2011년 4월 현대캐피탈이 총 175만 명에 달하는 고객 정보를 해킹당했다. 그리고 같은 해 7월에는 네이트에서 3,500만 건이, 2014년 1월에는, KB카드, 롯데카드, NH카드 3사의 개인정보가 모두 합해 1억 건이 유출됐다. 해킹에는 많은 이유가 있지만, 관리에 대한 소홀함과 직원들의 소행으로 드러났다. 내부 직원에 의한 정보유출은 빈번히 일어나고 있다. 금융회사들이 전산망의 해킹을 막는 데 집중하느라 내부 직원이나 보안 관리자를 통제하는 데에는 미흡했다.
위 사례를 통해 보안에 대한 사람의 중요성, 사람 중심의 패러다임 변화라는 교훈을 알 수 있다. 하지만 우리는 여전히 상황에 대해 고려가 아닌 일원화된 대응책만을 마련해 다양하고 입체적인 위협요소로부터 위험에 놓여있다. 주변 환경에 대해 늘 견지해야 할 필요가 있다.
4차 산업에 대한 정부 및 공공기관, 여론의 관심이 높아지고 있다. 그리고 각종 국제무대에서 혁신적인 제품을 내놓고 있다. 4차 산업의 핵심은 초연결을 기반으로 한다. 많은 사람의 의견을 듣고 사물을 접하면 질적으로나 양적으로 데이터가 풍부해진다. 연결의 범위가 확대하고 다양한 정보를 획득하면서 데이터 추론과 자율적인 서비스가 가능해지며 유의미한 정보 생산이 이루어진다.
장비와 기술 도입에만 초점 맞춰져 있는 국내 보안 실태 고쳐야
구성원의 보안 인식 및 지식, 행위 개발 통한 전문인력 양성 필요
2011년 4월 현대캐피탈이 총 175만 명에 달하는 고객 정보를 해킹당했다. 그리고 같은 해 7월에는 네이트에서 3,500만 건이, 2014년 1월에는 KB카드, 롯데카드, NH카드 3사의 개인정보가 모두 합해 1억 건이 유출됐다.
해킹에는 여러 이유가 있지만 관리에 대한 소홀함과 직원의 소행으로 드러났다. 내부 직원에 의한 정보유출은 빈번히 일어나고 있다. 금융회사들이 전산망의 해킹을 막는 데 집중하느라 내부 직원이나 보안 관리자를 점검하고 통제하는 데에는 미흡했다.
중앙대학교 장항배 교수는 “사례를 통해 보안에 대한 사람의 중요성, 사람 중심의 패러다임 변화라는 교훈을 알 수 있다”며 “하지만 우리는 여전히 상황에 대한 고려가 아닌 일원화된 대응책만을 마련해 다양하고 입체적인 위협요소로부터 위험에 놓여있다”고 설명했다.
기업이나 국가기관의 해킹사고 및 보안 문제는 이미 오래전부터 이어오던 일이다. 중요한 정보 보호를 위해 보안 장비를 설치하지 않은 기관이나 기업은 없다. 산업 발전과 더불어 사이버 공격도 더욱 복잡해지고 고도화되고 있다. 이에 따라 라임라이트 네트웍스, 씨게이트, 국내 기업은 인공지능과 보안을 결합해 다양한 위협 요소에 기술적으로 대처를 준비하고 있다.
정보보호학회의 논문에 따르면 보안 분야의 개발은 기술에만 집중되었고 사회과학 분야에서도 법에만 초점을 맞춰 연구가 이뤄졌다. 정부는 사람 중심의 4차 산업혁명 대응 계획인 아이 코리아를 제안했으며 위와 같은 문제점을 보완하는 데 중점을 두었다. 조직 내외부의 보안 위협요소에 대응하면서 보안 공학과 보안 경영의 균형 잡힌 사람 중심의 보안 생태계를 형성하고 전략을 수립 및 실행해야 할 때이다.
현재까지의 보안이 사람이 아닌 기술과 장비에 치우쳐져 있다는 것은 글로벌 보안 콘퍼런스 블랙햇이 참가자를 대상으로 실시한 설문조사에서도 드러난다. 응답자 가운데 30% 이상은 사이버 보안 전략이 아시아 지역에서 실패하고 있는 주된 요인으로 ‘숙련된 전문가 부족’과 ‘보안에 대한 경영진의 무관심’이라고 응답했다.
이를 해결하기 위해서는 강압적이고 예방 중심의 통제가 아닌 임직원에 대한 신뢰를 기반으로 책임과 권한을 할당하고, 교육을 통한 보안 인식과 역량을 향상이 필요하다. 동시에 지속적인 모니터링을 통해 이상 징후를 신속히 탐지하고 대응하는 접근 방법의 중요성을 인지해야 한다.
구성원의 보안인식이 개선되려면 산업보안 중요성에 대한 가시적인 인식제고 노력이 필요하다. 또 보안지식 기반의 전문 교육이 필요하다. 환경 분석 능력과 법적 사고력, 보안에 대한 기술적인 지식 및 기술 구사 능력, 사람에 대한 이해와 소통 능력, 실무 능력이 등이 이에 해당한다. 마지막으로, 구성원의 보안행위를 점검해야 한다. 알고 있는 지식에 대해 실제적인 훈련으로 지속적인 모니터링이 요구된다.
전통적인 보안시스템 도입과 적용의 어려움, 해킹 등 사고 발생 시 사고 여부 확인의 어려움, 복잡한 네트워크 구조로 인한 다양한 침투 경로 구조 등 위에서 언급한 바와 같이 융합 환경 확대에 따른 위협이 증가하면서 보안 전문가를 필요로 하는 영역은 확대될 것이다.
또한, 보안에 대한 조직문화의 관점이 변화해야 한다. 우선 보안을 비용이 아닌 투자로 인식해야 한다. 대부분의 중소기업은 물론, 자산규모가 큰 기업까지도 정보보호책임자와 최고정보관리책임자를 겸하고 있어 업무의 충돌로 신속한 대응이 이루어지지 않고 있다. 윤종록 정보통신산업진흥원 원장은 “많은 기업이 보안을 비용으로 인식하는 관점에서 벗어나 보안으로 먹고 사는 나라를 만들어야 한다”고 밝혔다. 보안에도 비즈니스의 기술과 인식을 접목해 자산을 지켜야 한다.
중앙대학교 산업보안학과 장항배 교수는 “대체로 기업이 값비싼 보안 솔루션 도입에는 적극적이지만 보안 서비스 투자와 엔지니어 대우에는 인색하다”고 말했다. 이어 “보안 공격을 막는 것도 결국 솔루션이 아니라 사람이다”라며 “보안 장비를 도입하는 것만큼 꾸준한 보안 교육으로 보안수준을 높이고 전문 인력을 양성 할 필요가 있고 경영진의 인식 또한 변화해야 할 때”라고 강조했다.