임병동 인젠 사장
인터넷의 대중화로 그동안 낯설게만 느껴졌던 정보기술(IT) 분야도 이제 일반인들에게 익숙하게 다가오고 있다. 최근 인터넷 관련 산업의 성장세를 보면 인터넷이 대중 속에 파고들면서 일종의 붐마저 조성하고 있음을 알 수 있다.
하지만 적어도 기반기술 측면에서는 겉으로 드러난 붐과는 상관없이 면밀하고 구체적인 대응전략이 필요함을 느끼게 한다. 대표적인 분야가 인터넷 환경에서 정보보호 구현방안이다. 인터넷 보안은 상당히 특화된 분야로 일반적인 시스템 관리자들이 대처하기에는 역부족인 경우가 많다. 하지만 정보보호는 인터넷 기반 아래 활용되는 내부 지식정보자산의 보호와 효과적인 활용의 전제조건이 된다는 점에서 그 어떤 분야보다 중요한 게 사실이다.
그럼에도 불구하고 시중에 잘못 알려진 인식들이 인터넷 정보보호에 대한 기본적인 이해를 가로막는 경우가 허다하다. 전형적인 사례가 국가행정망이나 금융망은 인터넷과 분리돼 운영되고 있기 때문에 안전하다는 생각이다. 국가행정망이나 금융망은 기본적으로 전용선 환경이긴 하지만 대외적으로 접속되는 네트워크 환경이 매우 복잡해 예상치 못한 곳에서 허점이 발생할 수 있다. 또한 보안관리도 그만큼 용이하지 않다. 이와 함께 「X.25」와 같은 분리된 전용망은 해킹이 불가능해 안전하다는 인식도 정확한 사실은 아니다. 알려지지 않았을 뿐 기술적으로는 얼마든지 가능하고 한번 터질 때는 대형 금융사고가 초래되기 때문에 더욱 위험하다.
효율적인 인터넷 정보보호 구현을 위해 가장 중요한 점은 우선 적절한 보안정책을 수립하고 이에 따라 보안관리를 철저히 하는 것이다. 구체적으로는 보안취약점을 찾아내 제거하는 것이 첫번째 절차다. 보안취약성이란 내부 전산시스템의 운용체계(OS)나 환경, 전자우편·웹·텔넷 등 개별서비스의 프로그램상 문제점을 일컫는다. 대부분의 해킹은 통상적으로 이같은 보안허점을 이용해 침투하게 되고, 이때는 비록 보안솔루션이 갖춰졌더라도 효용성을 발휘하기 힘들다. 만일 보안취약점만 제대로 찾아내 조치한다면 보안시스템을 도입하지 않더라도 보안대책의 절반은 달성한 셈이다. 단 보안상의 허점은 기술발달에 따라 지속적으로 발생하므로 꾸준한 점검이 필요하다.
두번째로는 장기적이고 체계적인 정보보호 대책을 수립해야 한다는 점이다. 이는 곧 보안성 강화와 직결되기 때문이다. 보안대책과 관련, 현재 세계적인 추세는 통합솔루션 구축이다. 지금의 내부 전산시스템은 클라이언트서버(CS) 개념의 네트워크 환경이므로 단품성 보안솔루션의 도입으로는 보안문제를 제대로 해결할 수 없다. 이를 위해 기관·기업들은 내부적으로 보안 전문역량을 키워나가야 하며 필요할 경우 적극적인 아웃소싱도 고려해야 한다.
적합한 보안시스템을 선택하는 것도 중요한 고려요소다. 아직도 많은 경우 사용자들이 처한 전산환경의 특성, 보안요구사항, 보안위협요소의 유형 등에 적절치 않은 보안솔루션들을 도입하고 있기 때문이다. 대표적인 사례가 대학에서 방화벽을 도입하는 것이다. 방화벽이란 기본적으로 출입을 제한하는 솔루션이므로 불특정 다수와의 통신환경을 제공해야 하는 대학으로선 네트워크의 절대적인 병목현상을 일으키는 요인이 된다. 이 때문에 상당수 대학에서는 방화벽을 도입했더라도 상부 「검열용」에 그치고 있으며 어떤 대학은 아예 방화벽을 제거하기도 했다. 예산낭비가 초래될 수 있는 것이다. 대학전산망의 경우 어차피 많은 사람들이 네트워크를 출입해야 하는 환경이므로 출입은 자유롭게 하는 대신 외부접속자가 내부 전산시스템에서 자행하는 불법행위를 감시할 필요가 있다. 이때 적당한 보안솔루션은 침입탐지시스템이 될 수 있을 것이다. 결국 최고책임자들이 자신들의 귀중한 정보자산을 보호하고 경쟁력으로 승화시키기 위해 정보보호의 중요성을 먼저 깨닫는 게 급선무라고 생각한다.