[현장에서]보안에 대한 잘못된 미신

　오랫동안 IT 업계에 몸담아 왔지만 올해처럼 정보보안 이슈가 들끓었던 해는 없었던 것 같다. 개인정보가 중요하다는 것은 과거 모 백화점에서 유출된 우수 고객명단을 끔찍한 연쇄살인 행각에 악용했던 지존파 사건이 분명히 보여주고 있는 교훈이다. 심각한 기업 이미지 실추는 말할 것도 없고 대규모 집단소송까지 현실화되고 있다. 이러한 위험에도 불구하고 이런 사고가 반복적으로 일어나는 원인은 무엇일까. 아마도 보안에 대해 일반적으로 퍼져 있는 잘못된 믿음들이 이런 사고의 발생을 방치하는 결과를 낳는 것 같다.

　보안에 대한 첫 번째 잘못된 믿음은, ‘우리 회사는 보안사고가 지금까지 단 한 건도 없었다’는 것이다. 2007년 한국정보보호진흥원이 실시한 정보보호 실태 조사에 따르면, 50.1%의 기업들이 정보 보안사고로 인한 피해가 거의 없어 정보보호비의 지출 필요성을 느끼지 못한다고 답변했다.

　잘못된 믿음의 두 번째는 ‘위험은 외부에서 온다’는 것이다. 이 같은 믿음은 보안조치란 외부에서의 네트워크 해킹이나 물리적인 침입에 대한 대책만으로 충분하다는 인식으로 이어진다. 그러나 정보 보안사고의 70% 이상을 전·현직 직원이나 내부를 잘 아는 관계자가 저지르고 있는 것이 현실이다.

　세 번째 잘못된 믿음은 ‘보안문제는 보안솔루션을 도입하기만 하면 해결할 수 있다’는 것이다. 그러나 보안솔루션의 도입은 보안문제 해결을 위한 시작에 불과하다. 최초 수립된 보안정책에 따라 운영하면서 통제의 효과성을 평가하고, 반드시 지속적인 관리 점검 보완을 시행해야 한다.

　보안에 대한 세 가지 잘못된 믿음들을 살펴보면, 결국 보안문제의 심각성을 전혀 인식하지 못하고 있는 것이 근본 원인임을 알 수 있다. 적절한 보안솔루션 도입은 물론이고 보안정책에 따른 자동화된 계정 및 권한 라이프사이클 관리와, 사용자의 행동 패턴 및 보안 정책 준수를 모니터링하는 보안위험 관리 시스템까지 필요할 수 있다. 시스템을 어떻게 효과적으로 통제하고 관리할 것인지 깊은 고민과 성찰이 바탕이 돼야 할 것이다.

　박형근 한국IBM 티볼리사업부 보안부문 책임컨설턴트 phk@kr.ibm.com