은퇴 후 해외살이 중인 '보안쟁이'의 뉴스 한 장면
지글지글.
쓱싹쓱싹.
칼질 소리와 팬 달구는 소리가 주방 가득 울린다.
우리는 요즘 매일 이렇게 아침을 시작한다.
낯선 나라, 낯선 집, 낯선 조리도구들로 하루를 연다.
요리를 할 때면 습관처럼 유튜브 뉴스를 틀어둔다.
해외에 있어도 정보에서만큼은 뒤처지고 싶지 않아서다.
매체는 넘쳐나고, 뉴스는 쉴 틈 없이 쏟아진다.
그렇다.
나는 아내와 함께 은퇴 후 해외살이를 하고 있다.
그날도 여느 날처럼 아침을 준비하며 영상을 보고 있었다.
그때 눈에 들어온 뉴스 하나.
쿠팡 개인정보 유출 사건이었다.
“또 터졌구나…”
20년 넘게 정보보안 분야에서 일해 온 나에겐
놀라운 뉴스라기보다 익숙한 장면에 가까웠다.
고개를 끄덕이며 영상을 끝까지 지켜봤다.
우리는 보통 ‘보안’을 언제부터 생각할까.
사고가 터지고 나서다.
하지만 보안의 시작은 훨씬 앞에 있다.
중요한 정보가 만들어지는 바로 그 순간부터다.
처음엔 종이 문서였다.
그다음은 컴퓨터, 서버, 네트워크.
이제는 인공지능과 클라우드의 영역까지 확장됐다.
문명은 빠르게 IT 환경으로 이동했고
삶은 눈에 띄게 편리해졌다.
하지만 그 편리함 속에 늘 따라붙는 불편한 진실이 있다.
바로 정보의 관리다.
우리나라에서 정보보안 개념을 담은 최초의 법률은
1986년 제정된,
「전산망 보급·확장과 이용촉진에 관한 법률」이다.
국가 기간 전산망을 안전하게 운영해야 할 필요성에서 출발했다.
이후 공공, 금융, 통신 등 분야별 보안 법령이 만들어졌다.
하지만 한계는 분명했다.
대부분 공공기관과 특정 산업에만 적용됐기 때문이다.
결국 2011년 9월,
공공과 민간을 모두 아우르는 일반법인
「개인정보 보호법」이 제정된다.
이 법 하나로
그때 당시 약 360만개 사업장(소상공인 포함)이
‘개인정보 보호’라는 숙제를 떠안게 됐다.
그중에서도
가장 민감한 개인정보를 다루는 곳은
의료기관과 이커머스 업종이다.
의료기관은
매년 자율점검과 실태점검을 받아야 했고,
이커머스 기업들은
홈페이지 개선과 기술적·관리적 보호조치를 준비했다.
과도기를 지나 어느 정도 정착된 듯 보였지만
14년이 지난 지금도
금융, 병원, 민간기업을 가리지 않고
개인정보 유출 사고는 계속 발생하고 있다.
왜일까...
정보 유출 사고는 크게 세 가지로 구분해 볼 수 있다.
첫째, 고의로 인한 유출.
내부 직원이나 퇴사자가 의도적으로 정보를 빼내는 경우다.
이번 쿠팡 사례 역시
퇴사한 직원이 내부 시스템에 접근해
정보를 유출한 사건으로 알려졌다.
접근권한 관리라는
관리적 보안의 허점이 원인이었다.
둘째, 과실로 인한 유출.
USB 분실, 서류 방치, 정리되지 않은 책상에서
의도치 않게 정보가 흘러나가는 경우다.
셋째, 외부 해킹.
서버 해킹뿐 아니라
랜섬웨어, 피싱, 스미싱 같은
사회공학적 공격도 여기에 포함된다.
사실 이 세 가지만 제대로 관리해도
대부분의 유출 사고는 막을 수 있다.
그렇다면 왜 쉽지 않을까.
수년간 개인정보 보호 교육을 하며
현장에서 가장 많이 들은 말은 이것이었다.
“보안 때문에 일이 안 됩니다.”
“매출이 중요한데 너무 번거로워요.”
보안은 늘 ‘불편함’으로 먼저 인식된다.
하지만 흥미로운 변화가 있었다.
교육을 반복하고
사고 사례와 실제 페널티를 공유하다 보니
조금씩 습관이 되기 시작했다.
몇 년이 지나자
업무와 보안은 함께라는 인식이 확산되고
습관화, 생활화되면서
불편함은 그때부터 자연스럽게 줄어들었다.
가장 많이 받았던 질문은 이것이다.
“이렇게 하면 정말 안전한가요?”
“그래도 뚫리면 책임지실 건가요?”
나는 그럴 때마다 이렇게 설명했다.
독감 예방접종을 맞는다고
절대 독감에 걸리지 않는 것은 아니다.
몸이 약하고 생활 습관이 엉망이면
예방접종도 제 역할을 하지 못한다.
그렇게 자기 관리와 예방을 병행해야
질병에 걸리더라도
면역력을 기반으로 고생 없이 무탈하게
이겨낼 수 있는 것이다.
보안도 마찬가지다.
관리적·기술적·물리적 조치만으로는 부족하다.
사업장 환경 자체가 건강해야 한다.
업무용 PC는 최신 상태로 유지되고 있는지,
서버와 시스템은 주기적으로 점검되는지,
책상 위와 업무 동선은 정돈되어 있는지.
이런 기본이 갖춰지고
정보관리에 대한 인식이 생활화되었을 때
보안이라는 예방접종이 효과를 낸다.
그렇게 관리된 사업장은
보안 사고가 터지더라도
빠르고 안전하게 대응할 수 있는 것이다.
이 과정이 잘 작동하면
조직 전체에 일종의 ‘집단면역’이 생긴다.
그리고 사업장 대표가
정보자산의 중대성을 인식하고
임직원들과 함께 지키겠다는 굳은 의지와
마인드가 함께 한다면,
그때부터 보안은 비용이 아니라
신뢰를 지키는 기반이 된다.
보안을
이익과 무관한 비용으로만 여긴다면
그 사업장은 서서히 병들 수밖에 없다.
그리고 미래는 결코 밝지 않다.
아침 식탁에서 본 쿠팡 뉴스는
그래서 남의 일이 아니었다.
보안은 거창한 기술이 아니라
매일의 습관에서 시작된다.
그리고 그것을 안전하게 지켜야 한다는 인식이
타인의 정보를 활용하는 서비스 업체의 기본 도리이다.
지금 이 순간에도
우리가 다루는 정보 하나하나에서 말이다.
명심해야 한다.
보안은 시스템보다
먼저 사람의 인식에서 시작된다는 것을.
개인정보 보호를 위해, 지금 당장 할 수 있는 것
접근권한을 최소화하고 정기적으로 점검하기
업무용 PC·서버 최신 업데이트 유지하기
개인정보 출력·보관·파기 절차를 명확히 하기
직원 교육을 ‘한 번’이 아니라 ‘습관’으로 만들기
보안을 비용이 아닌 생존 전략으로 인식하기
- 보안쟁이 김봉석 -