◆최근 인터넷의 급속한 확산으로 모든 기업활동이 e비즈니스화되면서 대외 사업뿐 아니라 회사의 내부 업무도 대부분 「e」라는 테두리 안에서 진행되고 있다. e비즈니스의 도입은 과거 비효율적으로 진행되던 기업활동을 보다 효율적이면서 저렴한 비용으로 이루어질 수 있게 했다. 비합리적이고 일방적이던 의사전달 구조는 사내 통신망의 구축으로 단순화되면서도 자유로운 의사소통이 가능한 양방향 구조로 바뀌었으며, 고비용을 야기하던 복잡한 생산·유통구조 또한 e개념의 도입으로 경제적인 구조로 개선되었다. 이러한 e비즈니스는 날이 갈수록 각광받고 있지만 그렇다고 해서 e비즈니스가 혜택만 가져온 것은 아니다. 과거 오프라인시대에는 기업의 중요 서류가 중앙금고에 보관되고 그 곳만 철저히 지키면 회사기밀이 외부로 누출되는 것을 막을 수 있었다. 하지만 최고경영자(CEO)에서 신입사원에 이르는 모든 직원이 단일 네트워크로 연결되고 회사의 모든 업무도 네트워크를 통해 이루어지는 e비즈니스 환경에서는 언제 어디서 회사기밀을 노린 침입이 일어날지 모른다. 또 회사의 자금을 횡령하는 범죄 또한 예전보다 은밀하게 이루어질 수 있다. e비즈니스의 도입으로 정보 교환이 자유로워진 만큼 정보를 가로챌 수 있는 기회 또한 늘어났기 때문이다. 포레스터리서치(http://www.forrester.com)와 공동으로 기획하는 EC커런트 열세번째 이야기는 인터넷시대에 중요성이 새롭게 부각되고 있는 보안에 대해서 미국을 중심으로 살펴본다. 편집자◆
지난 2월 전세계 IT업계는 잇따른 악의적 해킹으로 충격에 휩싸였다. 야후·아마존닷컴·e베이·CNN닷컴 등 인기 사이트가 해커들의 공격을 받아 접속불능 상태에 이르는 초유의 사태가 발생한 것이다.
그동안 간헐적으로 일어나던 해킹 사건이 대규모로, 그것도 세계적으로 유명한 사이트에서 발생함에 따라 업체들은 인터넷시대 보안의 중요성에 대해 새삼스레 인식하기 시작했다.
업체들은 당시 사건을 계기로 과거 도난 방지를 위해 건물 경비에 힘썼던 것처럼 「보이지 않는」 네트워크 침입자를 잡기 위해서도 많은 투자를 하게 됐다.
포레스터리서치가 미국 주요 50개 업체의 간부진들을 대상으로 조사한 바에 따르면 대부분의 업체들은 IT분야에 대한 보안 유지 비용을 현 수준에서 대폭 늘려 나간다는 계획을 갖고 있다. 올해 평균 290만달러 정도였던 조사대상 업체들의 연간 IT보안비용은 2002년에는 450만달러로 2배 가까이 증가할 전망이다.
업체들은 해킹 사건의 잇따른 발생에서 비롯된 위기감으로 보안비용 중 사고 방지를 위한 비용뿐 아니라 사고 처리에 대한 비중도 점차 높일 계획인 것으로 나타났으며, 보안작업에 있어 아웃소싱의 비율도 계속 늘릴 것으로 조사됐다.
그리고 응답자의 64%가 이같은 IT보안비용 증가가 「인터넷의 확산」에서 비롯된 것이라고 대답해 인터넷이 우리에게 선물뿐 아니라 무거운 짐도 함께 안겨준 것으로 드러났다. 표1참조
하지만 여기서 중요한 것은 보안비용이 「얼마나」 늘어나느냐가 아니라 「어떻게」 증가하는가에 관한 문제라고 포레스터는 지적한다.
포레스터는 기업들의 IT보안비용이 △기업 중앙전산망에 대한 침입을 막기 위한 「핵심보안(core security)」 △조직원 중 누가·언제·어떤 시스템에 접속했는지를 파악하기 위한 「접속통제(access control)」 △해킹 또는 사고로 인한 피해 발생시 긴급 복구를 위한 「사고처리(incident response)」 △보안 유지를 위해 종합적인 대책을 마련하고 이를 추진하는 「보안관리 및 계획(security management & planning)」 등 네가지 분야로 나뉘어 투입될 것으로 분석했다. 그리고 미국 기업들의 전체 IT보안비용에서 항목별 비중은 사고처리 분야가 올해 15%에서 2004년에는 21%로 증가하면서 가장 큰폭의 신장률을 보이고 핵심보안 분야에 대한 비용은 36%에서 28%로 비중이 줄어들 것으로 전망했다. 표2참조
사고처리에 대한 지출 증가는 앞서 언급된 것처럼 해킹 사례가 늘어나면서 이를 방지하는 작업뿐 아니라 사고후 피해를 최소화하기 위한 작업의 중요성 또한 커지기 때문으로 풀이된다.
반면 핵심보안과 보안관리·계획에 대한 지출은 비중이 줄거나 제자리 걸음을 할 것으로 전망된다. 핵심보안의 경우 더 이상 중앙에 대한 통제와 보안만으로는 외부의 위협으로부터 자유로울 수 없다는 인식이 자리잡으면서 점차 비중이 감소할 것으로 보인다. 보안관리·계획 분야는 지출에 대한 가시적 효과를 확인하기 힘들다는 점에서 현 수준을 유지하는 데 그칠 전망이다. 하지만 비용 규모는 다른 분야와 마찬가지로 증가세를 멈추지 않을 것으로 포레스터는 전망했다.
외부업체에 IT보안 업무를 의뢰하는 아웃소싱의 비율은 네가지 분야 모두에서 계속 늘어날 것으로 예측된다. 업체마다 새롭게 IT보안 정책을 펼쳐나가면서 내부적으로 IT보안을 완벽히 책임질 수 있는 능력과 자원이 부족하다는 것을 인식하게 되고 이에 따라 외부의 IT보안 전문업체에 대한 의존도는 계속 커질 것이다.
한편 포레스터는 앞으로 IT보안에 대한 지출이 계속 증가하지만 이에 대한 효과는 의문시되며 이에 대한 관심 또한 차차 수그러들 것이라고 지적했다.
오늘날에는 한 업체가 해킹을 당하면 「뉴욕타임스」 「월스트리트저널」 등 주요 신문의 1면을 장식하지만 2005년께에는 해킹도 태풍·지진 등의 재해처럼 한해에 한두번쯤은 겪게 되는 「통과의례」 중의 하나로 여겨질 수 있기 때문이다. 그만큼 해킹에 대해 무감각해지면서 이에 대한 긴장이 풀리고 따라서 사고 가능성이 더욱 커질 수 있다는 지적이다.
또한 IT보안의 중요성에 대한 경영진들의 인식도 한때의 관심으로 그칠 가능성이 크다고 포레스터는 경고했다. 현재 업체의 경영진들은 e비즈니스를 가능케 하는 시스템보다는 그 시스템을 통해 성사시킬 수 있는 「빅딜」에 더 큰 관심을 기울이고 있고 이는 5년후에도 크게 변하지 않을 것이다. 이에 따라 보안 비용도 재무구조 개선을 위해 삭감되어야 하는 대상에 오를 수 있다.
IT보안 효과의 한계도 문제점으로 지적된다. 기업 업무의 자동화가 진행되면 진행될수록 이를 관리하고 방어하는 것 또한 어려워진다. 또 다른 업체와 공동으로 e비즈니스를 진행하게 됐을 때 상호간에 보안시스템을 조화시키는 것도 쉬운 일은 아니다. 이 경우 협력사와 보안코드를 통일해야 하고 개방할 부분과 차단할 부분을 새로이 설정해야 하는 등 복잡하고 어려운 작업이 요구돼 그만큼 보안에 구멍이 뚫릴 공산이 크다.
아웃소싱에 대한 위험도 존재한다. 외부업체에 보안업무를 아웃소싱할 경우 아웃소싱 자체를 관리하고 파악할 수 있는 자원이 사내에 존재하지 않는다면 큰 낭패를 볼 수 있다. 사실 내부에 이를 통제할 수 있는 자원이 없다면 애당초 아웃소싱을 하는 것이 불가능할 수도 있다.
포레스터는 이와 같은 위험을 방지하고 효과적인 IT보안을 유지하길 원한다면 다음과 같은 준비가 필요하다고 충고한다.
◇간부들의 IT보안의식을 강화하라 = 각 사업체를 이끄는 간부들이 IT보안에 대해서도 책임지고 관리하도록 한다면 보다 안전한 네트워크 관리가 가능할 것이다. IT보안의식이 결여된 간부들에게 인터넷과 함께 자라난 젊은 세대들이 자신들의 자리를 빼앗을 수 있다는 위기감을 갖게 하는 것은 이 문제를 해결하는 좋은 방법이 될 수 있다.
◇사업추진 과정에서 IT보안을 명심하라 = 사업을 추진하는 데 있어 다른 위험요소와 같은 비중으로 보안문제를 취급해야 한다. IT보안 사고의 가능성은 항상 존재한다. 따라서 초기 사업계획을 구성할 때부터 이에 대한 대책 및 처리 방안을 주사업안과 함께 준비해야 한다.
◇인터넷에 대한 경계를 늦추지 마라 = 사내 네트워크를 감시하는 것만으로 위험에서 벗어날 수는 없다. 인터넷을 통해 안에서 혹은 밖에서 다른 업체와 공동으로 진행되는 부문에 대해서도 보안을 강화해야 한다. 또한 인터넷시대에는 고객이 강도로 돌변할 수 있다는 사실도 잊지말아야 한다.
<이호준기자 newlevel@etnews.co.kr>