참으로 어이없는 사고가 발생했고, 관계 당국과 기업의 어이없는 보안 대처에 경악을 금하지 못 한다.
2020년 6월 14일 언론보도에 따르면, 서울지방경찰청 보안수사대는 신용·체크카드 관련 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보를 담은 1.5테라바이트 분량의 외장하드를 확보했다고 한다.
경찰과 금융당국은 1.5TB는 신용카드 기준으로 약 412억건이 들어가는 용량이라고 밝혔다. 그러나 관계기관과 카드사 누구 하나 나서서 자발적, 의욕적으로 분석하겠다는 기관 없이 3개월 동안 ‘핑퐁’을 쳤다는 기사를 접했다. 보안인의 한 사람으로 얼마나 한심한지 어이가 없다.
그간 필자는 보안인은 ‘모태 보안인’이란 사명감을 갖고 일해야 한다고 누누이 강조했다. 알량한 보안 기술을 몇 가지 안다고 보안 관련 직책을 보존하는 사람은 보안인이 아니다. 보안은 사명감 없이 할 수 있는 직업이 아니며, 보안 교육에서도 필수적인 교육이 보안인 직업에 관한 인식 제고 교육이다.
필자는 그간 경험을 통해서 보안사고 원인자는 크게 4가지로 분류한다.
첫째로 외부 해킹이다. 외부 해킹은 시도 건수가 많지만, 기업들이 보안 기술과 장비에 많이 투자하고 설치해서 과거처럼 쉽게 털리지 않는다.
둘째는 직원이다. 직원은 다시 현직 직원과 퇴직 직원으로 구분한다. 통상적으로 직원들은 보안 사고를 일으키지 않는다. 다만, 한번 일으키면 기업은 막대한 피해를 보게 된다. 때문에 보안 인식 제고 교육이 필수적이다.
셋째는 협력사 직원에 의한 보안사고이다. 최근 기업들은 정 직원과 협력사 근무체계 형태로 이루어져, 협력사 직원들의 보안 사고는 늘어나는 추세이다. 이는 협력사 직원들이 정직원에 비해서 일은 많이 하지만, 차별적인 급여 등 정 직원과의 불평등에서 보안사고가 이루어진다.
마지막으로 위 세 영역의 보안사고 원인자들이 공조에 의해서 일으키는 보안사고이다.
보안 사고를 업으로 담당하는 관계기관의 보안인들은 금번 사고에 대해 국민의 개인정보와 금융정보 유출 상황이 각종 보안 범죄에 악용될 소지가 크다는 점을 알면서도 손을 놓고 있었다고 한다.
기업들은 국민들에게 매번 개인정보를 요구하면서 보안사고 발생 시에 손을 놓고 있었다는 말로 들린다.
보안은 통계적으로 관리적, 기술적, 물리적 영역 전체를 잘 통제해도 13%의 보안 홀이 존재한다. 아무리 완벽한 안전운전을 지키며 운전을 해도 교통사고가 날 수 있다는 논리와 유사하다.
때문에 보안은 기술적인 영역인 콘텐츠(C: 웹과 앱), 플랫폼(P: 서버와 데이터베이스), 네트워크(N: 유선과 무선), 터미널(T: PC와 스마트기기)영역에서 완벽을 추구해야 하며, 정부 등 관계기관은 절차에 따라 L/H/C(리드하고 헬프하고 체크)해야 한다.
관련기사
- 개인·금융정보 대량 유출...금감원, 경찰청에 '협조'2020.06.15
- 간편결제 보안 경각심 높인 '토스' 부정결제 사건2020.06.09
- 해킹 당해도 패스워드 안 바꾼다…"3명 중 1명만 변경"2020.06.02
- [기고] 진화하는 사이버공격, 내재적 보안 모델이 답이다2020.05.29
그리고 사회공학적 기법을 활용한 사이버 공격에 유의 할 수 있도록 관리적인 프로세스나 제도, 이용자들이 인식 등을 강화해야 87%의 보안 홀을 예방할 수 있다. 나머지 13%는 사고예방과 사고발생시 수사기관과 기업의 적극적인 보안 노력이 추가적으로 필요한 영역이다.
올해 3월초 전자서명법 전부개정안 국회를 통과했다. 모든 언론기사에서는 환영을 하고 있지만, 보안인의 한사람으로 보안홀이 더 많아지게 돼 앞으로 어떤 보안사고가 일어날지 큰 걱정이 앞선다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
