[전망대] 보안사고 새 관점
[디지털타임스 2005-10-07 07:50]

신수정 인포섹 상무이사
 

지난 6월 인터넷 뱅킹 보안문제로 한동안 떠들썩하더니, 9월에는 인터넷 공문서 위ㆍ변조 위험이 또 온 나라를 떠들썩하게 했다. 2005년 사이버 영역 보안의 가장 큰 이슈가 될 이 두 사건은 언뜻 보면 과거의 여러 보안사고의 반복이라고 여겨질 수 있으나 필자는 금번의 보안사고들이 과거의 사고들과 상당히 다른 특성을 보여주며, `정보보안'을 바라보는 전혀 새로운 관점을 제시해주는 계기가 됐다고 본다.

첫째, 금번의 보안사고들은 정보보안을 `기업의 관점'에서 `고객(사용자)의 관점'으로 보게 하는 계기가 됐다. 지금까지 국내에서 정보보안을 바라보는 관점은 주로 기업의 내부 정보자산을 어떻게 보호하는가에 초점을 맞췄다. 기업은 자신이 소유한 정보자산 보호에 관심을 쏟았고, 고객의 보안문제는 고객의 몫이라고 생각해왔다. 그러나 최근의 보안문제들은 `사용자'단에서 기업이 제공하는 서비스를 이용하는 과정에 노출된 심각한 위험을 보여줬다. 인터넷 뱅킹 사건은 고객의 PC에서 서비스 접속을 위한 암호를 누군가 유출할 수 있는 위험을 보여줬고, 인터넷 문서 위ㆍ변조 사건은 고객의 PC에서 문서를 출력할 경우 위ㆍ변조의 위험을 보여줬다.

기존의 개념으로는 고객의 자산인 고객 PC에서 일어나는 사건인 만큼 이러한 책임은 고객의 몫이라고 생각했다. 그러나 기업이 제공하는 서비스의 끝단이 고객 PC까지 직접 연결된 만큼 서비스 끝단의 대책도 서비스 제공자의 몫이므로 이제 기업의 보안관리자나 보안업체는 옛 관념을 벗어버리고 시야를 확장해 `고객의 관점'으로 보안을 봐야 한다.

두 번째, 금번의 보안사고들은 정보보안을 `IT 인프라 관점'에서 `비즈니스 서비스 프로세스 관점'으로 보게 해줬다. 지금까지 국내의 보안은 주로 IT부서의 직원들이 IT인프라를 어떻게 안전하게 지킬 것인가의 영역에서 벗어나지 못하고 있다. 따라서 조직의 최고 경영층은 `정보보안'이란 비즈니스와는 별 관련이 없는, 이해하기 어려운 하위 레벨의 기술문제라고 생각하는 경우가 많았다. 그러나 최근의 보안문제들은 정보보안이 하위 기술레벨의 영역이 아닌 핵심 비즈니스 서비스 프로세스 영역임을 보여줬다. 즉, 사용자가 인터넷 뱅킹이나 전자문서 발급 서비스를 활용하는 시작부터 끝까지의 프로세스 동안 발생할 수 있는 보안위험이 서비스에 얼마나 큰 영향을 미치는지 보여줬다는 것이다. 이제 반드시 비즈니스 서비스 프로세스의 관점에서 보안의 위협을 분석하고 해결책을 찾아야 한다.

마지막으로 금번의 보안사고 들은 정보보안을 `운영환경에 대한 사후대응'에서 `개발환경에 대한 사전대응' 관점으로 보게 해줬다. 사실 제대로 된 보안을 위해서는 개발과정에서 보안이 충분히 고려된 후 운영환경으로 넘어와야 한다. 금번 사건들은 모두 개발환경에서 보안이 충분히 고려되지 않은 채 운영환경으로 넘어왔을 때 발생하는 심각한 위험을 보여줬다. 지금까지 우리나라의 서비스 기획과 개발단계에서 보안위협에 대한 치밀한 영향평가와 설계 반영은 성능에 문제가 있다는 논리로 쉽게 무시돼 왔다. 그러므로 이러한 문제를 해결하기 위해 보안 전문가가 서비스 기획과 개발과정에 반드시 참여해 다양한 위협 시나리오를 도출해 영향을 평가하고, 그 결과를 설계에 반영토록 해야한다.

필자가 우려하는 것은 금번의 사고들의 교훈이 워터마크니 메모리니 임시파일이니 OTP니 하는 등의 전문적인 기술용어의 영역에서 초점을 잃을까 하는 것이다. 이번 기회를 통해 국내 정보보안을 바라보는 관점이 좀 더 `고객'의 관점으로, 또 `비즈니스'의 관점으로 전환하고, 정보보안이 기업과 고객이 보유한 가치를 유지하는 핵심 동인으로 인식되길 기대한다.

 

Copyright © 2001