[정보보호/시큐리티톱뷰]<105>신종회 한국마이크로소프트 최고보안책임자

“사람이나 기업이나 기초체력이 탄탄해야 합니다. 바이러스가 몸에 들어왔을 때 평소에 건강관리를 한 사람은 스스로 이겨냅니다. 평소에 정보보호가 생활화된 기업은 악성코드가 침입했을 때 피해를 최소화합니다.”

신종회 한국마이크로소프트 최고보안책임자(이사)는 ‘정보보호는 기초체력’이라고 강조했다. 지난해 말 국민에 불안을 안겨준 한국수력원자력 원전 도면 유출사고 등 대형 사이버테러가 터질 때마다 나오는 처방 위주 대책의 한계를 지적했다.

“우리는 대형 사이버사고가 터진 후 대책 마련에 급급합니다. 처방이 너무 많습니다. 약물과다복용 상황이라고 할까요.”

신 이사는 보안 기초체력을 높이는 방법을 소개했다. 마이크로소프트가 실제로 하는 방법이다. 마이크로소프트는 각종 회사 업무를 볼 때 사용하는 비밀번호는 70일마다 새로 설정해야 한다. 신입사원이 들어오면 가장 먼저 하는 교육도 강력한 비밀번호 설정과 주기적인 교체다.

“만약 70일 안에 비밀번호를 재설정하지 않으면 바로 모두 업무 접근이 차단됩니다. 단 하루라도 넘기면 직원은 업무를 볼 수 없습니다. 계정이 차단된 직원은 본사 담당자에게 전화해 새로 임시 비밀번호를 발급받아야 합니다. 이 과정이 매우 까다롭고 복잡합니다.”

마이크로소프트는 이렇게 정보보호를 직원 스스로 몸에 익히는 문화를 만들었다.

“비밀번호는 반복되는 문자열이 없고 특수문자 등의 조합으로 이뤄져야 합니다. 물론 과거 것과 유사성도 없어야 합니다. 70일 내 비밀번호를 바꾸지 않아 계정이 차단된 사실은 상사에게 바로 보고됩니다. 직원의 정보보호 의식을 판단하는 잣대가 됩니다.”

비밀번호를 바꾸는 일은 매우 작은 정보보호의 시작이지만 이렇게 형성된 직원의 정보보호 의식은 대형 사고를 방지하는데 큰 역할을 한다.

신 이사는 “전 세계 어디에도 해커 공격을 100% 막아낼 방법은 없다”며 “보안은 뚫릴 수 있다는 전제에서 출발해야 한다”고 설명했다. 1차적으로 항상 손을 청결히 하고 운동을 하며 체력을 강화하는 것처럼 작은 보안부터 실천하면 피해는 줄어든다고 말했다. 또 사고가 나더라도 초동 대처를 어떻게 하느냐에 신경을 써야 한다.

그는 “사이버테러가 발생해도 서비스에 지장이 없고 피해가 더 확산하지 않도록 원인을 찾아 조치해야 한다”며 “마이크로소프트 보안 핵심은 복원력(Resilence)에 맞춰있다”고 강조했다.

김인순기자 insoon@etnews.com