[넋두리 5] 3. 손가락 끝이 아닌 달을 보라

사고에서 얻어야 할 교훈

"우물쭈물하다가 내 이럴 줄 알았지!"라는 이미 타개하신 한 해외 유명 희극인의 말씀처럼 "보안을 이리 홀대하다가 내 이럴 줄 알았지!"라는 말이 유행하는 요즘이다.

국내 최고 통신사 해킹사고에서 시작된 침해사고의 여파가 연이어서 터져 나온 대형 콜센터 전문업체의 임직원 및 가족정보 유출사고, 보험회사들의 고객 정보유출, 대형 공공기관의 정보유출 사고로 줄줄이 이어지고 있다. 그것도 흡사 마치 기다렸다는 듯이 하나씩 공개되는 모양새여서 더 무섭다. 아직 남은 것이 있을 것 같아서 그렇고 언제 끝날지 예측하기 어려워서 더욱 그렇다.

국내외 정치와 경영환경이 안 좋아지자 마치 기다렸다는 듯이 보안조직을 축소하고 정보보호 책임자들을 해고하는 기업들을 바라보면서 보안전문가 사이에서는 "이러다 또 사고 한번 큰 게 터져야 정신 차리지!"라고 농담반 진담반으로 얘기했던 것도 사실이다. 그래도 그 말이 실제로 벌어지니, 그것도 꽤 크게 벌어지게 되니, 혹 말이 씨가 된 게 아닌가 싶어 괜스레 미안하고 죄스러운 마음도 조금은 드는 요즘이다.

보안에 대한 무관심과 무지를 비웃기라도 하듯 대기업들에서 제법 굵직한 침해사고들이 연이어 발생하자 대부분의 국민들은 놀람과 당혹감 그리고 분노를 표출하고 있다. 정작 잠재적 피해의 대상자는 국민들임에도 불구하고 기업들로부터 제대로 된 사과와 제대로 된 피해보상을 약속받지 못하고 있기 때문이다. 솔직히 기업들에게 사고내용을 솔직하게 알려주는 정직한 모습과 사고로 인한 피해를 올곧이 책임지는 든든한 모습을 조금이나마 기대하고 있었으나 역시 아직은 무리인 듯하다.

보안전문가로서 각종 미디어를 통해 재생산되고 확대생산되고 부풀려지는 침해사고들과 관련된 내용들을 보면서 가장 우려되는 것이 있다. 너무 유출이라는 결과에 침착된 나머지 유출이 발생할 수 있었던 과정에 대한 검토와 분석을 등한시하는 것이 아닌가 하는 마음이다.

최근에 발생하는 정보유출 침해사고들의 특징은 2가지로 요약할 수 있다.

첫째, 이미 널리 알려진 뻔한 공격기법을 사용했다는 것이다. 이미 알려진 인증정보 및 내부자 정보를 활용한 사회공학적 기법을 통해 내부 중요서버까지의 침투를 위한 공격경로(이를 전문용어로 '공격벡터'라고 한다)를 확보했다는 특징을 가지고 있다.

둘째, 현재 사용되고 있는 기존의 보안제품들로는 막기 어려운 기술이 사용되고 있다는 것이다. 각종 미디어들에서는 사고를 당한 기업들이 보안에 대한 투자를 줄였다느니 무슨 무슨 보안제품을 도입하지 않았다는 등의 내용들이 흘러나오고 있다.

물론 보안투자를 줄인 것을 비난할 수는 있다. 그러나 사고대상 기업들 중 일부는 국내 최고의 대기업들이다. 즉, 보안제품을 도입하지 않아서 침해사고가 발생한 것이 아니라는 것에 주목할 필요가 있다. 침해사고 발생의 원인을 보안제품으로만 한정해서 찾으면 안 된다는 의미이기도 하다.

침해에 사용되고 있는 기술들은 이번 사고의 대상이 된 기업들뿐 아니라 다른 기업들에게도 사용될 수 있는 공개된 기술들이다. 즉, 지금 저 밖의 어느 기업은 같은 기술에 의해 침해되었거나 침해되고 있거나 침해될 예정인 것이다.

따라서 제2, 제3의 희생을 막기 위해서는 이미 벌어진 결과에 대한 처리와 함께 어떻게 침해가 이루어질 수 있었는지에 대한 과정을 고민하고 추적하는 것이 필요하다. 그래야만 동일한 과정을 통해 일어나게 될 추가 피해를 예방하기 위한 대책 마련에 한 발을 내디딜 수 있다.

큰 재산인 소를 잃었으니 다른 소를 잃지 않기 위해 외양간을 고쳐야 하는 것은 너무도 당연한 일이다. 이미 잃은 소에만 집착해 슬퍼만 해서야 되겠는가.

최소한 보안전문가 또는 기업의 보안을 책임지는 사람이라면 연이어 발생하고 있는 이번 침해사고들 속에서 무엇을 얻으려고 노력해야 하는지는 명확하다. 다른 사람들이 모두 손가락 끝을 보고 있어도 그들은 달을 봐야만 한다. 현실을 직시하고 앞으로의 미래에 발생가능한 결과를 예측해야 한다. 그래야 진정한 보안전문가라고 할 수 있지 않겠는가.