[화두 이야기] 정보보안 분야의 화두(15)

보안의 물숨

물숨이라는 용어가 있다. 하루 종일 바닷속에서 물질을 하며 각종 해산물을 채취해 팔아 생계를 꾸려가는 해녀들. 수 분씩 숨을 참고 물질을 하는 그야말로 물질에는 최고의 전문가들이다. 그 해녀들이 깊은 바닷속에서 채집을 하다 이제 숨이 턱에 차려고 하는 그 순간. 지치고 지쳐 해녀가 딱 숨이 차서 나가야만 하는 그 순간에 커다란 문어나 전복 등이 눈에 띄어 욕심을 내 채집을 하다 안타깝게 숨이 멎게 되는 그 순간이 바로 물숨이다. "괜찮겠지 괜찮겠지" 하는 그 한 생각 그 한 욕심이 생사의 간극을 가르게 만드는 비극의 순간이다.

정보보안에도 물숨의 순간이 있다. 바로 "보안의 물숨"

기업이 여러 보안담당자를 뽑고 각종 보안설루션을 도입해 정보보호 관리체계를 구축한 뒤 수년간 침해사고 없이 평온한 상태를 유지하게 되면 바로 이 순간을 맞이하게 될 수 있다. 보안의 물숨의 순간을 말이다.

수년간 큰 침해사고 없이 평안한 시간을 보내온 기업의 최고 경영진은 이렇게 생각하게 된다. "우리 기업의 보안 수준은 이제 충분하군. 사고 없이 안전하니 더 이상 보안담당자를 뽑거나 예산 투자를 하지 않아도 되겠는걸!"이라고 말이다. 흔히들 말하는 방심하는 마음이자 안주하는 마음이자 경계가 느슨해진 마음이다.

이 순간이 기업 보안이 위험한 방향으로 진입하는 시작점이 된다. 최고 경영진의 주의와 관심이 멀어지기 시작하는 시점이면서, 최고 경영진의 관심을 받지 못하는 보안조직의 열의와 의욕이 쇠퇴하기 시작하는 시점이면서, 느슨해지는 기업의 상황을 눈치챈 해커가 본격적으로 기업을 공격하기 위한 관심을 기울이기 시작하는 시점이다. 바로 "보안의 물숨"의 순간.

주의와 관심이 멀어지면 방심하게 되고, 방심하다 보면 위험한 순간을 맞이하게 된다. 잘 유지하고 있던 보안수칙에 슬슬 예외가 하나둘씩 생겨나기 시작하고, 보안투자를 줄이는 바람에 도입하기로 한 제품의 도입이 무기한 연기되고, 보안조직을 통하지 않고 편의라는 핑계로 절차를 임의로 진행하기 시작하는 현업부서들의 작업들이 하나둘 나타나기 시작하는 순간, 바로 그 순간들 말이다.

이 "보안의 물숨"이라는 순간을 맞이하지 않기 위해서는 기업 전체의 노력이 필요하다. 그리고 그 방법은 아주 간단하다. 주의와 관심을 주는 것. 이게 참 쉬워 보이지만 참 어려운 일이다. 특히 최고 경영진이 지속적으로 주의와 관심을 가지도록 유지하는 것은 지난하고도 힘들다. IT를 잘 모르고 관심도 없는 최고 경영진들의 마음을 어찌할 수 있단 말인가!

그런 전차로 많은 기업들이 지금도 계속 이 "보안의 물숨" 순간을 만나고 있고, 그 순간의 결과 중 하나가 계속 발생하고 있는 침해사고들이다.