지난 주말 오전, 아이들을 데리고 차를 운전하며 라디오를 틀자 시사프로그램이 들렸다. 시사프로그램은 보안관련 학계 전문가가 정부, 기업, 개인의 측면에서 보안에 대해 앵커와 15분간 이야기를 나누는 내용이었다. 국내에서 벌어진 큰 사회적 이슈라도 1주일이면 잊혀지는데 3주가 지난 지금도 논의가 진행되고 있다는 것은, 지난 3월 20일 사이버 해킹 사건이 얼마나 큰 충격이었는지 다시 한번 생각하게 되었다.
이번 사건은 이제 일상이 된 사이버 세상 속에서 벌어지는 위협이 물리적 위협처럼 또 다른 현실적 위협으로 발전한 사례이다. 또한, 사이버 보안 문제가 개인 목적의 해커뿐만 아니라 국가 간에서 벌어질 수 있는 정치적 수단으로 발전할 수 있으며, 이를 적극적으로 대비해야 하는 계기로 삼아야 한다.
이번 사건에 대해 많은 관련 업계와 학계 전문가들이 의미와 영향, 대책 등에 대해 의견을 나누고 있다. 그리고 정부는 청와대 중심의 국가 사이버안전 관리체계 수립 및 법령 제정 등을 검토 중이다. 금융권은 망분리를 검토하고 있다는 소식도 들린다. 당연히 필요한 절차고 검토해야 할 일이다. 그러나 매번 사건이 발생한 후 대안을 모색하고 강화하는 일의 반복이다. 앞으로 우리는 얼마나 많은 비용을 지불해야 이처럼 반복되는 사고를 막을 수 있을까?
패러다임이 바뀌어야
실질적 대책과 시행이 중요한 시점이다. 더불어 필자는 패러다임의 전환을 병행해야 한다고 생각한다. 패러다임의 사전적 정의는 “한 시대 사람들의 견해나 사고를 근본적으로 규정하고 있는 인식의 체계, 또는 다양한 사물에 대한 이론적인 틀이나 구조”이다. 지난 1962년, 미국의 과학사가 토마스 쿤(Kuhn, T. S.)이 그의 책 ‘과학 혁명의 구조’에서 언급한 개념이다.
사이버 세상은 물리적, 지리적 한계를 넘어선 열린 공간이다. 개인에게는 의견을 나누는 소통의 장이며, 기업에게는 기업과 기업, 기업과 소비자를 연결하는 공간이자 성장을 위한 시장이다. 더 이상 사이버공간은 현실과 별도로 분리된 공간이 아니다. 기업의 비즈니스를 위한 시장이자 사회적 현상이 동일하게 나타나는 세상이다. 사이버 세상을 바라보는 개인과 기업의 패러다임 전환이 없다면 보안 문제를 해결하기 위한 근본적 변화를 만들기 어려울 것이다.
필자는 3가지 측면에서 기업의 최고경영진의 인식 전환이 필요하다는 점을 강조하고 싶다.
첫 번째는 사이버 보안을 IT관점이 아닌 경영의 관점에서 관리해야 한다. 해킹 사고 때마다 IT 담당자에게 책임과 대책을 요구한다면 근본적인 해결이 어려울 것이다. 기업 내에서 보안 업무를 맡는 것을 대부분의 직원들이 꺼리고 있다. 이는 결과에 대한 책임만을 묻고 보안의 어려움을 이해하지 않는 기업 내 상황을 반영한다. 보안 문제는 더 이상 담당 직원 개인의 책임을 넘어 기업의 생존과 직결한 중요한 경영적 리스크이다. 기업 내 온라인 비즈니스의 규모가 커지면 커질수록 보안에 대한 경영적 판단과 관리의 중요성은 그 이상 확대되어야 한다. 경영진의 인식 전환이 시급히 필요하다.
두 번째는 보안에 대한 법적 기준을 면책을 위한 최선이 아닌 최소한의 기준으로 판단해야 한다. 고객의 데이터를 관리하고 보호해야 하는 최종 책임은 데이터를 축적하고 비즈니스에 활용한 기업에게 있다. 그동안 국내 기업들은 정부의 규정 또는 법적 기준을 면책을 위한 기준으로 판단하였으며, 법원의 판결 역시 그 판단에서 이루어졌다.
그러나 최근 모 포털사의 1심 판결 등에서 나타나듯 법원은 비즈니스를 위해 확보한 고객데이터의 보호에 대한 책임을 포괄적으로 해석하고 있다. 또한, 앞으로 이러한 법적 판단은 더욱 강화될 것으로 예측한다. 기업은 더 이상 해당 규정을 준수했다는 것을 근거로 책임을 면책하려 하기보다 고객과 기업의 핵심 데이터 보안에 대한 최종 책임자로서 무한 책임을 가져야 한다. 이처럼 기업 내 보안 인식을 바꾸고 나서 접근해야 한다.
세 번째는 보안 비용을 보안 구축을 위한 실질 비용이 아니라, 잠재적 손실 비용의 관점으로 접근해야 한다. 경영진은 지속적으로 내부 비용의 효율화와 절감을 강조한다. IT 부서에 전달되는 비용 절감의 압박이 매년 증가하고 있는 것도 사실이다. 그러나 최근 보안 사고에 따른 국내외 법적 판결을 보면 보안 문제는 기업의 존폐와 직결된 천문학적 손실을 가져온다. 잠재적 리스크가 점차 현실화되고 있음을 알 수 있다.
미국은 해킹에 따른 손해 보험이 매년 30%이상 성장하고 있다. 2012년에 이르러, 이 규모는 1조원 이상으로 성장했다. 물론, 보안 구축에 무작정 비용을 지불하는 것은 옳지 않다. 다만, 잠재적 손실 비용 관점에서 효율적이고 안정된 구축을 위한 판단의 전환이 필요하다.
필자가 기술한 3가지 측면의 패러다임 전환은 인터넷과 모바일을 통한 사이버 공간이 더 이상 현실적 삶과 분리된 가상의 공간이 아니고, 기업의 생존이 연결된 공간으로 인식해야 하는 전환적 사고가 필요함을 강조한 것이다.
물리적 현실의 보안을 위해 국가와 기업은 엄청난 비용을 지불하고 있다. 이는 생존의 문제와 직결된 것임으로 정책적 결정에서 우선 순위를 가지고 판단하기 때문이다. 일련의 보안 사건들은 국가와 기업의 의사결정자들에게 사이버공간에 대한 근본적인 패러다임의 전환이 필요함을 요구하고 있다.
글 / 한국아이비엠 유형림(yoohyunglim@gmail.com) 편집 / IT동아 권명관(tornadosn@itdonga.com) IT칼럼니스트 유형림 한국아이비엠에서 서비스 및 하드웨어, 솔루션업체 협업 등의 분야를 담당하였으며 모바일 및 스마트 에너지 등의 신규 사업 기획 및 실행을 이끌었다. 최근 경제적 공유 및 고령화 사회를 위한 모바일의 활용에 대해 전문가들과 교류하고 있다.
* 본 기사의 내용은 IT동아 편집 방향과 다를 수 있습니다.
※ 포털 내 배포되는 기사는 사진과 기사 내용이 맞지 않을 수 있으며, 온전한 기사는 IT동아 사이트에서 보실 수 있습니다.
댓글 0