• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보 유출 사고는 기술 문제? 혹은 경영 문제? 2016.01.07

신기술 의존형 보안은 더 이상 통하지 않아
지불시장의 발전 교훈삼아 진정한 ‘스마트’와 ‘심플’ 추구해야

[보안뉴스 문가용] 정보 유출 사고는 보안 기술의 문제인가, 사업을 진행하는 과정의 문제인가? 이는 정보보안 혹은 사이버보안 업계의 문제인가, 경영방식의 문제인가? IT 보안, 정보보안이라는 신학문이 다루어야 하는 문제인가, 경영이라는 오래된 학문의 변화가 반드시 있어야만 하는 문제인가?

▲ 여기서 보면 갈림길, 반대편에서 보면 모이는 길


사람마다 다른 답이 나오겠지만 확실한 건 기술이든 경영이든 몇 가지 새로운 걸 기존의 것 위에 얹어 놓는다고 해서 정보 유출이라는 문제가 해결되지는 않는다는 것이다. 더 이상 정보가 유출되지 않도록 하려면 회사의 경영을 머리부터 발끝까지 샅샅이 감사하고 평가해야 한다. 그런 후에 하나하나의 과정들을 완전히 뒤집어엎는 정도로 바꾸고 교체해야 한다. 현대의 기업 운영에는 이미 다양한 형태의 ‘자동화’가 포함되기 때문이다. 즉, 정보 유출은 기술과 경영 모두의 뿌리 깊은 문제이다.

현실에서의 문제
한 번은 의료계의 어떤 컨퍼런스에 참석한 적이 있다. 한 보험회사의 컴플라이언스 담당자를 만났는데, 하루는 회사에서 주요 환자 기록이 몽땅 적혀 있는 복사본을 8개나 주운 해프닝을 씁쓸하게 이야기해주었다. 일부러 찾으려고 한 것도 아니고 우연히 발견한 것인데, 그렇게 돌아다니는 주요 문서를 더 찾으려고 해도 얼마나 나올지 몰라 무서워서 할 수가 없었다고 했다.

이는 기술적인 문제라기보다 경영이 이뤄지는 과정에서의 오류에 가깝다. 정확히는 애초에 주요 자료가 한 회사 건물에서 8건이나 따로 필요하도록 한 정보 처리 과정의 문제다. 거기다 그런 자료들에 대한 파기 및 후속조치 관리절차도 마련되지 않았으니, 그 또한 심각한 절차상의 문제다. 게다가 이런 실수가 과연 이 회사만의 것일까?

“그래도 이제 와서 뭘 어떻게 하나요?”
요즘 갑자기 떠오른 지불산업도 문제가 그득하다. 신용카드란 것도 이미 굉장히 오래된 기술이며, 때문에 신용카드 처리 및 소비자의 구매 행위에 관련된 모든 절차가 상당히 고착화되어있다. 카드를 기기에 긁어 ‘허가가 떨어지는’ 과정에만도 대략 16가지 이상의 절차가 필요한데, 공격자 입장에서 보자면 이는 ‘황금맥’과 같은 기회다. 취약점이 존재하지 않는다면 오히려 이상할 정도의 절차 수다. 그러나 그 과정을 뒤집어엎기엔 사회적 비용이 너무나 컸다.

그러나 오늘날의 디지털 환경이 자리를 잡으며 이 문제가 해결되었다. 이젠 심지어 플라스틱으로 만들어진 카드 자체를 들고 다닐 필요도 없어졌다. 그러니 공격자들이 노리는 계좌정보나 카드번호와 같은 정보는 한 층 더 안전해졌다고 볼 수 있다. 기술의 발전으로 한 차례 위기를 극복한 좋은 예로 볼 수 있다. 물론 완벽해진 건 아니지만 말이다.

더 좋은 생각
지불시장의 혁신과 더불어 다른 경제 영역의 보안에서도 변화의 조짐이 나타나기 시작했다. 개인적인 생각이지만 아프리카의 국가들이 서양의 국가들보다 지불 관련 시스템에서 더 많은 발전이 있었다. 일례로 케냐는 M-Pesa라는 지불 시스템을 갖추었는데 이는 매우 간단한 지불 시스템이다. 전화기로 지불할 돈의 금액을 받는 자에게 문자메시지로 전송만 하면 모든 게 끝난다. 개인정보의 ‘ㄱ’도 필요하지 않다. 그러니 여기엔 딱히 공격해서 얻을만한 게 없는 것이다. 전화기기의 도난만 빼면 말이다.

스마트라는 말이, 심플이라는 말이 이 만큼 잘 어울리는 지불 시스템은 그 어느 곳에서도 보지 못했다. 이걸 활용하기 위해 전화기에 뭘 더 설치하거나 최신 폰으로 업그레이드해야 할 필요도 없다. 그러니 전화기만 있다면 누구나 사용이 가능하다. 게다가 안전하고 말이다.

하고 싶은 말? 비싼 솔루션이 모든 걸 해결해주지 않는다는 것이 하나, 경영적인 측면, 환경적인 측면을 잘 조합해서 고민을 하다보면 스마트하고 심플하게 안전을 도모할 수 있는 방법이 보인다는 것이 둘이다. 누구나 할 수 있는 말이지만 어렵다고? 맞다. 하지만 케냐의 누군가는 디지털 지불 시장의 새로운 방법을 찾아냈다. 사실 척박하다면 척박할 수 있는 케냐의 환경에서 말이다.

지금 당장 업계 전체를 볼 필요는 없다. 지금 내가 속해 있는 기업이나 조직의 네트워크 상태를 보고, 보완할 점을 찾아보라. 그리고 그 문제를 해결하는 데에 있어 수백만 달러짜리 솔루션이 필요한지 아닌지를 고민해보라. 보안 담당자라면 더 이상 ‘신기술을 더 많이 아는 사람’에 그쳐서는 안 된다. 안전이란 건 커다란 맥락에서 해결책을 찾아야 자연스럽다.

글 : 제프 쉴링(Jeff Schilling)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>