이름에서 생년월일, 직업, 전화번호, 주소까지. 우리는 매일 온라인에 이런 정보를 흘리고 있다. 그러나 우리 중 얼마나 되는 사람이 정보가 어디로 어떻게 전달되고 저장되며 보호되는지 생각할까. 우리는 이러한 문제를 크게 생각하지 않을 수 있지만 해커는 이 문제를 하루에도 수십 번씩 생각하고 있을지 모른다. 해커는 지속적으로 취약점을 식별해내고 활용하며 우리 개인식별정보를 훔친다. 만약 이런 위협에 적절한 대비책을 준비하지 않는다면 보안위협은 더욱 심각해질 것이다.
보안업체 맥아피(McAfee)와 미국 국제전략문제연구소(CSIS)가 지난해 공동으로 발행한 보고서에 따르면 사이버 범죄가 세계 경제에 미치는 손실은 연간 최대 5750억달러(667조원)에 이른다. 그 중 개인정보 유출 관련 사이버 범죄로 인한 손실액은 세계적으로 1600억달러(185조원)에 달했다. 미국에서는 4000만명, 한국과 중국은 2000만명 이상이 개인 정보를 도난 당한 경험이 있다고 응답했다.
온라인 활동 증가, 광대역 연결의 확산, e커머스를 포함한 온라인 금융거래 증가, 컴퓨터보다 상대적으로 보안이 취약한 모바일 기기의 급속한 도입 등으로 인해 개인정보보안 위협은 지속적으로 증가할 것이다.
비즈니스 IT인프라 및 애플리케이션은 사용자 데이터와 기업 금융기록을 목표로 공격하는 해커들의 지속적인 주요 타깃이 될 것이다. 최근 영국 경제분석기관 이코노미스트 인텔리전스 유닛(EIU) 보고서에 따르면, 거의 40%에 달하는 회사가 데이터 보안 실패로 커다란 경제적 손실을 경험한 적이 있음을 보여준다.
오늘날 사이버 공격이 더욱 다양하고 복잡한 패턴으로 자주 발생함에 따라, 기업은 이런 상황에 대응할 수 있는 적극적이고 강력한 보안대책을 강구해야 한다. 데이터센터 끝단의 보안으로는 부족하며, 네트워크 스택의 바닥부터 최상단까지, 데이터센터부터 클라우드에 자리한 앱까지 모든 부문에 완벽한 보호를 제공하는 현대적인 보안위협 완화 플랫폼이 필요하다. 해커는 오염(좀비)서버, 데이터 탈취, 유해 손상과 같은 퍼블릭 페이싱 웹 채널들을 사용하기 때문에 이러한 채널은 충분하게 보호해야 한다.
개인정보 유출사고는 앞으로도 끊임없이 발생할 것이며, 사물인터넷 환경에서 더 민감한 정보유출 사고가 일어날 것으로 예상된다. 대표적 사물인터넷 제품인 웨어러블 기기에는 개인의 건강 관련 정보, 위치정보 등이 생성되며 이러한 정보가 외부로 전송될 때 암호화되지 않은 평문 상태로 나가기 때문에 쉽게 공격자가 탈취할 수 있다. 개인정보 유출 사고가 심각한 보안위협으로 꼽히면서 개인정보 보호를 위한 규제가 강화되고 있지만, 규제만으로 개인정보를 보호할 수 없다.
너무나 당연하겠지만 기업은 개인정보를 반드시 암호화해 보관하거나 전송하고, 암호화 키는 별도로 안전하게 관리해야 한다. 개인정보에 접근할 수 있는 사람과 시스템에 철저한 접근제어 전략을 반드시 적용해야 한다. 개인도 자신의 정보를 보호하는 일에 적극적으로 나서야 한다. 지나치게 많은 개인정보를 요구하는 서비스에 가입할 때 해당 서비스에서 요구하는 개인정보가 정당하게 활용될 것인지 생각해봐야 한다. 사용하는 앱 등에서 위치정보 공개 여부도 고민해봐야 한다. 신뢰할 수 없는 웹사이트 방문이나 의심스러운 휴대전화 문자메시지를 클릭하지 않는 등 악성코드에 감염되지 않도록 개인적인 노력도 수반돼야 할 것이다. 완벽한 보안은 기술뿐만 아니라 관리 노력에서 이루어질 수 있다.
조원균 F5코리아 지사장 P.Cho@f5.com