요즘처럼 금융 보안사고에 대한 경각심이 높은 적은 없었던 것 같다. 치밀하게 계획된 해킹 시도를 원천적으로 차단하기란 쉽지 않다. 온라인 금융 서비스 제공을 위해 금융 기관은 기본적으로 특정 포트를 외부에 오픈하고, 이를 통해 고객에게 금융 서비스를 제공하는 구조임을 감안한다면 공격자든 서비스 이용자든 허용된 포트로의 서비스 접근은 가능하다는 얘기다. 때문에 누구에게나 허용된 접근경로에 대한 체계적인 보안관리 정책, 절차, 지침 및 보안기술을 적용해 최선의 방어를 하는 것은 정보보안의 기본이다.
보안에서는 흔히 CIA 등 3가지를 핵심으로 본다. 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이 바로 그것이다. 이번 금융 보안사고는 기밀성과 가용성의 붕괴로 요약된다.
이 3가지를 준수하는 것은 무척 어려운 일이다. 일례로 DB에 대한 암호화 적용시 물리적인 암호연산 수행으로 인해 시스템의 부하가 발생한다. 네트워크 레벨에서 보면 보안 강화를 위해 불특정 다수의 호스트를 통해 유입되는 패킷을 모두 검사하고, 차단한다면 네트워크 보안 장비의 성능 저하는 불 보듯 뻔하다.
국내에서 보안이라는 용어는 기술적 보안을 지칭하는 의미로 사용된다. 보안 적용을 했다함은 보안 솔루션 업체의 솔루션을 구매하고 이를 운영 시스템에 적용했다는 의미다. 보안 적용이 시스템 설계 및 구현 이후에 패치처럼 붙이는 기술로 폄하되는 현실에서는 체계성을 담보할 수 없다. 보안을 기술적인 측면에서만 접근한다면 그 한계성은 명확하다.
따라서 기술적인 보안조치와 함께 관리적인 보안을 통한 정책, 지침, 절차를 마련하고, 정기적인 내부 보안교육이 병행돼야 한다. 모든 부분을 기술적으로만 해결하려 한다면 서비스 제공 속도는 점점 느려지게 될 것이고, 궁극적으로 고객은 서비스를 떠나게 될 것이다.
관리적 보안과 기술적 보안간의 균형을 고려하고 각 분야가 해결할 수 있는 보안 위협을 식별해 대처한다면 어느 정도의 서비스 가용성과 보안성을 확보할 수 있다. 우리가 보호해야 할 자산이 무엇인지 인지하고, 이를 보호하기 위한 기준을 수립하고, 기준에 적합한 기술적 보안 장치를 마련하는 등 보안에 대해 적극적인 투자로 대응하는 자세가 필요하다.
신윤섭 소프트포럼 컨설팅팀 팀장 sup@softforum.com