최근 정보통신부 주관으로 금융·통신 등 32사를 대상으로 사이버 테러 모의 훈련을 실시한 바 있다. 이번 훈련은 80개 시스템과 150여개의 전자우편에 대해 해킹과 바이러스 유포 등 사이버 테러에 대한 대응능력을 점검하기 위한 것이었는데 결과는 심각한 수준이었다.
대상기업 32사 중 12개 업체는 침입사실조차 몰랐고 침입 사실을 감지한 곳도 정해진 시간이 훨씬 지나서야 보고했다고 한다. 특히 대응에 취약한 기업 중에는 보안에 철저하다는 금융기관도 포함돼 있어 심각성을 더해 주었다. 이와 함께 경찰청에서는 지난 3년새 해킹을 비롯한 사이버 범죄가 3배나 늘었다고 발표했다.
물론 이처럼 사이버 범죄가 증가하고 국내 업체들이 사이버 테러에 약한 것은 외국처럼 법률적, 제도적인 안전장치가 마련되지 않아서 일 수도 있으나 보안이라고 하면 솔루션만 중요시하는 국내업계의 보안의식에 비춰볼 때 충분히 예상 가능한 결과였다.
지금까지 정보보호 사고에 대한 국내업체들의 대응 방식을 보면 대문으로 들어오면 대문에 안전장치를 설치하고 뒷문으로 들어오면 또 뒷문에 안전장치를 달고, 창문을 뜯고 들어오면 창문에 안전장치를 다는 것으로 만족하는 수준이었다. 즉 정보보호 솔루션만 도입하고 할 일을 다한 듯 여기고 이를 어떻게 효율적으로 운영하는지에 대해서는 심각한 고민을 하지 않은 것이다.
효과적인 정보보호를 위해서는 기술적·관리적·물리적인 측면에서 종합적인 대책을 마련해야 한다. 정보보호는 둑을 쌓는 것과 같아 어느 한 부분만 높이 쌓는다고 하여 강물을 막을 수 없는 것과 마찬가지로 어느 한 부분이 부실하면 효과적인 정보보호를 이룩할 수 없는 것이다. 정보보호 솔루션을 설치하는 것뿐만 아니라 관리적 측면에서 정보보호의 중요성도 간과돼서는 안된다.
관리적 측면에서의 정보보호를 위해서는 제대로 된 정보보호 조직을 갖추고 정보보호를 관리하는 정책, 규정, 절차를 제정 혹은 개정하고 이에 맞춰 정보보호 관련 업무를 진행하는 시스템을 구축하여 실행함으로써 이뤄진다.
아직 정보보호를 투자보다는 비용으로 생각하는 국내업체에는 생소하지만 영국·미국 등 정보보호 선진국에서는 중요시되는 개념이다. 영국에서는 종합적인 정보보호를 정착시키기 위해 ‘BS7799’라는 정보보호 인증 제도를 만들었다. BS7799는 지난 95년에 제정된 정보보호 체계 관리 규격(Information Security Management System)으로 지난해 국제 표준화 기구인 ISO에 의해 국제표준(ISO17799)으로도 제정된 정보보호 분야 최고의 권위를 자랑하는 국제 인증이다. 이 인증은 정보보호 분야 10개 항목의 127개 정보보호통제 항목을 포함하고 있는 까다로운 심의 절차를 거쳐야 획득 가능하다. 따라서 기업은 인증 획득을 준비하는 과정에서 자연스럽게 관리 정보보호 체제를 갖추게 된다.
필자가 속해 있는 에스큐브도 지난 1년간의 준비 끝에 BS7799인증을 획득했는데 그 동안 인증획득을 위해 들인 시간, 비용에 비교할 수 없는 많은 도움을 얻었다고 생각한다. 중요한 것은 이러한 인증획득 과정을 통하여 전사원이 정보보호에 관한 의식의 고취와 정보보호를 위한 절차를 생활화하였다는 점이다. 이것은 정보보호전문업체로서 기본적으로 갖춰야 할 요건이라 생각한다.
이제 국내 정보보호 솔루션은 기술적인 측면에서 국제 경쟁력을 갖춰가고 있다. 그러나 정보보호 의식과 같은 관리적 측면에서의 정보보호 제도가 이를 따르지 못한다면 솔루션 설치는 늘어나는데 정보보호 사고는 계속 증가하는 정보보호 후진국으로 남게 되진 않을까. chkim@s-cube.co.kr