최근 국내 대형 암호화폐 거래소 업비트가 해킹을 당했다. 580억원 규모의 암호화폐가 알 수 없는 계좌로 이체됐다. 지금도 공격자는 여러 계좌로 암호화폐를 분산시키고 있다. 탈취 자금 추적이 어렵도록 분산 이체는 계속되고 있다.
가치가 급상승했을 때 증가하던 암호화폐 거래소 해킹은 한동안 소강 상태를 보였다. 해커는 다시 움직였다. 이번 표적은 보안에 가장 신경을 쓴 거래소였다.
해킹 사고 조사가 끝나봐야 알겠지만 외부에서 침투한 해커라면 짧게는 수개월에 걸쳐 취약점을 파악한 뒤 들어갔을 것으로 예상된다. 업비트는 국내 암호화폐 거래소 최초로 정보보호관리체계인증(ISMS)을 받았다. 사고 발생 후 암호화폐업계 중심으로 ISMS 인증 무용론이 고개를 들었다. ISMS를 받아도 해킹을 당한다면 굳이 인증을 받을 필요가 있겠냐는 것이다. 암호화폐 가치가 하락하면서 수익이 악화된 거래소는 과거보다 보안에 대한 관심이 줄었다.
ISMS 인증을 받는다고 해킹 위험에 노출되지 않는 것은 아니다. ISMS는 기업이 지켜야 할 최소한의 정보 보호 수준이다. ISMS는 건강검진으로 이해하면 쉽다. 매년 건강검진을 받아도 암이나 질병에 걸린다. 건강검진을 하면서 신체 상태를 파악한다. 검진은 질병이 발생할 요인을 찾아내고, 건강 증진을 위해 애쓰게 하는 과정이다.
기업의 정보보호 활동은 ISMS 인증으로 끝나지 않는다. ISMS는 시작이다. 기업이 ISMS 인증을 받으려면 보안 조직을 만들고, 자산을 관리하며, 정책을 세워야 한다. 내·외부의 인적 보안은 물론 기술적으로 인증과 권한 관리, 접근 통제, 암호화 적용 등이 이뤄져야 한다. 여기에 해킹 사고 예방과 대응, 재해 복구 대책까지 마련해야 한다. ISMS가 요구하는 보호 대책 요구 사항을 모두 만족시켜야 인증을 받을 수 있다.
기업 대부분은 인증 획득에 집중한다. 건강검진을 받는 데만 집중하는 것과 같다. 인증 획득 후 지속해서 인증 당시 보안 상태를 유지하는 게 핵심이다. 기업 조직은 유기적으로 계속 변화한다. 그때마다 이에 맞는 정보보호 계획과 실행 방법이 적용돼야 한다. 인증을 받은 것만으로 정보보호 수준이 유지되는 것은 아니다.
그럼 ISMS조차 받지 않은 기업은 어떨까. 기업 내 정보보호 조직 구성에서 계획이 제대로 수립되기 어렵다. 정보보호 조직이 없는 기업에 보안 문화가 형성되기는 어렵기 때문이다.
2016년 법 개정으로 학부 재학생 1만명 이상, 운영 수입 1500억원 이상 대학은 반드시 ISMS를 받아야 한다. 42개 대학이 대상이다. 이 가운데 17개 대학이 ISMS 인증을 받지 않았다. 과학기술정보통신부는 인증을 받지 않은 대학에 과태료를 부과했다. 일부 대학은 인증 대신 과태료를 납부했다. 일어나지도 않을 해킹에 대비해 정보보호 조직과 계획, 기술적 조치를 하는 것보다 과태료 납부가 편하다는 인식이 팽배하다.
현실적으로 기업이나 대학 스스로 정보보호 상태를 평가하고 점검하는 데 어려움이 많다. 기업과 기관은 무엇을 어떻게 점검해야 하는지 모른다. 이미 설치한 보안 장비와 솔루션이 적절히 활용되고 있는지도 파악조차 안 된다. 과태료만 내면 된다는 안일한 생각은 조직 내부에 그대로 투영된다. 과태료를 낸 조직이 과연 정보보호에 관심이 있을지 생각하면 답이 나온다.
김인순 SW융합산업부 데스크 insoon@etnews.com