[이강태의 IT경영 한수]<141>대한민국이 뚫렸다

이 또한 창피하다. 그냥 처참할 정도로 창피하다. 청와대 기밀서류가 사적으로 유출되더니 이제는 국가 안보에 직결되는 국방 사이버 망이 뚫렸다. 북한과의 사이버전에서 완패한 것이다. 보나마나 중요한 비밀은 유출되지 않았다고 하겠지만 솔직히 뭐가 빠져 나갔는지 잘 모르고 있을 것이다. 안보상으로 큰 재난이고 절체절명의 위기가 아닐 수 없다. 지금은 어떤 첨단 무기보다도 더 중요한 것이 정보다. 우리는 정보를 얻기 위해 인공위성을 띄우고 정찰기를 출격시키지만 북한은 앉아서 우리 정보를 손쉽게 얻고 있다. 우리가 얼마나 바보스러운가.

일찍이 존 챔버스 시스코시스템스 회장은 세상에 두 종류의 회사가 있다고 했다. 해킹을 당한 회사와 해킹 당한 줄도 모르는 회사다. 결과적으로 모든 회사, 나아가 모든 컴퓨터 망은 기본적으로 뚫리게 되어 있다는 것을 말한다. 많은 회사가 정보보호최고책임자(CISO)를 임명하고 각종 첨단 정보 보안 솔루션을 설치하지만 여전히 정보 보안 사고는 반복되고 있다. 뚫리기 쉬우니 정보 보안이 어려운 것이지만 우리 문제는 뚫려도 너무 쉽게, 너무 기초적인 데에서 뚫린다는 것이다.

모든 네트워크는 기본적으로 인터넷 망을 활용한다. 이 때문에 보안을 위해 인터넷 망과 업무 망을 분리, 이른바 망 분리를 한다. 거의 모든 대기업, 금융회사, 행정망, 국방망 등 보안이 중요한 네트워크는 모두 망 분리가 되어 있다. 이론적으로는 외부에서 업무 망에 접근하는 것이 불가능하다. 망이 완전히 두 개로 분리돼 있기 때문이다.

그러나 농협, 한국수력원자력, 국방 망에서 봤듯 외부로부터 인터넷 망으로 접근한 뒤 관리자 PC를 이용하거나 백신서버와 같이 두 개의 망이 공동으로 사용하는 서버로 업무 망에 접근하는 루트는 아직 곳곳에 개방돼 있다. 정보 보안 감사를 나갈 때 가장 먼저 보는 것이 분리된 망 사이에 숨어 있는 채널이다. 그리고 망과 망 사이에 정보를 주고받을 때 어떤 방식, 어떤 절차로 주고받는지를 점검한다. 정보 보안을 조금이라도 아는 사람이라면 가장 기초적인 지식이다.

요즈음 우리가 하는 일이 다 그렇듯이 겉으로는 그럴 듯하고 요란하지만 실질적으로는 허술하기 짝이 없다. 망 분리, 데이터베이스(DB) 암호화, 방화벽을 설치하고 전 직원 보안 교육을 월 단위로 시켜도 정보가 유출되고 해킹에 당한다. 분리된 망은 시스템 관리자가 시스템을 한 화면에서 관리하기 위해, 높은 분들이 사용하기 편하게 두 개의 망을 한 화면에서 하나의 ID를 사용하는 편법이 난무하고 있다.

정보 보안 사고가 나면 책임자가 옷을 벗고, 기관을 징계하고, 앞으로 몇 년 동안 보안에 집중 투자를 하겠다고 발표할 것이다. 그러고 2~3년 뒤에 새로운 사람이 책임자로 오거나 세간에서 잊힐 만 하면 언제 그랬냐는 식으로 지난 번의 보안사고를 또다시 겪게 될 것이다.

문제의 핵심은 조직 책임자들이 정보 보안에 대해 몰라도 너무 모른다는 것이다. 입으로는 정보 보안이 중요하다고 하지만 스스로는 정보기술(IT)과 정보 보안에 문외한이다. 그러니 직원들에게 믿고 맡기는 수밖에 없다. IT 업무를 잘 모르는 사람들이 정보가 중요한 조직의 장으로 앉아 있으니 이런 일이 터지게 된다. 이 때문에 정보 보안에서 가장 중요한 것이 조직 책임자의 정보 보안 의식이다. 자기가 잘 모르면 스스로 공부하는 노력을 해야 한다. 조금이라도 공부한 책임자라면 이런 일은 절대 일어나지 않는다.

대한민국도 큰일이다. 각종 국가 시스템이 제대로 돌아가지 않고 곳곳에서 삐걱거린다. 국가 인재가 적재적소에 배치돼 그들이 자기 능력을 최대로 발휘할 수 있어야 하는데 중요한 자리에 비전문가들이 정치적 입김으로 자리를 차지하고 있다. 이 때문에 조직 내에서 비상식적인 일이 일어나고, 기초적인 원칙이 지켜지지 않는다.

국가를 세우기는 어렵지만 무너지는 것은 한순간이다. 왕조가 바뀌거나 나라를 빼앗길 때도 그렇듯 정말 무기력하고 허무하게 지리멸렬하는 것을 우리는 역사에서 보아 왔다. 지금이 그런 때가 아닌가 싶다. 정말 정신 바짝 차려야 한다.

CIO포럼 명예회장(명지대 교수) ktlee@gmail.com