보안은 IT문제가 아니다

어느 날 어떤 기업에서 해킹을 당한 것 같다는 연락이 왔다. 그 기업의 내부 파일을 빼냈다며 친절하게 “보안 체계를 잘 갖추라”고 조롱하는 이메일이 왔다는 것이다. 사건 수습을 위해 보안 컨설턴트를 불러 IT 시스템에서 흔적을 찾기 위해 로그와 파일 시스템을 분석했지만 헛수고였다. 모의 해킹을 할 정도의 보안 전문가조차 흔적을 찾을 수 없을 만큼 완벽한 해킹 실력에 모두 혀를 내두를 정도였다.

그런데, 추가 조사를 하는 과정에서 시스템 관리자의 협조가 필요해 패스워드를 물어본 순간 망연자실할 수밖에 없었다. 패스워드는 ‘1234’였다. 그것은 시스템을 구축한 업체가 설정한 임시 패스워드였다. 분명히 구축한 업체는 이 패스워드를 나중에 바꾸라고 설명했을 것이다. 그러나, 담당자는 아무 생각 없이 그대로 몇 달째 사용하고 있었던 것이다. 이것은 고도의 해킹이 아니라 정상적인 시스템 관리자의 계정을 통한 접근이었다고 할 수 있다. 아무리 IT 보안을 잘 구축한다 한들 이렇게 기본적인 관리가 안 되어 있다면 무슨 소용이 있을까?

IT 부서의 확대와 정보 보안 업무의 포지셔닝

IT는 업무의 자동화와 생산성 향상에 기여해 왔다. 정보 처리 업무는 전문 기술과 교육 훈련이 필요한 분야라서 IT 조직은 자연스럽게 독립적인 조직으로 자리잡게 되었다. 메인프레임부터 분산 컴퓨팅, 클라이언트-서버 환경이 보편화하자 IT 관련 조직과 예산은 비약적으로 증가했다.

또한 정보가 기업의 의사 결정에 중요한 요소가 됨에 따라 IT 조직은 CIO라는 최고 경영층의 반열에도 얼굴을 내밀 만큼 위상이 커졌다. (물론 CIO가 단순히 IT 조직의 장을 의미하는 것은 아니지만, IT 자원을 총괄 관리한다는 측면에서는 IT 조직과 연관성이 높다고 할 수 있다.)

이런 흐름은 범용적으로 사용되는 PC가 기업의 직원용 단말기로 사용되고, 인터넷의 도입에 따라 IT 업무가 더욱 개방되는 패러다임 변화로 이어졌다. 그런데, PC는 과거의 단말기와는 사상이 다르다. PC는 글자 그대로 개인용 컴퓨팅(Personal Computing) 시대를 열었다. PC 사용자는 스스로 원하는 소프트웨어를 여러 형태로 설치해서 사용할 수 있다. PC 속에는 회사와 개인의 업무가 혼재해 있고, 더 나아가 개인의 취미 생활, 여가 활동에도 PC는 중심 플랫폼이 되었다. 인터넷의 개방성은 이미 잘 알려져 있는 바와 같다. PC와 인터넷은 IT를 정보 노동자의 독보적 전유물에서 일상적 삶의 공간으로 만들었다.

이런 변화에 맞추어 기업은 내부 정보 시스템에 접근하는 클라이언트 소프트웨어를 웹 브라우저 중심으로 바꾸었다. 또한 기업의 정보 시스템을 외부 인터넷과 자연스럽게 연결한 인트라넷을 구축했고, 이메일과 웹을 그룹웨어와 통합해 갔다. 일단 여기까지는 자연스러운 진화 과정으로 보인다. 이전처럼 직원에게 IT 부서에서 구축해 준 시스템이나 소프트웨어만 사용하라고 통제하기는 어렵지만, 그래도 IT 자산이 어느 정도 IT 부서의 통제 범위 안에 있는 상태라고 할 수 있다.

그러나 정보 보안이 화두가 되고 자연스럽게 IT 부서의 추가적인 업무가 된 정보 보안 문제가 심각해지자 상황은 달라졌다. 데이터베이스, 소프트웨어, 네트워크 관리는 모두 IT의 영역 안에 있지만, 정보 보안은 IT 이외 요소의 영향을 많이 받는다. 따라서 IT 부서가 홀로 책임지기에는 한계가 있다. 앞서 예를 든 예측하기 쉬운 패스워드 같은 경우는 일반 직원에 의해서도 발생할 수 있다. 그만큼 개인의 인식과 기업 문화가 받쳐 주어야 한다. 공격을 위해 사회공학적 기법, 내부자를 통한 공모가 이용된다는 점만 봐도 정보 보안은 IT만으로는 설명이 안 된다.

개방적 환경과 폐쇄적 보안 정책

게다가 오늘날의 비즈니스는 개방과 네트워크 경제를 추구하고 있다. 기업의 구성원은 IT 자원을 사용할 때 통제를 받기보다 더욱 유연하게 업무를 전개해 나가기를 원한다. 또한 지식 기반 사회에서 개인적 흥미가 업무에 도움이 되는 것도 사실이다. 유튜브(YouTube), 페이스북(FaceBook), 마이스페이스(MySpace)와 같이 짧은 시간에 큰 부를 축적한 기업의 비결은 ‘흥미’와 ‘창의력’이다. 이런 시대적 패러다임을 체험할 수 있어야 신 사업을 구상할 수 있기 때문이다. 또한 링크드인(LinkedIn)과 같은 서비스는 실제 프로젝트를 위해 필요한 전문가를 찾는 데 많이 사용되고 있기도 하다.

미국에서 만난 어떤 CIO는 “직원들은 점점 자신의 기기를 회사에 가져와서 일하고 싶어합니다. 아이폰이나 블랙베리는 이미 기업 업무에 활용되고 있고, 웹메일과 구글 애플리케이션(Google Apps)에 대한 의존도도 높아지고 있습니다. 이동성과 업무의 생산성 측면에서는 당연히 허용해야 하지만 보안 문제를 어떻게 정하느냐가 고민입니다”라며, 보안 정책이 점점 통제를 벗어나는 데 우려를 표명했다.

보안 사고는 더욱 극성을 부리고, 기업의 중요 정보나 개인 정보는 암시장에서 공공연히 거래되고 있는 상황에서 정책을 마냥 풀어줄 수도 없는 것이 현실이다. 그러나, 이미 보편화한 일상품(commodity)을 내부에서 사용하지 못하게만 할 수 없는 딜레마에 빠져 있는 것이다.

이렇게 인터넷과 PC의 사용은 공적, 사적인 구분을 어렵게 만들었고, 점점 IT 부서의 통제를 벗어나기 시작했다. 특히 모바일로 사용되는 PC는 IT 부서가 통제할 수 없는 영역이다. 피싱 사이트에 유혹되어 개인 정보를 빼앗기고, PC 보안이 허술해서 해커에게 PC의 주도권이 넘어가는 경우는 종종 있다.

또한 정보의 수집과 관리도 IT 부서에서 오너십을 가지기가 어려운 상황이다. 데이터베이스 관리자(DBA)의 책임은 입력된 데이터를 빠른 속도로 조회하고 분석해 낼 수 있는 성능과 안정성을 보장하는 것이다. 네트워크 관리자의 책임은 내부 직원이나 외부 고객이 네트워크를 접근하는 속도와 안정성을 보장하는 것이다. 그런데, 많은 기업이 이들에게 데이터베이스 보안과 네트워크 보안의 업무를 부여한다. 그러나 이것은 문제가 있다. 새로이 부여된 업무는 기존 업무와 상충될 뿐만 아니라, 스스로 책임지고 관리하기에는 주어진 자원이 한정되어 있기 때문이다. 정보의 생성과 소멸의 최종 권한은 이 정보를 활용하는 업무 부서의 몫이지, DB 관리자의 업무가 아니라는 것을 유의해야 한다.

최고 경영층의 보안 인식이 그 조직의 보안 수준

그런 맥락에서 CEO의 마인드가 무엇보다 중요하다. 보안의 실행력을 좌우하는 것은 CEO이기 때문이다. 윌리엄 파렛은 그의 저서 ‘위기의 CEO’에서 “CEO와의 대화 속에서 보안이라는 단어가 반복되는 것은 놀라운 일이 아니다. 보안에 대한 중요성이 커졌음을 보여주는 가장 시사적인 징후는 보안 관련 고위 임원이 기업 조직도에 새롭게 등장했다는 것이다.”라며 기업의 총체적인 리스크 관리와 정보 보안은 CEO의 몫이라고 설명한다. 결국 회사의 자원을 종합적으로 동원하고 관리하는 권한은 CEO에게 있기 때문이다. 따라서, 보안도 IT 부서의 업무에 그치지 않고, 그 조직의 최고 책임자의 주도 하에 종합적으로 제시되고 관리되어야 한다.

어떤 기관의 보안 담당자의 하소연은 일반적인 최고 책임자의 보안 인식 수준을 보여준다. “새로운 바이러스가 네트워크에 나타나면, 모든 업무가 일단 정지됩니다. 그 문제를 규명해서 상부에 보고해야 상황이 마무리됩니다. 항상 폭탄을 안고 사는 느낌입니다.” 이는 이 기관의 최고 책임자가, 종합적인 보안 청사진을 마련하지 않은 채 보안 관련 문제를 자기의 위치를 위협하는 귀찮은 요소로 인식한다는 것을 방증한다.

어떤 기업은 개인 정보 유출로 고객에게 피해가 발생할 경우 회사가 담당자에게 구상권을 청구하려 한다고 한다. 그럴 경우 누가 보안 담당자를 하려고 하겠는가? 대부분의 경우 IT 담당자는 정보를 생성하고 관리할 권한과 책임이 없다. 만일 IT 인프라에 치명적인 약점이 있었다면 모르지만, 그렇지 않을 경우 중요 정보의 관리와, 이를 교환하고 공유하는 기업 문화, 개인 인식을 이끌어가는 리더십은 보안 담당자가 아닌 최고 책임자에게 있는 것이다.

한편, 정보 보안에서 유의할 것은 그것을 IT 인프라로 국한해서 볼 경우 관리적, 물리적 보안의 허점이 복합적으로 작용해서 위협이 될 수 있다는 사실이다. 오늘날의 사회는 기술이 워낙 빠른 속도로 발전할 뿐만 아니라 기술의 사용 비용도 크게 떨어지고 있기 때문이다.

영화 ‘본 얼티메이텀(Bourne Ultimatum)’은 이를 극명하게 보여준다. 주인공 제이슨 본(Jason Bourne)을 추적하기 위해 정보 기관에서는 그와 접촉할 것으로 예상되는 어떤 기자의 휴대폰 도청을 위해 만반의 준비를 마쳤다. 그러나, 제이슨은 허를 찌르듯 회사의 대표 전화로 걸어서 도청을 피해 간다. 그 다음 직접 만나는 장면에서, 제이슨은 그 기자에게 선불 휴대폰(prepaid phone)을 넘겨 주고, 그 전화를 통해 통신을 한다. 도청과 감시 카메라로 시스템을 구비한 정보 기관을 보기 좋게 따돌린다.

영화 속의 일화이지만 우리가 맹신하고 있는 최신 IT 시스템에 얼마나 허점이 많은지 깨달을 수 있다. 선불로 구매하는 휴대폰은 신용이 약하거나 여행 중인 사람이 소모품처럼 사용하도록 하기 위해 만들어진 것이다. 대표전화도 전형적인 아날로그 시대의 산물이다. 아무리 최신 디지털 IT 기기로 통제와 관리를 하려고 해도, 정보는 다양한 IT 컴포넌트를 통해 교환되고 있다는 점을 간과해서는 안 된다.

정보 보안은 IT 부서만의 업무도 아니며, IT만의 문제도 아니다. 기업 문화, 직원의 인식, 소비자와의 정보 소통 채널, 업무의 효율성과 관련이 있다. 게다가 컴퓨팅 환경이 유틸리티화하고 개인의 역할이 중요해짐에 따라, 보안은 더욱 복잡다단해지고 있다. 따라서 정보가 조직의 자원과 어떻게 조화를 이루느냐 하는 총체적인 관점으로 정보 보안을 바라보는 인식이 필요하다.