[현장에서] 보안, 결국은 사람이다

올 한 해는 봄부터 가을로 접어드는 지금까지 개인정보 유출 사고가 끊이지 않고 있다. 외부 해킹에 의한 온라인쇼핑몰의 개인정보 유출을 시작으로 대표 통신사업자를 거쳐 주유회사로 이어지는 대규모 개인정보 유출 사건이 계속됐다. 일련의 사고는 많은 가입자의 개인정보를 보유하는 것을 ‘힘’으로 여겼던 기업에 개인정보는 보유하는 것뿐 아니라 안전하게 관리하는 것이 회사의 존폐위기를 좌우할 만큼 중요하다는 것을 보여줬다. 기업의 사회적 책임을 일깨우는 한편으로 온 국민이 개인정보 보호에 관심을 갖는 순기능 역할도 했다.

　하지만 온라인쇼핑몰의 개인정보 유출과 달리 대표 통신사업자와 주유회사는 회사 내부자에 의한 유출이라는 것에 주목해야 한다. 내부자에 의한 유출은 전문 보안인력이나 첨단 기술로도 막을 수가 없기 때문이다. 시장분석기관 가트너에 따르면 기업 손실을 초래한 보안 사고의 70%가 외부 해커보다는 내부자로 인해 발생한 것으로 나타났음에도 대부분의 보안 사고 후 발표되는 내용은 ‘외부의 침입 흔적은 없는 것 같다’는 점만 강조한다. 보안 사고가 발생했는데 외부인지 내부인지가 무슨 상관인가. 어떻게든 정보는 유출됐고, 가입자는 피해를 본다. 기업이 정보 유출 원인의 20∼30%에 해당하는 외부 위험에만 관심을 갖는 것이 아닌지 모르겠다.

　그럼 내부자로 인한 보안 사고는 어떻게 막아야 할까. 흔히들 범죄 발생의 세 가지 요소인 동기, 기회, 수단 등이 모두 충족되면 범죄 발생 확률이 높다고 한다. 따라서 내부 인력에 대해 체계적인 보안교육을 실행하고, 보안 감사 인력을 두어 수시로 내부 인력에 대한 상담 및 인터뷰로 사고 발생 동기와 기회가 있는지 확인해야 한다. 또 업무에 필요한 권한만을 허가함으로써 범죄 기회를 차단해야 한다.

　곪아가는 상처는 소독하고 거즈로 덮을 것이 아니라 아픔이 있어도 도려내야 한다. 외부인 접근을 막기 위해 무너져가는 집을 두고 울타리를 칠 것이 아니라 집을 튼튼히 보수해야 한다. 소 잃고 외양간도 잃어버리기 전에, 이제는 내부 보안 사고율 ‘70%’에 집중해야 하지 않을까.　

김훈 호스트웨이 과장hkim@hostway.co.kr