인공지능(AI), 빅데이터, 클라우드 컴퓨팅 등 정보기술(IT) 분야의 눈부신 발전과 더불어 디지털 전환(Digital Transformation)의 시대에 이르렀다. 디지털 전환은 기업의 비즈니스 모델, 운영 방식 등 전반에 큰 변화를 가져오고 있다. 저마다의 기업 환경에 최신 기술을 반영해 비즈니스의 확장, 생산성 개선, 서비스 고도화 등 여러 방면에서 긍정적인 변화를 추구하고 있는 것이다. 하지만 디지털 전환의 가속화 속에서 반드시 놓치지 말아야 할 것이 있다면 바로 '보안'이라는 점을 잊어서는 안된다. 최신 기술의 도입을 통해 생산성과 효율성이 높아졌지만 디지털 표면적이 증가한 만큼 해커들에게는 공격 가능한 표면적이 넓어진 셈이기 때문이다.
특정 타깃을 대상으로 지속적인 위협을 가하는 APT(Advanced Persistent Threat) 공격이나 데이터, 시스템 등을 사용하지 못하도록 만들고, 정상적인 사용에 대한 대가로 금전을 요구하는 랜섬웨어 등 기업을 대상으로 한 사이버 공격이 꾸준히 발견되고 있다. 기업의 기술과 자산을 노리는 이러한 사이버 공격의 대다수는 대기업을 대상으로 이루어진다고 생각하기 쉽지만 실상은 그렇지 않다.
한국인터넷진흥원의 자료에 따르면 지난해 국내 기업에 대한 사이버 공격 피해 중 92%가 중소기업에 집중돼 있었다고 한다. 중소기업은 기업 보안을 위한 소프트웨어(SW), 설비 등에 투자가 부족하고 전문적인 보안 인력을 배치하기 어려운 경우가 많아 이를 노린 해커들의 주요 표적이 된다. 사이버 공격은 탄탄한 기술력의 중소기업들이 비즈니스를 확장해 나가는 데 큰 장애물이 될 수 있는 것이다. 중소기업의 현실적인 보안은 어디서 해답을 찾아야 할 것인가.
첫 번째는 비용 효율적인 보안 솔루션을 찾아야 한다. 현실적으로 보안에 많은 비용을 투자할 수 없는 중소기업의 여건을 고려한다면 클라우드 기반의 보안 서비스를 도입하는 것도 해답이 될 수 있다. 클라우드 기반 보안 서비스 도입은 하드웨어나 인프라와 같은 초기 투자 비용을 크게 줄이고, 유지 보수에 대한 부담도 낮출 수 있다.
두 번째는 보안에 관한 직원 교육이 필요하다. 보안 솔루션의 도입은 기술적인 보안 조치라면 그 외 영역은 내부 직원들에게 달려있다. 언택트 시대를 거치면서 재택근무나 원격근무가 확산되면서 직원들, 즉 기업 내부자의 실수로 인한 보안 사고 발생 위험도 높아졌다. 따라서 정기적인 보안 교육을 통해 직원들이 업무 중에 발생할 수 있는 잠재적인 보안 위협을 인식하게 하고, 선제적으로 예방할 수 있도록 도와야 한다.
세 번째, 국가 기관이나 관계 부처의 지원과 가이드에서 답을 찾을 수 있다. 올 초에 국가정보원 산업기밀보호센터에서는 중소기업의 해킹 피해를 방지하기 위해 '중소기업 IT 보안 가이드라인'을 배포했다. 또 최근 한국인터넷진흥원과 과학기술정보통신부가 함께 사이버 시큐리티 훈련 플랫폼을 선보인 바 있다. 중소기업의 침해 사고 대응체계 개선에 큰 도움을 받을 수 있고, 서버 취약점 점검과 같은 서비스도 신청할 수 있다. 작년과 비교해 참여 기업의 감염 비율이 지속적으로 감소하고 있다고 하니 얼마나 좋은 결과인가.
다양한 해답 가운데 무엇보다 가장 중요한 것은 보안을 바라보는 관점을 바꾸는 것에 있다고 생각한다. 사이버 보안이 기업 성장을 위한 부가적인 요소가 아닌 기업의 생존과 직결되는 사항으로 바라보아야 한다. 기업의 정보 유출 사고는 기업의 자산뿐만 아니라 그동안 쌓아 올린 신뢰도와 브랜드에 대한 큰 타격을 줄 수 있기 때문이다. 결론적으로, 기업의 보안은 당장의 지출 비용이 아닌 기업을 발전시키고, 나아가 비즈니스를 이어나가게 하는 필수 요소 중 하나라는 것이다. 보안은 장기적인 투자라는 관점으로 전략을 수립하고 계속해서 실행해 나가는 자세가 필요하다.
주영흠 잉카인터넷 대표