정보보안 철학
최근 개인정보, 영업비밀, 산업기술 등의 보안이 중요해지면서 정보보안이 강조되고 있는 추세입니다. 사람들은 ‘철통보안’이라는 말을 사용하면서 보안성을 높이는 것이 정보보안의 전부라고 생각하는 것 같습니다.
정보보안의 철학을 이야기하기 전에‘보안’이라는 개념에 대해 근본적으로 생각해 볼 필요가 있습니다. 예전에 시골에서는 마당 문을 열어놓고 살았습니다. 지킬 만한 것이 없을 정도로 가난했기 때문일 수도 있지만, 이웃에 대한‘신뢰’가 있었기 때문일 것입니다. 누군가가 철통보안을 내세우며 마당 대문에 자물쇠를 여러 개를 채운다면, 오히려 마을 사람들이 이상한 시선으로 쳐다볼 것입니다.
어느 날 마을에 도둑이 들어 사람들의 물건이 도둑맞았다고 가정해봅시다. 처음에 사람들은 외부에서 도둑이 왔다고 생각하겠지만, 절도 피해가 계속된다면 사람들은 내부인들 중에 범인이 있다고 생각할 것입니다. 즉 사회 구성원들에 대한 신뢰가 깨지기 시작한 것이죠.
가족, 회사, 마을, 도시, 국가 등 여러 층위의 사회에서 대내적, 대외적으로 신뢰는 중요한 역할을 합니다. 보안이라는 것은 신뢰가 깨진 사회에서 필요한 개념입니다. 위의 예에서 다른 마을 사람이 우리 마을에 침입해서 물건을 훔쳐갔다면 마을과 마을 사이의 신뢰가 깨졌을 것입니다(대외적). 시간이 흘러 마을 사람들이 서로를 의심하기 시작했다면 사회 구성원들 간의 신뢰가 깨진 경우가 될 것입니다(대내적). 마을을 지킬 보안관이나 경찰관이 필요하게 되겠죠. 바로 보안이 필요하게 되는 것입니다. 이제 마을 사람들은 집을 나설 때에 자물쇠를 채워야 하고, 집으로 들어갈 때에는 자물쇠를 풀어야 합니다. 서로를 의심하면서 마음이 불안해진 것도 모자라 불편함까지 감수해야 합니다.
보안이 강조되는 사회는 삭막합니다. 신뢰가 사라진 사회이기 때문입니다. 하지만 사회가 복잡해지고 전문화되면서 보안이 강조되는 사회의 분위기는 되돌리기는 어렵습니다. 보안이 강조되는 사회에서 감수해야 할 것은 삭막함 뿐만이 아닙니다. 가장 현실적으로 문제가 되는 부분은 번거로움입니다. 오늘 이야기하고 싶은 부분은 사실 이 부분입니다.
정보보안의 3요소(CIA)는 지난 글에서 포스팅 한 바와 같이 기밀성(C), 무결성(I), 가용성(A)이 있습니다. 편의상 기밀성과 무결성을 보안성이라고 한다면, 정보보안은 보안성과 가용성의 양대 축에 의해 움직인다고 볼 수 있습니다.
보안성을 강화하는 것은 그다지 어렵지 않습니다. 아파트 현관에 특수키와 번호키(도어락)를 설치하고 그것도 모자라 세콤까지 설치합니다. 발코니에는 특수강화 샷시까지 설치하면 안정감을 가지고 출근할 수 있을 것입니다. 하지만 퇴근을 하고 집으로 들어갈 때는 상황이 달라집니다. 먼저 세콤 보안카드로 보안시스템을 해제합니다. 다음으로 특수키로 1차적으로 잠금장치를 열고 비밀번호를 입력하여 도어락을 해제해야 집으로 들어갈 수 있습니다. 혹시나 실수로 보안카드나 특수키를 분실하기라도 하면 몇 시간 뒤에나 집안에 들어갈 수 있습니다. 반면에 번호키(도어락)만 설치한 사람은 비밀번호를 잊어버리지 않았다면 바로 집안으로 들어갈 수 있습니다.
위 이야기에서 알 수 있듯이 보안성과 가용성의 충돌 문제가 발생합니다. 다시 말해 보안을 강조하면 사람들이 불편해집니다. 요즘 인터넷뱅킹 한번 하려고 하면 많이들 불편하실 겁니다. 먼저 로그인한 후 계좌비밀번호를 입력합니다. ARS를 통해 개인인증을 받아 정상거래임을 확인하고 OTP카드 임시비밀번호를 입력합니다. 마지막으로 공인인증서로 마무리 인증을 합니다. 중간에 한번이라도 잘못된 정보를 입력하면 처음부터 다시 시작해야 합니다. 스마트뱅킹 중에 전화라도 한번 오면 이체시간은 더 길어집니다. 결국 보안이 강조되면 가용성이 많이 떨어지는 문제가 발생하는 것입니다. 최근 보안성과 가용성을 동시에 해결하기 위한 시스템이 바로 카카오페이, 페이나우, 삼성페이, 애플페이와 같은 간편 결제시스템인데, 기업들이 보안성을 유지하면서 가용성을 높이기 위한 핀테크 시스템을 개발하고 있는 것입니다.
기업에서는 보안을 강조하면 민첩한 경영에 차질이 발생할 수 있습니다. 요즘과 같이 빠르게 변하는 현실에 능동적으로 대처하기 어렵게 되겠죠. 인증을 받아야 하는 절차가 많아지면서 기업 조직 내에서 의사소통이 원활하지 않게 되어 회사가 도태될 위험에 처할 수도 있습니다.
또한 보안수준을 높이려면 기업의 비용이 증가합니다. 이 경우 기업의 비용 지출을 위한 일반적인 원리인 비용-편익 분석을 해야 합니다. 회사가 지켜야 할 정보(영업비밀, 산업기술)의 가치와 보안수준을 높이기 위한 비용과의 이익형량의 과정이 필요하겠죠. 혼자 사는 집에서 물건이라고는 이불과 옷 몇 가지만 있을 뿐인데, 보안을 위해 한 달에 몇 십만 원 씩 지출한다는 것은 우스꽝스럽겠죠.
결국 보안이라는 것은 보안성과 가용성의 조화, 지켜야 할 정보의 가치와 보안비용의 수위조절 등 여러 가지 요소들의 종합적 고려에서 인식되어야 할 개념인 것입니다.
무턱대고 철통보안만 외치는 보안전문가는 보안에 대한 인식이 부족한 초보라고 할 수 있겠죠.
법무법인 조율 정동근 변호사
지식재산권법 전문변호사 (대한변호사협회)
부동산 전문변호사 (대한변호사협회)
