공격자들은 활발한 지식공유로 계속 진화 거듭

보안담당자들, 공격당하는 것 무서워...숨기기에 급급

취재를 하다보면 참 답답할 때가 많다. 보안담당자들의 입을 열게 하는 일이 만만치 않은 작업이다. 이해는 간다. 보안담당자 또한 조직의 일원으로서 지켜야할 사항들이 있을 것이다.

은연중 보안구축 사례들이 마치 회사 기밀이라도 되는 것처럼 노출을 꺼리는 경향이 있다. 모 기업 보안담당자에게 전화를 걸어 “이번에 몇가지 보안솔루션 도입을 한 것으로 알고 있다. 어떤 이유로 도입하게 됐고 도입후 어떤 효과를 기대하고 있는지 취재 협조를 부탁한다”고 말했다.

해당 담당자는 난감해 하며 “도입한 것은 맞는데 구체적으로 취재에 응하기는 곤란하다. 왜냐하면 보안상 어떤 보안솔루션을 구축했다고 소문이 나면 공격 시험 대상이 될 수 있기 때문에 협조가 어려울 것 같다. 양해해 주기 바란다”고 말했다.

과연 그럴까. 보안시스템을 도입했는데도 불구하고 공격자들을 두려워한다는 것은 그만큼 시스템 구축에 자신이 없다는 반증이다. 또 완벽하게 구축하지 못했다는 것을 의미한다고 볼 수 있다.

그리고 여전히 보안을 비즈니스적 마인드로 접근하지 못하고 있는 것이다. 이제 기업에서는 개인정보보호와 내부정보 유출에 적극적으로 대처하지 않으면 안되는 시대가 됐다. 앞으로 더욱 그럴 것이다.

그렇다면 향후 기업 경쟁력과 신뢰도에 큰 영향을 미칠 수 있는 분야가 바로 ‘보안’이다. 우리 회사가 얼마나 개인정보보호를 철저히 하는지, 그리고 고객의 정보를 얼마나 소중하게 다루고 있는지, 회사 핵심기술을 얼마나 잘 간수하고 있는지를 고객과 주주들에게 적극적으로 알려야 한다. 그런 의미에서 보안은 비즈니스다.

보안은 기업의 경쟁력에 중요한 역할을 담당하고 있다. 보안 프로세스에 신경을 쓰지 않는 기업은 얼마못가 생존력을 잃게 될 것이다.

보안은 아이러니하게도 알려야 한다. 그래야 발전한다. “지금 우리 기업에서 이러한 솔루션을 도입하고 있다” 혹은 “이런 솔루션을 도입할 예정이다” “어떤 방법으로 어떤 솔루션을 도입하는 것이 우리 기업에 최상일까” 보안담당자들끼리 지식을 공유하고 연대의식을 가져야 살아남을 수 있다.

과연 아무도 모르게 보안솔루션을 도입했다고해서 공격자들이 모를까. 너무도 진부한 발상이다. 보안은 아무리해도 완벽할 수 없기 때문에 외부 공격자든 내부 공격자든 작은 허점을 집요하게 파고들면 뚫리게 돼 있다.

그 가능성을 줄이기 위해서는 공유정신이 필요하다. 해커들은 공격 기술에 대해 자유분방하게 서로 공유하고 그것을 통해 학습을 한다. 그래서 항상 공격자들은 방어자의 머리 위에 있다. 어떻게 이들을 막을 것인가.

보안세미나 같은 곳에서 구축사례 발표가 많이 있기 때문에 그런 곳에서 배우면 된다고 말하는 담당자도 있다. 하지만 그것만으로는 한계가 있다. 급변하는 IT 기술과 함께 공격기술도 하루가 다르게 변하고 발전ㆍ진화하고 있다. 계속해서 새로운 공격패턴이 등장하고 있다. 이러한 공격들을 어떻게 간간히 이루어지는 세미나에서 얻은 지식으로 감당할 수 있을까.

보안은 이제 드러내놓고 공유하고 참여하고 연대해야 한다. 함께 학습하고 그것을 토대로 발전을 거듭하는 것이 중요하다. 숨기는 것만이 능사가 아님을 보안담당자들이 깨닫길 바란다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>