강 윤 평 포스코 프로젝트지원실 정보보호2팀 리더 \r\n

ypkang@posco.com

\r\n

\r\n

최근, 국내 굴지의 카드사에서 고객 정보 1억여 건이 외주사 직원에 의해 유출된 사상 초유의 개인정보 사고가 발생했다. 유출된 고객의 정보는 이를 필요로 하는 악의적 의도를 가진 자에 의해 2차, 3차 피해까지 양산해 내면서 규모가 눈덩이처럼 커져가고 있다. 실질적인 피해자는 당연히 자신의 소중한 정보를 강탈당한 고객이겠지만 고양이에게 생선을 맡긴 카드사도 가해자이자 또 다른 피해자이다.

\r\n

\r\n

정보보호를 업으로 하고 있는 보안인들의 입장에서는 남의 일로만 여길 수 없는 현실 속에서 그저 속절없이 가슴을 쓸어내릴 뿐이다. 오히려 정보보호 의지가 미약하고 투자에 인색한 기업이 보안인 입장에서는 남의 아픔이 나의 힘이 되고 있는 현실이 안타까울 뿐이다.

\r\n

\r\n

\r\n

돌이켜보면 카드사 입장에서도 예견 가능하고 충분히 막을 수 있는 리스크였기에 보안인들에게 주는 교훈과 시사점이 어느 때 보다 크다고 느껴진다. 카드사에서도 금전적 손실과 기업 이미지 추락이라는 가혹한 형벌은 물론 기업의 존립마저 흔들릴 수 있어 긴 한숨 속에 아쉬움만 토해내고 있을 것이다. 혹자는 엎질러진 물도 담을 수 있다고 하지만 억지로 물통에 담는다고 하더라도 다시 마실 수 없다는 것을 명심해야 한다.

\r\n

\r\n

\r\n

독일의 화학자이자 비료의 아버지라 불리는 리비히가 주장한 최소량의 법칙이 있다. 이는 모든 동식물들은 최소량의 법칙에 따라 성장한다는 이론이다. 즉 성장을 좌우하는 것은 영양소 중 넘치는 것에 의하지 않고 모자라는 것에 따라 결정된다는 것이다. 칼슘, 마그네슘, 철분 등 필수 영양소 중 넘치는 것들에 의해 성장이 결정되는 것이 아니라 모자라는 것들에 의해 제한된다는 이론이다. 이러한 법칙은 정보보호에도 그대로 적용된다. 예전의 기업 경쟁력은 회사 단독 개념이었으나 요즘에는 기업을 둘러싸고 있는 SCM전체로 평가되고 있어 계열사, 협력사, 공급사 중 어느 한 곳에서라도 문제가 발생하면 경쟁력 저하로 이어지는 것은 불을 보듯 뻔한 사실이 되었다. 특히, 보안의 경우는 더욱 심하여 10개의 문중 9곳에 튼튼한 열쇠로 잠가 놓았다하더라도 한 곳의 빗장이 풀려 있다면 나머지 9곳에 들인 공이 허사가 되는 것이기에 최소량의 법칙이 가장 극명하게 드러난다고 볼 수 있다.

\r\n

\r\n

\r\n

실제, 2010년 국내 반도체 제조회사 A사에 반도체 장비를 납품하는 협력업체 B사는 A/S 등을 빙자해 영업비밀 서류를 절취하거나 친분을 이용해 A사의 영업기밀을 빼내는 수법으로 국가핵심기술로 지정된 A사의 반도체 핵심기술을 해외로 유출하다 적발된 사건이 있었다. 이 사건은 전, 현직 직원에 의한 기술유출이 아닌 협력업체 직원에 의해 이루어진 사고로 협력업체에 대한 보안관리 강화의 필요성을 일깨워준 기술유출 사건이다. 이렇듯 나만 잘하면 되는 보안에서 우리 모두가 잘해야 진짜 잘하는 개념으로 보안의 의식이 바뀌어 가고 있음을 다시 곱씹어 볼 필요가 있다.

\r\n

\r\n

\r\n

[월간 시큐리티월드 통권 제207호(sw@infothe.com)]

\r\n

\r\n

<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>

\r\n