이메일 암호화 기법 #07

제2장 해킹과 암호화에 대한 이해

보안에서 암호화는 만능인가?

어느 날 친구 둘이 등산을 갔다가 큰곰을 만났다. 한 친구는 등산화 끈을 바짝 조여 매면서 도망칠 준비를 하고 있었다. 이때 다른 한 친구가 “ 야! 곰이 얼마나 빠른데, 자네 도망가 봤자 아무 소용없어! “라고 체념한 듯 말했다. 등산화 끈을 조여 매던 친구가 “그게 아닐세, 난 자네한테만 이기면 된다네!” 라고 말하며 쏜살같이 도망을 쳤다.

개인정보를 암호화하여 보관하는 것은 개인정보보호법에서 의무화한 보안의 기본일 뿐이다.

곰을 만난 등산객이야기에서 보듯이 조금 빨리 도망칠 수 있는 준비를 미리 해두자는 것이 보안이다. 큰 사회문제가 문제가 된 바 있는 고객정보 유출 해킹 사례에서 내부정보를 유출해간 범인은 여러 기관의 고객정보를 훔쳐갔으나 암호화가 되어있는 기관의 고객정보는 팔지 못하고 삭제해 버렸다고 한다. 

보안의 기본을 지켜 암호화된 고객정보는 사용하지 못한 것이다. 암호화된 고객정보를 전문화된 해킹으로 복호화 하는 무모한 시도를 하기 보다는 쉽게 해킹할 수 있는 또 다른 허술한 곳을 노리는 것이 훨씬 쉽기 때문일 것이다. 

고도의 기술을 가진 전문해커들에 의한 해킹피해를 완벽하게 막기 위한 만능 보안제품은 세상에 존재하지 않는다. 다만 손쉽게 해킹할 수 있는 취약경로를 차단할 수 있는 다양한 관점의 보안제품들을 도입해 해킹유출에 대비하고, 내부자에 의한 정보유출을 차단할 강력한 보안절차를 수립하여 철저하게 지키는 것이 최상의 대안이라 할 수 있다.

기존의 업무절차나 업무 프로그램을 조금도 수정하지 않고 보안수준을 높일 수 있는 만능 해결책은 없다. 그래서 모두 '보안은 불편'이라 말한다. 하지만 반드시 지켜야 할 불편이라는 것이 수많은 고객정보 유출사건에서 우리가 얻을 수 있는 최고의 교훈이다.

기본에 충실하는 것은 아무리 강조해도 지나치지 않다. 그 어떤 업무, 그 어떤 비즈니스, 인생을 통틀어 기본에 충실하지 않는 것이 성공하는 경우는 없다. 보안의 기본은 매우 쉽지만 조금 불편한 것이다. 절차를 거쳐야 하는 것이 불편하다. 과정을 밟아야 하는 것이 거추장스럽다. 하지만 보안의 기본 과정과 절차 중 최초에 해당하는 암호화를 만능이 아니라고 생각해야 그 다음 보안절차들이 지켜질 것이다.

그래서 필자는 보안의 기본은 철저한 보안의식이며 암호화는 보안의 시작이라는 점을 강조한다.