일본 소프트뱅크는 지난 2월 야후!BB를 이용하는 451만 명의 고객 정보 유출 사건으로 인해 엄청난 손해를 보게 됐다. 유출된 고객 정보를 빌미로 돈을 요구하는 사람 2명이 나타나면서 사건의 파장이 확산되었는데, 어떤 경로를 통해 유출됐는지는 명확히 알려지지 않았지만 용의자 중 한 명은 내부 직원이었던 것으로 밝혀졌다.손정의 사장은 사건을 진화하기 위해 야후!BB 회원 전체에게 1인당 500엔 어치의 상품권을 보내고, 자신의 월급을 6개월간 50% 삭감하겠다며 사과했다. 상품권 발송을 위해 무려 40억 엔이 소요될 것으로 알려지고 있다. 하지만 아무리 많은 비용을 지불한다고 하더라도, 잃어버린 신뢰는 쉽게 회복될 수 없을 것이다.최근 한국마이크로소프트 공인교육센터에서 근무하던 모 이사가 다른 공인교육센터의 부사장으로 이직하면서, 강사 명단 및 고객 데이터베이스, 각종 양식 등의 영업 비밀을 빼돌린 일이 발생하였는데, 해당자는 현재 구속되었고 손해배상소송이 진행 중이다. 일반 사용자이나 경영층은 보안이라고 하면, 으레 H/W 또는 S/W로 구성된 보안 제품을 연상한다. 하지만 아무리 완벽한 보안을 구현한다고 선전하는 제품이라고 할지라도, 그것은 보안이 필요한 영역의 일부를 담당할 뿐이다. 보안 침해는 외부자에 의한 기술적인 해킹, 사회공학적 기법, 물리적 침입, 내부자에 의한 유출 등 다양한 경로로 발생할 수 있다.그렇기 때문에 보안은 모든 요인을 종합적으로 고려하여 전사적 관점에서 구현되어야 한다. 위험을 완화시키고 잠재적인 손실을 줄이기 위해서는 관리 통제, 기술적 통제, 물리적 통제를 모두 적절히 구현하여야 하는데, 이것은 보안에 있어 아주 기본적인 업무라고 할 수 있지만 실제로는 충분하게 이루어지지 못하고 있는 것이기도 하다.기술적 통제는 시스템에 대한 접근 제한과 정보 보호를 위한 것으로서 암호화, 전송 프로토콜, 패스워드, 생체 공학, 접근 통제 소프트웨어 등을 이용한다. 일반적으로 IT적 관점에서 보안이라고 할 때, 우리가 흔히 제일 먼저 인식하는 것이 바로 기술적 통제이다.그리고 물리적 통제는 문 잠금장치, 케이블 보호, 경비원, 비디오카메라를 이용한다. 구식으로 보일지 모르지만 조직의 핵심 자원에 대한 물리적 통제는 중요한 것이며, 기술적 통제 및 관리 통제와 통합되어 이루어져야 한다.관리 통제는 정책과 절차, 휴가 스케줄링, 보안 인식 훈련, 관리 감독, 행동 인식 등을 포함하는데, 사실 이것은 많은 조직에서 간과되고 있는 업무 중 하나이다. 기술적 통제와 물리적 통제를 구현하는 것과 함께, 조직은 반드시 보안 전반에 대한 정책과 절차를 개발하고 지속적인 보안 인식 훈련을 수행하여야 한다.필자가 보안 컨설팅을 하는 경우 제일 먼저 수행하는 것은, 해당 조직에 어떤 안티 바이러스, 방화벽 제품이 있는 가를 파악하는 것이 아니라 문서화 되어 있는 보안 정책의 내용 및 직원들의 보안 인식 수준에 대한 파악이다.많은 조직들이 주로 기술적 통제와 물리적 통제만을 구현해놓고 마치 완벽한 보안이 구축된 것인 양 착각하는 경우가 많은데, 그것은 더 큰 재앙을 가져올 수 있다. 왜냐하면 완벽한 보안이 구축되었다고 생각하는 순간, 정말 중요한 보안 구멍을 볼 수 없게 되기 때문이다.보안 전문가인 브루스 슈나이어는 자신의 저서 '비밀과 거짓말(Secrets and lies)'에서 다음과 같이 강조했다.'보안은 사슬이다. 사슬의 가장 약한 고리만큼만 안전하다. 보안은 제품이 아니라, 프로세스이다. (Security is a process, not a product.)'한때 암호학이 완벽한 보안을 이루어줄 것이라고 믿었던 브루스 슈나이어는 자신의 착오를 솔직히 고백하며, 프로세스 관점에서의 보안을 역설하였다. 보안은 몇몇 보안 제품이나 물리적 장치를 통해서 해결될 수 있는 것이 아니며 보안 모델링, 정책 수립, 훈련 및 실행·통제를 통한 지속적인 투자를 필요로 한다. 보안은 과정이며, 언제나 진행형이다.조직의 경영층 및 보안 책임자는 보안 제품만을 믿어서는 안 된다. 그렇기 때문에 완벽한 보안을 구축해줄 수 있다고 주장하는 보안 컨설턴트 또는 보안 제품이 있다면, 그것이 거짓임을 즉시 알아차릴 필요가 있다.그렇다고 필자의 이러한 주장이 보안의 기술적 중요성을 폄하하는 것은 결코 아니다. 얼마전 시만텍이 발표한 '인터넷 보안 위협 보고서'에 따르면, 전 세계적으로 지난해 발견된 새로운 보안 취약점은 2636건이며, 새롭게 발견되는 취약점의 숫자는 지속적으로 증가하고 있다. 한국은 여전히 세계 바이러스 공격국가 상위 10위 내에 속한다.보안에 있어 기술적 통제는 아주 중요하며, 예방 및 업데이트는 반드시 적시에 이루어져야 한다. 다만 그것은 이미 수많은 보안 업체들과 뉴스 등을 통해 강조되고 있으므로, 상대적으로 간과되는 부분을 강조하여 지적한 것이다. 보안의 기술적 통제 및 사회공학(Social Engineering)에 대해서도 하고 싶은 말이 많지만, 그것은 이후의 컬럼에서 살펴보고자 한다.엔지니어 출신인 필자가 언젠가, 환상적으로 보이는 IT 시스템에 대한 맹신을 통해 커다란 좌절을 겪은 후(엔지니어들은 흔히 그러한 오류를 범한다) 유사한 상황이 오면 언제나 머릿속으로 되새기는 말이 하나 있다.'아무리 뛰어난 인공 지능이라고 하더라도, 인간의 타고난 어리석음을 이길 수는 없다.'최선의 보안 기술을 구현하고 지속적인 패치를 통해 기술적 취약점을 해결하는 것은 언제나 중요한 일이다. 그리고 그러한 이면에 간과되는 중요한 위협이 없는지 찾아내고 분석하고 대응책을 강구하는 것, 또한 보안 모델링 및 위험 평가 등을 통해 보안 프로세스를 정립하는 것이 바로 '보안 책임자'의 중요한 임무이다. 조직의 경영층은 이것을 기억해야 하며, 하루라도 빨리 적절한 전문 인력을 배치하여야 할 것이다. 컬럼의 앞 부분에서 언급한 사례들이 결코 남의 일만은 아니기 때문이다. @
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.