[ET시론] 끊어진 쇠사슬을 다시 이어 붙이려면

'쇠사슬의 강도는 가장 약한 고리의 강도와 같다'는 말은 정보보안을 담당하는 사람이라면 누구나 한 번쯤 들어봤을 격언이다. 정보보호 수준을 높이려면 보안의 모든 영역에 걸쳐 고르게 투자해야 한다는 고전적인 이야기라 할 수 있다.

이런 관점에서 최근 발생한 대형 개인정보보호 유출 사건들을 바라보면 아쉬운 점이 많다.

사고가 발생한 기업 가운데는 대외적으로 정보보안 수준이 높은 것으로 평가받고, 매년 상당한 금액을 보안 솔루션 구매 등에 투입해 온 곳도 있었기 때문이다. 정보보호 예산 규모만 놓고 보면 상위권에 속하는 기업들이었다.

다만 사고에 악용된 기법들을 분석해보면 실패의 원인은 의외로 매우 단순했다.

공격자가 마치 고도의 공격기법을 사용한 것 같지만, 실제로는 개인정보처리시스템에 보안 패치 적용을 계속 미루다가 해킹을 당한 경우도 있었다. 시스템·네트워크의 기술적 보안에는 많은 투자를 했지만 모니터링 체계가 원활히 동작하지 않아 퇴직자에 의한 정보 유출을 막지 못한 경우도 있었다.

완벽한 보안은 존재하지 않기에 모든 해킹 사고를 100% 예방하는 것도 불가능하다. 기업이 매년 수십억 이상을 보안에 투자했더라도 유출 사고는 발생할 수 있다. 사고 결과만을 놓고 그동안의 투자와 노력을 인정하지 않고, 과도하게 비난한다면 기업으로서는 억울한 측면도 있을 것이다.

하지만 우리는 다시 한번 생각해봐야 한다. 해킹 사고는 결국 기업이 많이 투자한 강한 고리가 아니라, 미처 보완하지 못한 가장 약한 고리에서 발생한다는 점이다.

- 정보보안에 많은 투자를 하고 있는데, 과연 균형 잡힌 투자가 이뤄졌는가?

- 비인가 외부자의 공격을 차단하기 위한 수단에는 투자하면서도, 인가된 내부자의 이상징후를 모니터링하기 위한 탐지 수단에는 투자가 부족하지 않았는가?

- 정보유출 및 침해사고 탐지 시 대응하기 위한 복원력 체계에는 투자가 부족하지는 않았는가?

참고로 개인정보보호위원회는 중대 유출 사고가 발생하면 전체 매출액의 10%까지 과징금이 부과할 수 있도록 하는 한편, 예산·인력·설비·장치 투자 규모 및 지속성이 동종업계 대비 많은 노력을 기울인 경우 과징금을 감경할 수 있다는 방침을 밝힌 바 있다.

이에 기업이 보안 분야에 투자한 금액들은 과징금 감경 여부를 판단하는 중요한 근거로 활용될 수 있다. 재무제표 및 정보보호 공시제도를 통해 공개된 정보보호 투자 데이터들도 관련 근거 자료로 적극 활용될 것이다.

다만 절대적 금액이 아닌 보안 수준을 실질적으로 높일 수 있는 균형 잡힌 투자가 이뤄졌는지 평가하게 될 것으로 예상된다. 주요 보안 도메인별로 기술적·관리적 보안 측면에서 예방(Prevention), 탐지(Detection), 대응(Response) 수단들이 적절히 투자됐는지가 중요하다. 결국 가장 약한 고리를 찾아내고, 그 고리의 강도를 끌어올리는 노력이 중요하다고 할 수 있다.

물론 예산이 제한적이라면 단기적으로는 외부 공격을 예방하는 수단에 투자를 집중할 수밖에 없다.

하지만 개인정보 유출 사고는 비인가 외부자, 즉 해커로부터의 공격에서만 발생하지 않는다. 궁극적으로 개인정보보호 수준을 높이려면 탐지와 대응 수단에 대한 투자를 균형 있게 해야 한다.

복원력, 즉 레질리언스(resilience) 관점에서의 대응 체계 마련도 소홀히 해서는 안 된다. 개인정보의 특성상 사고 발생 시 고객들에게 2차 피해 등 지속적인 영향을 줄 수 있기 때문이다.

유럽 일반개인정보보호법(GDPR) 32항에는 기밀성, 무결성, 가용성 외에도 레질리언스가 명시돼 있다. 반면 국내 법률체계에는 '레질리언스'라는 용어가 명시적으로 존재하지 않는다. 이 때문에 현장에서는 레질리언스를 백업 데이터를 이용해 삭제된 자료를 복구하고 서비스를 빠르게 재개하는 개념, 즉 백업과 복원(Backup and Restore) 정도로 좁게 이해하는 경우도 있다.

레질리언스는 침해사고로 정상 운영이 중단된 시스템을 단순히 사고 이전 상태로 되돌리는 '단순한 회귀'가 아니다. 문제의 원인이 된 보안 문제를 근본적으로 해결하고, 같은 문제로 침해가 재발하지 않는 상태로 '전이(Transition)'하는 것을 의미한다. 다시 말해 끊어진 쇠사슬을 같은 지점에서 다시 끊어지지 않는 쇠사슬로 만드는 일이다.

'어짜피 모든 해킹을 막을 수 없으니 투자할 이유도 없다'라는 수동적인 생각이 확산되는 것은 정보보안 발전에 가장 큰 위협이라 할 수 있다. 필요한 것은 포기가 아니라 관점의 전환이다. 모든 해킹을 막을 수 없다면 사고 발생 뒤 신속하게 대응하고, 재발하지 않도록 대응·복원 수단을 마련해야 한다는 레질리언스 관점에서의 패러다임 전환이 필요하다.

이런 점에서 개인정보 유출 사고가 발생했다면 결과만을 놓고 무조건 책임을 묻기보다, 지속적으로 정보보안에 투자해 온 기업들에게는 과징금을 최대 40%까지 감경을 하겠다는 방향은 매우 긍정적인 신호라 판단된다. 기업이 보안 투자를 비용이 아니라 위험을 줄이기 위한 지속적인 활동으로 인식하도록 유도할 수 있기 때문이다.

평소 외부에 노출된 자산의 취약점을 제거하는 공격표면관리(ASM) 활동을 꾸준히 수행하는 기업, VDP·CVD 등 취약점 발굴 체계를 활용해 능동적으로 위험을 관리하는 기업, 침해사고가 발생했을 때 고객에게 미치는 영향을 최소화할 수 있도록 레질리언스 체계를 갖춰 나가는 기업이 늘어나야 한다. 제도적인 방향 변화와 함께 성실한 방어자들이 더 많아지길 기대해본다.

김휘강 고려대 스마트보안학부 교수 겸 개인정보보호위원회 위원 cenda@korea.ac.kr

〈필자〉한국과학기술원(KAIST) 재학 시절 해커로 활동하며 다수의 기관과 기업들에 모의해킹과 컨설팅을 수행한 경험을 바탕으로 1999년 국내 최초의 보안 컨설팅 전문업체인 에이쓰리시큐리티를 창업했다. 2004년부터 엔씨소프트에서 정보보안실장으로 본사, 지사 및 합작사(JV) 보안업무를 수행했다. 2010년부터 고려대 교수로 재직 중이며 스마트보안학부 학부장을 맡고 있다. 사이버위협정보(CTI)와 ASM의 중요성을 알리고 있으며 현재 개인정보보호위원회 위원으로 활동 중이다.