영화 ‘마이너리티 리포트’에서 주인공 톰 크루즈의 시선이 가는 곳마다 그가 생각하는 것들이 대형 화면에 떠오른다. 우리가 사는 세상에도 곧 그런 게 현실로 다가온다. 사물인터넷이 데이터를 모으고 분석해 유용하게 쓸 수 있게 해줄 것이기 때문이다.
빅데이터나 클라우드는 그런 세상을 앞당기고 있다. 스마트폰을 사용하다 보면 클라우드 서비스 앱이 나온다. 스마트폰의 모든 연락처, 이메일, 문자기록, 채팅기록, 사진과 동영상 등 나와 관련된 모든 데이터가 이곳에 무한 저장된다. 스마트폰이 물에 빠지거나 사라져도 이 정보는 고스란히 되살릴 수 있다.
그런데 그 많은 정보를 해커나 시스템 관리자가 빼 가면 어떻게 될까. 돈을 빼가고 사생활도 드러나 세상 사람들의 우스갯거리로 영원히 떠돌 수 있다. 사람들을 편하게 해줄 것이라던 사물인터넷에 연결된 모든 기기들이 디도스 공격을 받으면 또 어떻게 될까. 발전소가 불타고 길거리의 모든 신호등이 한꺼번에 파란불이 되어 양쪽 차들이 충돌하고, 고속전철이 앞서 달리던 기차를 받아버리고, 이륙하는 비행기 위로 또 다른 비행기가 내리꽂히고 …. 영화 ‘다이하드4’의 장면이 그대로 벌어질 것이다.
최근 미국 아마존은 드론을 이용해 책이나 물건을 배달한다는 구상을 발표했다. 그 드론을 해킹해 폭탄을 싣고 백악관이나 크렘린으로 배달하면 또 어떻게 될 것인가.
IT기기와 최신 소프트웨어들은 더 없이 편리하게 만들고 있다. 그렇지만 우리가 그 편리함에 따른 비용을 치르지 않고 방치하다가는 언제 이런 일이 터질지 모른다. 보안투자는 그래서 필요하다.
그런데 현실은 긍정적인 쪽보다 부정적인 쪽에 먼저 다가가는 것 같다. 한국인터넷진흥원(KISA)에 따르면 지난 3월 피싱사이트 차단 실적은 1287건으로 전월(663건) 대비 94.1%로 증가했다. 이 가운데 3분의 2가 금융기관을 사칭했고 나머지는 정부나 공공기관을 내세웠다. 최근엔 해킹 범죄도 빠르게 늘어나고 있고 악성코드를 은닉했거나 특정 사이트로 강제 연결하는 사이트도 급증했다.
보안 관리를 게을리했다가는 언제 해커를 비롯한 공격자의 타깃이 될지 모르는 세상이다.
기술·개인정보 유출 심각한 수준
산업 측면에서 보면 우리를 먹여 살리고 있는 주요 산업에서 심각할 정도로 많은 기술이 해외로 유출되고 있다. 국가정보원에 따르면 지난해 적발된 기술유출이 49건인데 적발되지 않은 유출은 이것보다 몇 배 많을 것으로 전문가들은 추정하고 있다. 주변국이 한국을 바짝 추격하는 게 우연은 아닌 것 같다.
개인정보의 해외 유출도 어마어마한 것으로 추정된다. 세이프넷이 정기적으로 발표하는 전 세계 데이터 유출·침해 통계인 BLI(Breach Level Index)의 2014년 2분기 보고서에 따르면 2분기에만 세계 각국에서 237건의 대규모 개인정보 및 민감한 비즈니스 정보 유출 사고가 발생했다. 이를 통해 1억7500만 건의 개인 정보나 금융 정보 등이 외부로 빠져나갔다.
이렇게 빠져나간 정보들은 그 자체에 머무는 게 아니라 2차, 3차 공격의 수단으로 악용되고 있다. 피싱이나 스미싱이 갈수록 정교해져 지식인들까지 속아 넘어가는 것도 이와 무관하지 않다.
상황이 이런데도 정부나 기업의 보안투자는 여전히 지지부진하다. 오히려 경기가 어렵다는 이유로 보안투자를 줄이는 곳도 적지 않다. 많은 중소기업들은 아예 보안에 투자할 능력이 없다며 지레 포기하는 상황이다. 또 다른 보안사고가 닥칠 가능성이 그만큼 크다고 할 수 있다.
적은 돈으로 할 수 있는 보안도 있다
그렇지만 보안 전문가 입장에서 예산 없다고 남의 집 제사 보듯 할 수만은 없다. 적은 예산으로 우선 할 수 있는 예방 조치는 취해야 한다.
가장 쉬운 것 가운데 하나가 외국회사 벤치마킹이다. 외국회사들은 대부분 국내회사와 문화 자체가 다르다. 예외 없이 내부인이 동행해야 출입을 허용한다. 회사 PC에선 인터넷 사용을 금하고 있고 부득이한 경우엔 사전에 지정된 PC만 이용케 한다. PC에 USB나 외장하드 등 저장매체를 연결할 수 없고 오직 인터넷 조회만 가능하다. CEO도 예외가 아니다.
출입카드 하나로 모든 것을 통제하는 곳도 많다. 출입카드가 있어야 내부로 들어갈 수 있고 자기 PC조차 카드가 필요하다. 카드가 없으면 내부 업무 시스템에 접근할 수조차 없으니 다른 누구에게 카드를 빌려주는 것은 불가능하다.
일과시간이 지나면 회사에 남지도 못한다. 남아서 일을 더하려도 사전에 승인을 받아야 한다. 퇴사 땐 개인사물은 회사가 배달해주거나 경비실에서 찾아가야 한다.
최첨단 보안장비를 갖춰놓고도 고위 인사가 오면 무단으로 문을 열어주고, 기밀정보가 가득한 최고경영자 방에 쉽게 들어가게 하는 국내회사와는 차원이 다르다. 직원들만 통제할 게 아니라 임원부터 스스로 보안원칙을 지켜야 한다는 애기다.
허술한 인사관리가 심각한 보안이슈가 되는 곳도 있다. 최근 한 중소기업에선 대표이사가 연구소장과 연구 담당 직원들을 이끌고 한꺼번에 동종업계 외국회사로 이직해 버렸다. 그 중소기업은 거의 회복불능 상태에 빠졌다.
이처럼 보안은 컴퓨터에 보안 프로그램 설치하는 것을 넘어서 우리 사회 전반과 연결돼 있다. 그렇기에 우선 큰 돈 들이지 않고 당장 시행할 수 있는 보안원칙을 제시한다.
첫째, 보안원칙을 세워 CEO부터 지키자. 외국회사들처럼 일단 보안원칙을 정하면 누구도 예외가 있어선 안 된다. 심지어 창업주도 예외일 수 없다. 장관이나 CEO부터 출입문이나 엘리베이터를 미리 열어놓지 못하게 하면 규율은 바로 선다.
둘째, 문제를 인식했다면 과감하게 투자하자. 보안투자를 규정 때문에 하는 형식요건이 아니라 생존의 필수 요건으로 간주하고 생산성 향상을 위한 투자처럼 과감하게 나서야 한다. 세월호 사태에서 나타났듯이 사건이 터지면 후회할 기회조차 주어지지 않는다. 큰 재앙 전엔 반드시 징후가 있다는 하인리히 법칙이란 게 있다. 국내 보안 이슈도 이미 여러 차례 징후가 이어지고 있음을 잊지 말자.
셋째, 보안은 모든 프로젝트의 기본 인프라임을 명심하자. 빌딩 지을 때 기초공사를 튼튼히 해야 하고 자동차나 비행기도 골격을 제대로 갖춰야 한다. 마찬가지로 보안은 모든 프로젝트에 부수적으로 따르는 게 아니라 그 프로젝트 자체의 기초이다. 보안 시스템이 갖춰지지 않은 금융기관과는 거래를 할 수 없는 게 단적인 사례다. 앞으로 진행될 모든 프로젝트에 보안성 검토를 거치도록 하자.
시스템이나 매뉴얼보다 중요한 것
한국은 상당히 오래 전부터 보안 투자를 했고 매뉴얼도 갖추고 있다. 그렇지만 산업기술 유출은 갈수록 기승을 부리고 해킹이나 사이버 공격도 점점 거세지고 있다. 이유는 무엇일까.
최근 해외 유학 후 모 기관에 다니고 있는 한 지인이 정보관리 상담을 해 오기에 어느 회사와 거래하는지를 물었다. 답변은 “노”였다. 학교 후배이기도 한 그녀의 남편에게 혹시나 하고 물었더니 자기에게조차 얘기하지 않는다고 했다. 서양에서 배운 보안문화라는 것이다. 그 얘기를 듣고 다시 느꼈다. 보안은 기술이 아니라 사람 문제라는 것을.
