• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[이 시각 키워드] 메르스 의심환자와 상대평가 2015.09.21

네이버 키워드 : 메르스 의심환자

다음 키워드 : 상대평가


[보안뉴스 문가용] 현재 시각(21일 17시 기준)으로 네이버에서는 ‘재신임 투표 철회’가 핫토픽 키워드 1위를 기록하고 있으며 다음에서는 ‘박재범’이 가장 윗자리를 차지하고 있다. 하지만 매우 민감한 두 키워드를 가지고는 도저히 보안 분야의 이야기를 엮을 수가 없어 부득이 10위권 안에 있는 ‘메르스 의심환자’와 ‘상대평가’를 이 시각 키워드로 선정했다.


네이버 키워드, 메르스 의심환자와 내부자 유출 사고

올 여름 한국 전체를 공포의 도가니로 몰고 간 메르스 질병이 사실상 종식되었다는 선언이 두 달 전에 있었는데 춘천에서 20대의 새색시가 의심되는 병에 걸려 격리된 것으로 알려졌다. 신혼여행을 다녀오다가 두바이에 잠깐 들렸다는 것. 또 다른 소식에 의하면 여태 잘 알려지지 않아서 그렇지 종식 선언 이후 메르스 확진을 받은 의심환자가 30명에 달한다고도 한다.


국가 전체를 흔드는 전염병은 사이버공간에서 말하는 멀웨어와 무척 많이 닮아 있다. 특히, 이번 메르스 사태를 떠올려보자면 한 나라의 극히 작은 일부인 몇몇 사람의 중동 여행이 발단이 되었는데, 이게 온 나라로 퍼져 수십 명의 목숨을 잃는 사태로까지 발달했다. 작은 구멍이 전체를 감염시키는 걸 직접 경험하고 목격한 것인데 이는 사이버 보안에서 항상 일어나는 일이다.


이는 이른 바 초연결시대라는 것과 관련이 있다. 마치 세상 모든 사람이 같은 공기를 가지고 호흡을 하는 것처럼, 인터넷이라는 커다란 공간에 많은 사람이 접속한 상태로 일을 하고 생활을 하다 보니 한 사람에게 침투한 멀웨어가 전염병처럼 걷잡을 수 없이 확산되는 건데, 그렇기 때문에 요즘 정보보안에서 대두되는 것이 바로 ‘내부자로 인한 유출사고’다.


기업이나 조직에 악감정을 품고 일부러 중요한 정보를 빼돌리는 내부자 유출사고도 있지만 중동을 다녀와 자기 의지와 상관없이 병에 걸리는 바람에 다른 사람에게까지 뜻밖의 피해가 이어지는 것처럼 조금 안이하고 무심한 인터넷 서핑 습관 때문에 자기도 모르게 멀웨어에 감염된 것 때문에 회사 전체에 피해를 끼치는 경우가 상당수다. 한 통계에 의하면 이런 ‘실수’나 ‘부주의함’ 때문에 일어나는 유출사고가 전체 유출사고의 절반 가까이에 이른다고 한다.


그렇기 때문에 ‘남에게 피해만 안 주면 사람은 뭘 해도 된다’는 패러다임에도 조금씩 변화가 오고 있다. 모두가 연결되어 있는 때에는 부주의함과 실수에도 책임을 물을 수 있다는 정서가 형성되고 있는 것이다. 적어도 인터넷 세상에서는 말이다. 그래서 의도와 상관없이 멀웨어 침입의 시초가 된 직원이 해고되기도 하고, 심지어 사고를 겪은 기업의 CEO까지도 옷을 벗는 경우가 심심찮게 발생한다. 인사관리처의 처장도 이를 피해갈 수 없었다.


아직 우리 정서상 중동에 다녀왔다고 그 사람에게 메르스에 대한 여러 가지 피해 책임을 물을 수 없지만 온라인에서는 사정이 조금 달라질지도 모르겠다. 중동 조심, 낙타 조심, 그리고 자신의 부주의함 조심.


다음의 키워드, 상대평가와 보안사고

정부가 ‘기업에서 누군가를 해고할 때 절대평가로 할 것’이라는 지침을 발표하면서 상대평가라는 키워드가 급속도로 순위표에서 올라가고 있다. 상대평가에 비해 절대평가가 더 투명하고 객관적인 기준이 된다는 것이다. 결국 누가 봐도 일을 못하는 사람만 해고시키라는 건데, 취지는 올바른 것 같으나 과연 이게 얼마나 실효성이 있는지 의문이 든다. 어찌됐던 평가에는 기준이라는 게 있어야 하기 마련이고(즉 기준에 비교한 상대성), 평가라는 개념 자체가 이미 주관성을 배제할 수 없는 개념이기 때문이다.


그러나 그것이 보안사고나 멀웨어 감염이라는 ‘사실’로서 드러났을 때는 충분히 절대평가의 범주에 들어갈 수 있으리라 보인다. 각종 보안사고에 대한 대중의 인식이 높아져가고 있으며 법원에서는 판례가 쌓이고 있는 때에 그것이 아무리 미비하더라도 보안 실책이 드러나는 순간 ‘일을 못하는’ 충분한 근거가 될 수 있기 때문이다. 게다가 요즘은 기업들마다 보안정책을 사규로 만들어 교육하고 있으며(회사 내 메신저 금지 등) 주의해야 할 것과 하지 말아야 할 것을 엄격하게 규정하고 있어서 이를 잘 못 지키는 경우 금방 눈에 띈다.


더불어 보안 장치가 잘 마련된 기업이나 서비스에 더 큰 신뢰를 주는 소비자들과 일반 대중의 인식도 형성되고 있어 ‘보안 잘 지킨다= 유능하다’ 혹은 ‘보안 잘 못 지킨다= 무능하다’의 공식이 점점 더 굳어지고 있는 느낌이 분명히 있다.


아직 정부가 보안 항목을 가이드라인에 넣었는지 안 넣었는지는 확실하지 않다. 그러나 늘어나는 사이버 사고와 그 피해규모를 봤을 때 정보보안과 관련된 엄격한 정책은 이번 가이드라인이 아니더라도 법조문으로까지 충분히 만들어 질 수 있을 것으로도 보인다. 지금 보안의 여러 규정이 귀찮게 느껴진다면, 절대평가에서조차 뒤쳐질 수 있다는 뜻이다. 중동 조심, 낙타 조심, 역시나 자신의 부주의함 조심.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>