[화두 이야기] 정보보안 분야의 화두(13)

보안 극장(Security Theater)

"실제 보안에 투자하지는 않는다. 하지만 대외적으로는 보안에 투자한 것처럼 꾸민다"

정보보안 업계에서 활동하는 많은 전문가들 중 브루스 슈나이어(Bruce Schneier, 1963년 1월 15일~)라는 미국의 암호학자가 있다. 보안과 암호학에 대한 여러 책을 집필하기도 한 그가 발표한 내용 중 가장 대외적으로 많이 알려진 표현이 바로 '보안 극장(Security Theater)'이다.

보안극장이라는 개념이 내포하고 있는 의미는 크게 두 가지로 요약할 수 있다.

첫째, 실제 보안투자는 일어나지 않으면서 투자규모만 커 보이는 착시 현상

둘째, 실제 보안은 개선하지 않으면서, 보안이 강화된 것처럼 보이게 하는 조치들

이것은 현재 우리나라 기업들에서 수시로 발생하고 있는 많은 IT침해사고의 원인과 이유를 함축적이면서 극명하게 표현하고 있는 중요한 화두이면서 보안분야 전문가들이 반드시 명심해야 하는 용어이기도 하다.

기업과 기관들의 경우 적절한 보안조직을 운영하기 위해 투자하고 있으며, 적지 않은 예산을 보안에 투자해 보안을 강화하고 있다고 홍보하기에 여념이 없다. 실제 외부에 발표하는 자료에도 구체적인 규모와 금액이 그렇게 기재되어 있다. 하지만 적어도 보안분야에 근무하고 있다면 이렇게 겉으로 보이는 투자규모와 조직규모에 현혹되면 안 된다. 실제와 상관없는 허장성세에 불과할 가능성이 상당히 높기 때문이다.

그 대표적인 사례들로 정보보호공시 내용에 따른 정보보호예산규모 그리고 유출침해사고 발생 시 기업들이 발표하는 보안투자규모를 들 수 있다.

정보보호공시에는 기업의 IT예산 투자규모와 그에 따른 정보보호예산 투자규모를 기재하도록 요구하고 있다. 그런데 기업의 매출규모와 IT투자규모에 비해 정보보호예산이 상대적으로 빈약한 경우 이를 감추기 위해 정보보호예산을 부풀리기 위한 작업이 빈번하게 이루어지는 것이 현실이다. IT예산의 일부를 보안예산으로 둔갑시키거나 경비강화를 위한 CCTV 도입 예산을 뜬금없이 보안예산으로 둔갑시키는 식이다.

말 그대로 눈 가리고 아웅 하는 것에 지나지 않는다. 그러나 이를 검증하거나 확인하는 절차가 없기 때문에 문제없이 보안예산으로 둔갑하는 것이 가능하다.

개인정보나 기밀정보에 대한 유출침해사고가 발생하면 기업들은 예외 없이 보안투자 규모의 확대를 발표한다. 이전과는 비교가 안 되는 큰 금액의 보안투자를 통해 기업의 보안을 강화하겠다는 식이다. 정말로 그 정도 규모의 추가투자가 보안강화를 위해 이루어진다면 보안조직이 이전에는 감히 시도하지 못했던 보안체계의 변화도 어쩌면 가능할 것이다.

하지만 관심을 가지고 꼼꼼하게 뚜껑을 열어보면 상황은 사뭇 다른 경우가 부지기수로 많다. 그 엄청났던 추가 투자금액 중 상당수는 알고 보면 본래 계획되어 있던 정보보안예산에 불과하고, 나머지도 IT예산 투자항목을 보안투자로 포장한 경우가 많다. 실제로 없던 예산을 만들어주는 추가 투자가 아닌 보여주기식 허장성세인 셈이다.

그래서 보안극장이라는 용어가 등장하는 지경에 이르고 말았던 것이다. 한 가지 주목할 점은 이 용어가 해외전문가에 의해 발표된 것이라는 점이다. 지금 우리나라의 상황을 정확히 빗대어 표현한 듯한데 사실은 해외에서도 보안전문가들이 오래전부터 같은 상황을 경험하고 있음을 뜻하기 때문이다.

'보안 극장(Security Theater)'

보안과 관련되어 기업이나 기관들이 발표하는 내용들이 얼마나 부풀려지고 가공되어 있으며 신뢰할 수 없는지를 우회적으로 표현하는 풍자적 용어, 그것이 바로 보안극장이다.