[미래포럼]정보보안 국가안보문제로 다뤄야

중국 베이징 자금성에 가보면 태화전을 비롯한 건축물들의 규모와 화려함에 놀라게 된다. 하지만 정작 나를 경악하게 만든 것은 자금성의 정문에 해당하는 오문(午門)의 성벽 두께였다. 무려 38m나 된다고 한다.

또 일본은 어떤가? 오사카성이나 구마모토성의 성벽과 해자 규모는 남한산성이나 수원 화성에 익숙한 우리나라 사람들의 기를 꺾기에 충분했다. 물론 독일 모젤강변의 엘츠성이나 라인강변의 코블란츠성(코헴성) 등 유럽 주요 국가들의 군사요새를 가보면 두렵기까지 하다.

과거나 지금이나 힘깨나 쓰는 나라들은 이처럼 엄청난 규모의 방어벽을 건설하고, 이에 상응하는 군대를 유지했다. 그 이유는 첫째 이들 나라가 내외부적으로 전쟁이 많은 나라들이었기 때문일 것이고, 둘째는 지키고 보존해야 할 것을 많이 갖고 있기 때문일 것이다.

요즈음 이들 강대국들을 볼 때 더 부러운 것은 ‘안보(Security)’에 대한 국민적인 눈높이가 우리보다 훨씬 높다는 점이다. 이들 나라에서 국가 안보는 가장 중요한 가치며, 안보에 대한 국민 개개인의 신념과 안목도 확고부동하다. 물론 지키고 보호해야 할 것이 많고 경제적 여유도 있어서겠지만, 경제논리보다 국가 안보를 담보하기 위한 끊임없는 노력과 아낌없는 투자가 지금의 모습을 만들었다. 만리장성을 쌓는 노력과 투자를 우리가 반만이라도 배웠으면 한다.

연초에 대형 금융기관들에서 발생한 개인정보 유출사고를 지켜보면서, 향후 정보보안 사고는 국가안보 차원의 문제가 될 것이라는 생각이 굳어졌다. 정보보안의 사전적 정의는 ‘정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법’을 의미하며 정보서비스의 기밀성(confidentiality), 무결성(integrity), 가용성(availability) 제공을 목표로 한다.

따라서 이번 개인정보 유출사고는 사회적 파장과 후폭풍에도 불구하고 정보보안 차원에서 보면 ‘정보의 저장 단계에서 관리 소홀에 의한 정보의 유출로 인한 기밀성의 일부 훼손’이 발생한 초급 수준의 정보보안 사고 정도로 생각할 수 있다.

만약 단순 정보 유출을 넘어 조직적, 계획적, 전문적 해킹 등에 의한 정보의 훼손 및 변조가 발생해 금융서비스의 기밀성과 무결성이 훼손돼 금융서비스가 중단(가용성의 훼손)된다면 이는 국가안보 차원의 심각한 문제가 된다. 문제는 이러한 상황이 금융뿐 아니라 원자력, 전기, 가스, 수도, 철도, 비행기 등 모든 기간사업에서 발생 가능하며, 이는 곧 국가안보와 직결된다.

물론 이와 같은 심각한 정보보안 사고가 발생할 가능성은 확률적으로 매우 낮은 것도 사실이다. 하지만 사고발생 가능성이 낮다는 이유로 우리는 그동안 정보보안에 대한 논의에서 안보논리보다는 경제논리를 앞세워왔다. 또 정보보안에 대한 투자를 비용으로만 받아들이고, 소홀히 해온 것이 사실이다. 국가안보 수준의 정보보안 사고가 발생한다면 우리 사회가 지불해야 할 비용은 상상을 초월한다.

그동안 금융당국은 정보보안 사고가 터질 때마다 IT보안 강화 종합대책(2011년 6월), 금융전산 보안강화 종합대책(2013년 7월) 등을 내놓았지만 이번 사태를 미연에 방지 못했다는 것은 ‘소 잃고 외양간 고치기’ 식 대책이 얼마나 허술한지를 상징적으로 보여준다. 이번 후속조치로 일부 금융기관에서 논의되고 있는 정보보안본부 신설이나 정보보호최고책임자(CISO) 제도 도입을 포함한 보다 획기적인 대책을 기대해 본다.

아울러 경영합리화라는 미명 아래 정부나 기업의 정보시스템 개발을 외주용역제작(아웃소싱)하는 관행이 고착화됐다. 정부나 기업이 운영하고 있는 정보시스템의 규모에 비해 소수의 인력으로만 운영만 하다 보니 보안에 취약할 수밖에 없는 구조다. 공공부문이나 국가기간산업에 해당하는 정보시스템만이라도 이런 관행을 재검토할 시점이다.

경희대 김준형 교수 jhkim@khcu.ac.kr