신 수 정 / 인포섹 컨설팅본부장, 공학박사  
 

인터넷 사용의 폭발적인 증가와 더불어 소위 디지털 시대, 사이버 시대는 그 서막을 화려하게 열었다. 그러나 이와 동시에 새로운 형태의 위험과 적들도 출현했다. 물론 지금은 이들이 사이버 시대의 거센 흐름과 전진을 가로막을 정도는 아니지만, 그 세력은 급속도로 확산되고 있고 피해자들은 지속적으로 증가하고 있다.
그러므로 이제 각 기업들과 개인들은 이러한 위험을 명확히 인식하고 적절히 대응해야 할 필요가 있다. 이에 본 칼럼에서는 사이버 공간을 중심으로 보안의 위험과 특징들을 검토해보고, 개인 그리고 기업이 이러한 위험에 어떻게 효과적으로 대응할 수 있을 지에 대한 대책과 향후 보안의 발전방향을 연재하여 다루고자 한다.

 
탐지 사고의 20% 이내만 상위층에 보고

지금은 뜸하지만 한동안 경영층이나 사원들이 제시하는 의구심 중 한 가지는, 기업내에서 지금껏 침해공격이나 보안사고에 대한 소식을 별로 듣지 못했는데 굳이 보안에 대한 노력을 기울여 바쁜 업무의 효율을 떨어뜨리고 많은 비용을 소모해야 하는가에 대한 것이었다.
이러한 의구심이 틀린 것은 아니지만 대부분 그런 의견을 제시하는 임직원들도 기업내의 보안사고 소식을 듣지못한 것이 진정 보안사고가 한번도 없었기 때문인지, 아니면 기업의 정보가 온라인이나 오프라인으로 지속적으로 유출되고 있음에도 불구하고 그 사실을 인지하지 못했기 때문인지에 대해서는 자신있게 대답하지 못하곤 했다.
통계에 의하면 일반적으로 발생하는 보안사고의 1~5%만이 탐지되고, 탐지된 사고의 20% 이내만이 상위층에 보고되며 또 그 중에서도 일부만이 언론에 공개된다고 한다. 그러므로 보안문제가 눈에 보이지 않는다는 것과 실제 그 기업에 보안상의 문제가 없다는 것은 반드시 일치하는 것은 아니라는 것이다.
미국의 경우 2001년 FBI의 조사에 의하면, 기업의 85%가 보안 침해를 탐지했으며 이중 65%는 금전적인 손실을 경험했다고 한다. 또한 2002년 4월 국내 경찰청의 조사에 의하면 2001년부터 2002년 3월까지 국제 해커들에 의해 해킹당한 시스템은 총 2,497대로서 세계 최고 수준이며, 해킹당한 시스템에는 기업·연구소·정부기관 등의 주요 시스템이 포함돼 있음을 확인했다. 그러므로 이제 어느 기업도 보안에 대해 안전하다고 말할 수는 없을 것이다.
또한 최근에는 굳이 기업의 데이터를 훔쳐내거나 보안망을 뚫지 않고도 기업을 손상시킬 수 있는 방법들이 개발됐다. 그것은 한 기업의 인터넷 사이트를 마비시킴으로써 다른 사람들이 그 사이트에 접속하는 것을 불가능하게 하거나 회사 내부의 전산망을 마비시킴으로써 기업의 업무를 마비시키는 방법이다. 2000년초 야후·아마존·CNN·마이크로소프트 등의 유수한 사이트에 대해 본격화된 이러한 방식의 공격은 단 3일만에 해당회사의 매출과 명성 등에 있어 수백만 달러의 손실을 일으켰다. 그 이후 님다, 코드레드 라는 바이러스 등이 이메일 등을 통해 무차별로 유포돼, 전 세계적으로 200만대 이상의 시스템과 네트워크를 마비시켜 사실상 기업의 업무를 손상시키며 수십억 달러의 재산피해를 가져왔다.
사이버 상의 이러한 보안사고는 해커들이나 악의의 외부자에 의한 것만은 아니다. 더 위험하고도 치명적인 것은 내부자가 연결된 사고일 것이다. 이제 회사의 대부분의 기밀 자료들은 모두 컴퓨터에 들어있다. 내부자라면 자신이 기밀자료를 취급하지 않더라도 기밀자료들을 취급하는 주위 동료들의 부주의를 이용해 그들의 컴퓨터 계정이나 패스워드를 쉽게 알아낼 수 있을 것이다.
최근 내부자와 외부자의 결탁을 통해 발생한 대표적인 사건으로 2백50억원의 불법거래가 이뤄진 D증권의 사이버 거래 계좌의 도용사고를 들 수 있다. 결국 사건의 공개 이후 그 기업은 영업정지·대표이사 문책·주요 고객기업의 이탈 등의 치명적인 손실을 떠안게 됐으며, 이후 이 사고의 원인 중 하나가 기업고객의 계좌 비밀번호로 0000이라는 엄청나게 손쉬운 숫자를 사용한다는 것을 관련 내부자가 쉽게 알아냈기 때문임이 밝혀졌다.
불행히도 기업의 정보 뿐 아니라 개인의 정보도 그리 안전하지 않다. 올해 인터넷 동창회 사이트와 온라인 게임업체가 해킹을 당해 4,000만건이나 되는 고객정보가 유출된 사고가 발생했고, 미국에서도 작년에만 5만5,000개의 카드번호가 유출당한 사고가 있었으며, 올 12월에는 타워레코드사의 보안 결함으로 인해 300만의 고객 데이터가 유출되는 사건이 발생했다.
뿐만 아니다. 무심결에 받은 많은 공개 프로그램과 이메일의 첨부파일, 마이크로소프트의 Window2000, XP 등의 결함은 개인의 데이터를 손상시킬 뿐 아니라 자신도 알지 못하는 사이에 자신의 PC를 누군가에 의해 원격에서 통제 당할 수 있는 통로를 열어주기도 한다.

사이버 범죄, 왜 위험한가?

사이버 세계는 기업이나 개인에게 새로운 기회를 부여했다. 새로운 사업 기회를 창출시켰고, 새로운 서비스를 만들어 냈으며, 기존 사업을 더 효율적으로 만드는 새로운 차원의 효용성을 제시했다. 그러나 이러한 것을 가능하게 하는 연결성·용이성·편재성 기술은 위와 같이 수많은 '보안' 문제를 야기하게 됐다.
사실 기본적으로 사이버 세계의 보안 위험은 새로운 것이라 할 수는 없다. 왜냐하면 물리적 세계의 침입·사기·절도·파괴·폭발·도·감청 등이 사이버 세계에도 그대로 적용되기 때문이다. 그러나 사이버 세계의 보안 문제가 물리적 세계의 보안 문제 보다 훨씬 더 위험하고 치명적인데 이는 다음과 같은 이유들 때문이다.
첫째, 물리적 세계는 지리적인 한계가 있지만 사이버 세계는 지리적 한계가 없다는 사실 때문이다. 사이버 세계에서는 여권도 비자도 없이 지구 반대편에서 어떤 회사와 개인의 정보에 접근하는 것이 가능하다. 결국 이는 모든 공격의 가능성을 고려해야 하는 만큼 방어도 더욱 어렵다는 것을 의미하며, 문제 발생시 추적이나 법적인 대응도 용이치 않음을 의미한다.
둘째는 공격의 용이성 때문이다. 물리적 세계에서는 다른 사람의 집을 침투하거나 그 문을 따고 들어가는 것은 악한 마음을 먹은 전문 절도범이 아니면 쉽지 않다. 그러나 사이버 세계에서는 모든 사람의 집이 내 책상 앞 컴퓨터 안에 있으며, 그 문을 따고 들어가는 데 큰 용기를 필요로 하지 않는다. 더욱이 문을 대신 따주는 자동화된 도구들이 인터넷 상에 널려있다.
셋째는 정보의 집중성 때문이다. 물리적 세계에서는 일반적으로 정보가 한 곳에 집중돼 있지 않다. 주요한 정보들은 보관의 어려움 등으로 인해 여러 곳에 나뉘어져 있다. 그러므로 침입을 한다고 해도 한꺼번에 많은 정보들을 탈취하기 어렵다. 그러나 사이버 세계에서는 관리의 효율성과 효과적인 마케팅을 위해 데이터베이스라는 곳에 모든 정보들을 통합·집중 저장하고 있다. 그러므로 한번의 침입이나 실수가 야기할 수 있는 데이터의 유출과 손상으로 인한 위험의 크기는 가히 상상을 초월하는 수준이다.
넷째는 운반의 용이성 때문이다. 물리적으로 10억의 현금을 탈취했다고 해도 이를 운반하는 것은 보통 일이 아니다. 그러나 사이버 세계에서는 1백억도 몇 개의 키보드 조작으로 움직일 수 있으며, 그 기업의 10년치 기밀문서나 100만명의 고객정보도 몇 번의 이메일이나 CD한 장으로 운반할 수 있다.
다섯째는 피해의 전파속도 때문이다. 물리적인 세계에서는 해당 범죄자들과 연관자들만 잡으면 그 피해는 국한될 수 있다. 그러나 사이버 세계는 다르다. 탈취된 정보들이 어디서부터 어디까지 전파될지 모른다. 일부 연예인의 사생활을 담은 비디오에서 보듯 개인의 은밀한 사생활정보가 짧은 시간내에 수백만명의 사람들에게 전파되고 결국 회수는 불가능 한 상태가 된다.

예방이 가장 좋은 방법

그러므로 사이버 세계가 활성화된 오늘날 이러한 위험에 대응하는 '보안'을 더 이상 효율 저해자 혹은 기피대상자로 봐서는 안된다. 물론 '보안'만을 강조할 수는 없으나 그렇다고 '효율'을 위해 '보안'을 무너뜨려서도 안된다.
아무리 효율과 자유를 추구하는 사람이라 할지라도, 크게는 자신의 집에 도둑이 칼을 들고 들어온 것을 일생에 한 번이라도 경험하거나, 작게는 노트북이 망가져 데이터가 모두 사라진 것을 경험했다면 이후 태도가 달라질 것이다.
일반적으로 사후 교정비용은 사전 예방비용보다 많이 든다. 허술한 보안으로 인해 큰 피해를 입은 후 부랴부랴 대책을 세운다면 그때는 벌써 회사의 평판은 땅에 떨어지고, 고객들은 그 기업을 떠나며 경쟁자는 회심의 미소를 지을 것이다. 그러므로 이제 사이버 세계에서 '보안'은 오히려 고객이나 개인의 신뢰를 얻어 충성도를 상승케 하는 경쟁력 차원에서의 촉매제 역할을 할 수도 있을 것이다. 2002년 미국 CIO/CTO가 추진해야 할 최우선 3대 과제 중 하나로 '보안'을 선정한 것도 이러한 면에서 시사하는 바가 크다.
그러므로 모든 기업이나 개인은 보안의 중요성을 인식하고 보안이 미치는 영향을 면밀히 분석해 체계적으로 해결해나가는 방법을 고안해야 한다.

* 신 수 정 sjs1234@skinfosec.co.kr
인포섹(SKC&C의 자회사)에 근무하며 서울공대와 서강대 경영대학원, 서울공대 대학원을 졸업했다. 한국HP, 삼성SDS, 넷시큐어테크놀러지 연구소장 및 컨설팅 본부장을 거쳐 현재는 인포섹 컨설팅 본부장과 동국대학교 정보대학원 겸임교수로 재직중이다.