서버 보안 컨설턴트의 입장에서 바라본 Auction(옥션)과 GS Caltex(칼텍스)의 고객 개인정보 유출 사고
언제부터인가 웹사이트에 가입하기 위해서는 개인정보를 입력해야만 하는 경우가 많아지기 시작했다. 특히 인터넷이 활성화 되면서 게시판 등에 글을 쓰거나 보기 위해서 회원가입을 요구하기 시작했고 아주 작은 웹사이트로부터 거대 온라인 쇼핑몰과 은행, 그리고 포털 사이트는 회원 수를 자랑(?)하고 고객 혹은 회원의 관리를 편리하게 하기 위해 이름과 주민번호와 같은 기본적인 정보는 물로 취미, 거주 주택 정보와 보유 차종은 물론 심지어 생일과 가족들의 개인정보 까지도 서슴없이 요구하는 경우도 있다. 하지만 그에 대한 정보보호에는 소홀한 경우가 많다.
그 이유는 무엇일까 ?
정보보안이 얼마나 중요한 것인지 모른다.
수많은 기업 및 공공기관의 서버에 보안 S/W를 설치하고 기술지원과 보안 정책 수립을 지원하는 컨설턴트 입장에서 돌이켜볼 때 가장 큰 이유는 기업의 CEO 그리고 CIO 혹은 전산 정보 관리 담당자들이 정보보호의 중요성을 제대로 인식하지 못하고 있는 것을 가장 큰 이유로 들고 싶다. 특히 이윤 추구가 가장 중요한 목표인 기업의 경우 정보 보호에 대한 중요성은 기업 활동 중에서 무척 낮은 순위에 두고 있거나 아니면 그 순위에도 들지 못하는 경우가 많은 것이 현실이었다. 최근 발생한 옥션의 개인정보 유출 사고를 지켜보면서 2년 전쯤 내가 근무하고 있는 회사의 보안 S/W가 BMT와 프리젠테이션 그리고 여러 번의 업무협의를 거쳐 도입 결정 직전이었음에도 불구하고 결국은 우선순위와 안정성 미흡이라는 이해하기 어려운 이유로 도입이 무산된 기억이 있을 정도로 우리 나라 기업들의 보안에 대한 중요성 인식과 보안 인프라의 투자는 인색하기 그지 없다.
비록 옥션의 예를 들었으나 상당수 기업의 정보보안에 대한 마인드는 아직 “형편없다”라는 한마디로 표현할 수 있다. 그리고 비록 보안이 중요하다는 것은 인식하고 있어도 해킹에 대한 아픈 기억이 없기 때문에 “우린 아직은….” 이라는 생각을 하고 있다는 것이다. 하지만 한번 해킹을 당해 “아픈 기억”을 갖고 있는 기업을 방문해 보면 보안 컨설턴트를 대하는 자세가 “확실히” 다르고 보안의 중요성에 대한 인식도 확연하게 차이가 나는 것을 피부로 느낄 수 있었다.
2. 보안 업무에 대한 잘못된 인식
우리나라 기업들의 정보 보안 관리에 대한 최고 책임자는 대부분 정보화 부서의 부서장이 겸하는 경우가 많고 서비스에 장애가 생기면 이사진 이상의 최고 경영자 층에서 정보화 부서장을 흔히 “족친다”. 서비스 장애로 돈 버는데 문제가 된다고 말이다.
그게 뭐가 문제냐고 할 수 있다.
하지만 보안 사고가 발생할 경우에는 서비스 장애에 비해 조용히 넘어가고 대외적으로 비밀에 부치는 경우가 많다. 한마디로 서비스에 심각한 장애가 생긴 것도 아니고 보안사고로 인해 “쪽팔리기” 싫은 것이다.
따라서 정보화 부서의 부서장은 보안 강화 보다는 서비스 안정화에 더 관심을 갖고 총력을 기울일 수 밖에 없다. 따라서 정보 보안은 상대적으로 뒷전일 수 밖에 없다. 또한 대부분의 보안 솔루션들은 서비스에 필수적인 것이 아니며 운영할 경우 서비스의 장애를 유발하거나 서비스의 성능을 저하시킬 수 있는 하나의 S/W 혹은 H/W이기 때문에 정보화 부서의 부서장에게는 “혹”처럼 느껴질 수 있다. 이러한 상황에서 당신이 서비스의 뛰어난 성능과 안정성을 최고의 목표로 삼아야 하는 정보화 부서의 부서장이라면 어떻게 하겠는가?
따라서 이러한 조직체계는 옥션이나 GS칼텍스의 개인정보 유출과 같은 큰 보안 문제를 야기시키는 근본적인 원인이 될 수 있다. 보안 업무는 정보화 부서의 부서장이 수행하기에는 업무 특성상 이율배반적인 상황이 발생할 수 있기 때문이다. 따라서 보안 업무의 최고 책임자는 적어도 최고 경영진의 한 사람이어야 하며 가장 적임자는 바로 최고 경영자인 CEO이어야 한다.
3. 빠른 업무처리가 최고의 미덕인 우리나라 기업의 업무 스타일
흔히 말하듯 보안이 철저하고 강해지면 보안 담당 부서 이외의 타 부서에서 업무가 불편해지고 업무가 편해지면 보안이 약해진다는 속설처럼 보안 업무는 여러 부서에서 고유의 업무를 수행하는데 “불편하다”라고 느껴 반발을 불러올 수 있기 때문이다. 그 편리함이 바로 보안의 취약성일 수 있는데도 말이다.
실제로 강력한 보안정책을 적용했다가도 현업부서 담당자가 업무처리가 너무 불편하다며 반발하자 적용했던 보안정책을 없애버리는 경우를 수도 없이 보는 것은 대부분의 보안 컨설턴트 들이 공감할 것이다. 일선 업무 담당자가 정보화 부서의 부서장이 추진한 보안정책에 반발하고 업무처리 지연에 따른 책임을 물을 것처럼 나오자 정보화 부서의 부서장이 한발 물러설 정도로 우리나라 기업의 최고 미덕은 “신속한 업무처리”인 것이다. 비록 보안 상 문제가 있어도 말이다.
4. IT 및 보안 인프라에 대한 인색한 투자
우리나라에서 수행되는 수많은 전산 시스템을 구축하는 프로젝트를 지켜보면 가장 중요한 것은 “단기간에 시스템을 구축하면서도 안정적인 시스템”을 만드는 것이다. 앞에서 언급한대로 전산 시스템에 장애가 생겨서는 안되며 값싼 장비와 적은 인력으로 단기간에 프로젝트를 마쳐서 돈을 아껴야 하는 것이었다. 당연할 것이다. 장애가 발생하면 “돈 버는데” 큰 지장을 초래할 수 있기 때문이고 프로젝트의 기간이 길어지면 “돈이 많이 들기” 때문이다.
그렇기 때문에 대부분의 프로젝트에서 보안관련 솔루션들은 쓸데없이 돈만 들이는 것으로 인식되고 있으며 한 푼이라도 더 깎으려 눈에 불을 켜기 나름이다. 그래서 우리나라의 보안 솔루션 업체들은 참 먹고 살기 힘든 곳이 많고 기업의 성장이 더디며 많은 기업들은 좋은 솔루션을 갖고도 도산하기 일쑤다.
이처럼 우리나라의 정보 보안에 대한 인식은 무척 낮은 수준을 벗어나지 못하고 있으며 보안 인프라에 대한 투자 또한 무척 인색하다. 필자의 경우 많은 기업과 공공기관에 서버보안 정책에 대한 컨설팅을 제품에 대한 사후 기술지원 차원에서 하고 있지만 많은 경우 업무에 별 도움이 되지 않고 오히려 방해만 된다며 냉대하는 경우를 이따금씩 목격하고 있다.
많은 네티즌과 국민들이 그런 무지한 정보 보안 마인드를 가진 기업과 전산 관리자들에게 소중한 개인정보와 금융정보 그리고 사생활에 관련된 정보를 제공하고 있다는 것은 어떻게 생각하면 무척이나 끔찍한 일이다.
==== 무단 전제 및 배포 금지 ====