창과 방패의 대결이 점입가경(漸入佳境)이다. 사이버 공간은 고객 정보와 기업 기밀을 훔치려는 자와 그걸 지키려는 자의 전쟁터다. 핵심 정보를 사이에 두고 일진일퇴의 공방전이 벌어지고 있지만, 점점 밀리는 쪽은 기업이다. IT 기술이 발전함에 따라 진지를 구축해야 할 영역이 확대됐기 때문이다. 클라우드 컴퓨팅, 소셜미디어, 모바일, 빅데이터 등 해커가 침입할 수 있는 구역은 한두 군데가 아니다. 거의 모든 정보가 디지털화돼 있어서 어디 하나라도 뚫리면 엄청난 재앙으로 이어질 수밖에 없다. 작은 구멍 하나로 모든 핵심 정보가 빠져나가는 것은 시간문제다.

 

◇사물인터넷, 기업 보안 부담 가중  

 

사물인터넷(internet of things)도 기업의 골치를 썩이고 있다. IT 기기 하나하나에 네트워크 기능이 탑재된 만큼 기업이 방어해야 할 영역 또한 늘어난 셈이다. 네트워크 장비업체 시스코는 현재 150억대에 달하는 네트워크 기기가 오는 2020년쯤 500억대로 급증할 것이라고 전망하고 있다. 엎친 데 덮친 격으로 해커들의 공격력은 예전보다 더 매서워졌다. 해킹능력은 보안 기술이 발전하는 속도를 무색하게 할 만큼 더 빨라지고 대담해졌다. 실제로 지난 1월 미국 모 대형 보험업체의 고객 기록 8000만개가 유출되는 일이 벌어졌고, 견고하기로 소문난 미 연방인사국(OPM)도 해커의 공격에 노출돼 공무원 신상기록 2200만개를 졸지에 도둑맞았다. 지난 2011년 해커에게 7700만건의 회원 신상정보 털렸던 소니 플레이스테이션 네트워크(PSN)는 지난해 말 또다시 해킹 사고를 당하는 수모를 겪기도 했다. 이쯤 되자 일부 기업 경영진들은 해킹이란 말에 몸서리를 칠 정도로 전의를 상실했다. 컨설팅 전문업체 맥킨지가 미국 내 IT 업계 최고경영자(CEO)를 대상으로 설문조사를 한 결과 무려 80%가 “해커의 공격에 제대로 대처하기 힘들다”고 토로했다. 기업이 뛰는 놈이라면 해커는 나는 놈이라고 할 수 있다.

 

 

 

소니 해킹 사건을 계기로 사이버 보안 능력을 키워야 한다는 자성의 목소리가 커졌다. 세계경제포럼(WEF)은 사이버 안보에 대한 두려움으로 혁신과 성장의 기회를 놓치기 보다 이 분야를 잘 이해해야 한다며 기업들을 독려하기도 했다. 이런 과정에서 보안 패러다임을 완전히 바꿔야 한다는 의식이 싹텄다. 지난 4월에 발간된 ‘사이버보안을 넘어서: 디지털 비즈니스 보호하기(Beyond Cybersecurity: Protecting Your Digital Business)’란 책도 이런 문제의식의 연장선에 있다. 이 책은 기존의 보안 패러다임에 의문을 제기하며 경·재계에 큰 반향을 일으켰다.

 

책의 저자들은 이대로 가다간 오는 2020년까지 해킹으로 3조억달러의 손실이 발생할 것이란 암울한 전망을 제기하기도 했다. ‘사이버보안을 넘어서’는 해커의 공격에 유연하게 대처하려면 제목 그대로 부서를 뛰어넘는 유기적인 연대가 있어야 한다고 지적한다. 사이버 보안 프로그램을 어떻게 구축할지에 관한 고민으로 그친다면 해커의 공격을 물리칠 수 없다는 것이다. 또 책은 보안팀뿐 아니라 인력관리(HR) 부서와 공급체인, 회계 부서 등 모든 부서가 동참했을 때 보안에 알맞은 생태계를 구축할 수 있다고 조언한다. 사이버 보안은 보안팀이 전담하는 업무라고 보면 곤란하다. 모든 회사 구성원들이 비즈니스 차원에서 동참해야 달성 가능한 일이다. 섬처럼 떨어져 있는 부서들이 하나로 연결돼야 기업의 보안 능력이 배가될 수 있다는 논리다. 이때 중요한 것은 각 부서가 사업을 구상할 때부터 보안을 염두에 둬야 한다는 점이다. 부서별로 각기 다른 계획을 세운 후 이후에 보안 프로그램을 껴 맞추는 게 아니라, 초기부터 보안이란 큰 틀 안에서 사업 계획을 세우라는 말이다. 이를 위해 정보보호최고책임자(CISO)는 최고정보관리책임자(CIO)만이 아니라 각 부서장과도 정보 수집 현황 같은 자료를 공유해 사이버 보안에 대한 이해력을 높여줘야 한다.

 

 

보안을 회사 구성원이 짊어져야 할 모두의 과제로 인식한 다음에는 ‘디지털-탄성(digital-resilience)’ 개념을 이해해야 한다. 디지털 탄성은 ‘사이버보안을 넘어서’에서 최초로 제시된 보안 이론으로 정보의 중요도를 분류하는 데서 출발한다. 정보라고 다 같은 정보가 아니다. 정보는 수익과 신뢰에 큰 영향을 미치는 핵심 정보와 유출 되도 큰 문제 될 게 없는 주변 정보로 나뉜다. 해커가 관심을 가질만한 정보는 따로 핵심 정보로 분류해 놓는다. 이 작업이 끝나면 기업은 핵심 정보로 분류된 정보를 회사의 자산이라 여기고 보안 역량을 거기에 집중한다. 소셜미디어 업체의 경우라면 회원 이력을 담은 정보를 지키는 데 주력할 수 있다. 물론 구별 없이 모든 정보에 든든한 방어막을 치는 것이 제일 나은 방법이긴 하다. 그러나 이 방법은 비용이 너무 크다는 치명적인 단점이 있다. 그러다 보니 일부 기업들은 아예 보안 시스템을 증축하지 않는 우를 범하기도 했다. 그런데 이제 분류법으로 정보의 경중을 정해 놓는 식으로 비용 부담을 줄이고 핵심 정보도 보호할 수 있게 됐다. 1781년 당시 북미은행은 이 작업을 잘해서 업계에 선례를 남겼다. 북미은행 보안팀은 핵심 정보에 더 높은 수준의 보안을 적용했고 나머지 정보는 다른 은행들과 비슷한 수준의 보호를 받게 했다.

이제 구체적인 목표를 설정할 때다. 목표는 높으면서도 달성 가능해야 하고 CEO가 설명하기 쉬운 내용이어야 한다. 가령 헬스케어 서비스 업체가 있다고 치자. 이 업체는 환자와 의사, 병원 행정, 거래 중인 의료기기 업체 정보 등을 핵심 정보 리스트에 올려놨다. 이에 맞게 목표는 해커의 공격이 회사 매출에 미치는 영향과 환자의 불편함을 최소화하는 쪽으로 세웠다. 그리고 이 목표를 이루기 위한 보안 프로그램을 구축해야 하는 데, 이때는 내부와 외부를 모두 살펴보는 꼼꼼함이 필요하다. 기업들은 종종 외부 공격자들에만 초점을 맞춘 나머지 내부 문제는 놓치고 만다. 안팎을 골고루 보는 안목이 있어야 목표에 맞는 보안프로그램을 구성할 수 있다.

 

 

보안 프로그램을 업그레이드하거나 신설할 때는 네 가지 관리 기법을 중심에 둔다. 먼저 기업 자원 평가에 쓰이는 식별·접근관리(Identity and access management)다. 이는 정보 보호 프로그램의 근간이 되는 것으로 기업이 사용하는 ID와 패스워드를 종합해서 관리해 주는 역할을 한다. 모바일과 클라우드 컴퓨팅에도 개인 ID를 쓰는 추세라 식별·접근관리는 이전보다 더욱더 중요해졌다. 정보 시스템의 보안을 위협하는 침입 행위가 발생할 할 때 이를 탐지하는 기능인 침입탐지(intrusion detection) 기능과 데이터가 소실되거나 파괴되는 것을 막는 데이터보호(data protection) 능력도 향상돼야 한다. 사고를 추적하고 해결하는 시스템인 사고대응 (incident response) 역량 또한 끊임없이 개선될 필요가 있다. 이 과정에서 신경 써야 할 것은 모든 관리 방식이 마치 하나처럼 연결돼 있어야 한다는 점이다. 기업들은 이 조언을 종종 간과한다. 그러나 정보 보호 시스템은 종합적으로 통제·관리될 때 더 큰 효과를 발휘한다.

보안 프로그램을 구축한 후에는 비즈니스 현장에서 그 프로그램을 직접 구동해 본다. 금융업체라면 계좌에 접근하는 방식을 더 까다롭게 구성해 놓고 실제로 접속해 보는 것이다. 예상한 결과가 나오면 성공이나, 그렇지 않다면 보안 프로그램을 수정해야 한다. 보통 기업들은 이 작업을 무척 성가셔하지만, 이 과정 없이는 기업에 가장 잘 맞는 보안 시스템을 찾아낼 길이 없다. 시행착오와 수정과정이 이어져야 최적화된 안보 시스템을 구축할 수 있다는 말이다. 이와 관련해 미국의 모 보험회사는 시장을 세분화하는 세그먼팅 관리 기법을 도입하는 식으로 보안 프로세스를 크게 향상시켜 타성에 젖은 기업들을 자극하기도 했다.

 

윤석진 기자 ddagu@etomato.com