹 등 유출경로 또한 다양해지면서 보안위협 역시 급증하고 있다.

상황이 이렇다보니 2008년 이후 국내에서도 IT 컴플라이언스의 필요성이 부각되기 시작했다. 이와 관련 이 이사는 “100% 완벽한 정보보호를 위해 노력하면서 만약의 경우에 대비해 증적관리에 나서야 한다”고 강조했다.

이처럼 2008년 이전의 보안은 기술적 보안과 보안관제에 중점을 뒀던 시기였다면, 이후에는 관리적 영역, 보안정책 등이 더욱 중요시되고 있다. 일례로 인터넷 발전과 대중화로 인해 온라인 결제가 도입되면서 준수해야 하는 전자금융거래법 등 시대 변화에 따른 관련 법률 제개정에도 민감하게 대응해야 한다는 것이다. 게다가 올해 초 발생한 카드 3사의 개인정보 유출사고는 내부 직원이 USB를 통해 유출했기 때문에 제 아무리 비싼 솔루션을 도입해도 사람을 제대로 관리하지 못하면 아무 소용 없다는 게 이 이사의 설명이다.

2008년부터 네이버 정보보호 업무를 총괄하고 있는 이 이사는 “네이버에서의 보안업무 포커스는 SaaS(Security as a Service), 즉 서비스와 같은 보안”이라며, “해킹 등 고의적인 유출에 대한 대응은 물론 내부직원들의 실수로 정보가 유출되지 않도록 보안에 만전을 기하고 있다”고 설명했다.

네이버의 보안업무는 기술적 보호조치, 정보보호 인증, 이용자와의 소통 등 대외활동, 사내 정보보호, 관리적 보호조치 등 다양한 영역을 포괄하고 있다. 또한 네이버의 정보보호실의 경우 정보보호는 물론 법학, 컴퓨터공학, 경영학 전공자들로 구성해 보안인력에 있어서도 균형을 맞추고 있다고 덧붙였다.

우리 사회가 원하는 보안인재상과 관련해 이준호 이사는 “숲도 볼 수 있는 보안인, 각론과 총론에 모두 강한 보안인이 되어야 한다”고 강조했다. 이를테면 법령 위반사항은 어떤 것들이 있는지, 어떤 처벌을 받는지 등 직급이 높을수록 컴플라이언스 등 폭넓게 지식이 요구된다고 설명했다. 뿐만 아니라 법률 개정으로 인해 회사가 어떤 영향을 받게 되는지 법무부서가 아닌 보안부서에서 보고할 수 있어야 한다는 게 이준호 이사의 설명이다.

그러나 아직까지 많은 보안인력이 최고경영진에게 보안이 비즈니스에 중대한 영향을 미친다는 점을 제대로 설명하지 못한다는 것. 이는 보안인력이 제대로 대접받지 못하는 이유 중 하나라고 이 이사는 지목했다.

이러한 역할을 보안인력이 제대로 하지 못하면 직무유기가 될 수도 있다는 이 이사는 “CTO(Chief Trust Officer)를 꿈꾸는 보안인이 되어야 한다”며 “이용자와 내부 직원들에게 믿음을 줄 수 있어야 한다”고 말을 맺었다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>