사이버 조폭의 위협에 직면한 디지털 정보

보안 이야기 2009.05.14 17:14

발단(Trigger) IV-(3): 정보의 디지털화와 정보 보안

오늘날 정보는 디지털화되어 거미줄처럼 연결되어 하나의 거대한 컴퓨터에 들어있다고 해도 과언이 아니다. 이러한 정보는 인터넷과 다양한 미디어를 통해 디지털화된 형태로 소통되고 공유된다. 디지털 정보는 사회의 여론을 주도하기도 하고 새로운 가치를 창조하기도 한다. 그만큼 폭발적인 전파력과 영향력을 지니고 있다.

 

이와 같이 정보의 디지털화는 우리의 생활에 많은 혜택을 줌과 동시에 위험 요소를 내포하고 있다. 한편 이는 우리가 과거에 경험해 보지 못한 위협도 동반한다. 우리는 두 가지 관점에서 위협을 조명해야 한다. 하나는 비즈니스를 구성하는 IT 관점의 위협이고, 또 다른 하나는 우리 생활 속에 스며들어온 문화 속의 위협이다.

전자는 주로 기업과 기관을 대상으로 한 정보 유출
, 해킹, 인프라 공격 등의 의도적 위협이고, 후자는 개인정보보호(privacy), 불법 복제, 유해 정보 등 디지털 시대의 개인들이 개념을 정립하고 컨센서스(consensus)를 이루어가야 하는 덕목과 관련되어 있다. 이번 글에서는 전자에 초점을 맞추고, 다음 호에 후자에 대해 기술하고자 한다.

 

주체할 수 없는 디지털 정보의 활용

 

우선 기업에 있어서 디지털 정보의 영향력은 가히 혁명적이다
. 세계는 평평하다의 저자 토머스 프리드먼은 1980년대에는 보통 사람들이 PC를 사용해서 디지털 형태로 자신의 콘텐츠를 직접 저작(author)해서 프린트한 후에 서류의 형태로 저장하는 형태가 주류를 이루었다. 그 이후 사람들은 PC에 저장된 정보를 표준화된 프로토콜을 사용하는 인터넷을 통해 전송하고 교환할 수 있게 되었다. 이제는 사람이 직접 수행하지 않아도 기계 간에 디지털 정보를 주고받는 워크 플로우(work flow)로 발전했다.”고 업무 속에서 디지털 정보 처리의 진화 과정을 설명하고 있다.

 

우리의 제반 업무는 디지털 정보를 통해 수행된다. 회계 장부, 기술 문서, 인사 정보, 마케팅 자료 등 회사가 보관하고 활용하는 정보는 디지털 형태로 저장된다. 어떤 개인에 대한 정보, 예를 들어, 출생증명, 호적, 예방 접종 기록, 병적 업무, 이력서 등의 기록들은 여러 기관과 기업에서 디지털로 저장되어서 배포되고 교환된다. 심지어는 태어나기 전의 초음파 기록도 디지털로 저장될 수 있다.

 

이렇게 모두가 정보를 생성하고 활용하는 데 혈안이 되어 있다. 필자가 15년 전 미국 회사에 근무할 당시 방대한 이메일 내용을 프린트해서 법원에 제출하는 것을 보고, 과연 저것이 법적 효력이 있을까 생각한 적이 있다. 그런데, 실제로 법적으로 전자 메일 기록은 증거 자료로 가치가 있고, 기업의 내부 감사에도 많이 활용되고 있어서, 최근에는 전자메일 아카이브(email archive) 기술도 각광을 받고 있다. 이렇게 디지털 정보의 처리가 당연시되면서, 정보의 남용과 의도적 위협이 증대하고 있다. 그렇다면 이런 위협의 주요 양상은 어떠하고 그에 대응하는 보안은 어떤 관점에서 보아야 하는가?

 

돈과 연결되는 정보 탈취 행위와 사이버 조폭

 

첫째, 정보 탈취를 위한 위협이다.


해킹, 트로이 목마, 피싱 등 수많은 종류의 위협이 급증하고 있다. 게다가 정보가 돈이 되면서 공격은 더욱 집요하고 조직화되고 있다. 심지어 해커들과 바이러스 제작자들은 글로벌한 기업이 되었다. 1980~90년 대에 미국 정부가 마약과의 전쟁을 선포할 정도로 마약 판매업자들의 조직이 글로벌화된 바 있다.

이제 그런 전면 전쟁이 해커들과 벌어진다고 예상할 정도로
치명적인 위협으로 부상하고 있다. 게다가 과거 마약이나 폭력을 주 업무로 삼던 폭력 조직(syndicate)이 해커들과 만나는 수상한 조짐이 일부 국가에서 나타나고 있다. 실제 국내에서도 사이버 조폭이 기업을 협박해 돈을 갈취하는 일도 벌어진 바 있다. 이렇게 현실에서의 폭력조직이 사이버 상의 폭력조직인 해커들과 만난다면 그로 인한 폐해와 범죄 규모는 상상을 초월할 것이다

IT 인프라를 보호하기 위한 대부분의 정보 보안 제품은 여기에 초점을 맞추고 있다. 바이러스 백신, 방화벽, 침입 탐지, DDoS 방지, 웹 방화벽 등 수많은 개념의 제품이 출현했다. 각각의 제품은 그 나름대로 자신에게 주어진 역할을 충실하게 수행한다. 그러나, 해커들은 항상 그 틈새를 비집고 들어오고 있고, 관리 미숙과 시스템 취약점을 파악해서 침입한다. 때문에 제품 중심에서 위협 중심으로 관점을 바꾸지 않으면 이런 공격에 종합적으로 대처할 수가 없는 상황이다.

 

둘째, 디지털 정보는 저장과 활용이 쉬운 만큼 탈취당하거나 노출되기도 쉽다.


하나를 얻으면 하나를 잃는다는일득일실이라는 말이 딱 맞아떨어지는 상황이다. 정보가 아날로그 형태였더라도 이렇게 공격이 효과적이었을까? 디지털 정보의 복제와 탈취라는 문제를 가지고 법적으로 논란을 벌인 적이 있었다. 어떤 물건을 훔쳤다면 당연히 그 물건은 원래 소유하고 있던 사람에게서 훔친 사람에게 옮겨간다. 그러나, 디지털 정보는 소유하고 있던 사람에게 여전히 속해 있다. 이것을 기존의 절도라는 위법 행위로 해석할 수가 없었던 것이다. 이제는 정보통신망법과 개인정보보호법에 관련 체계가 마련되어 있지만, 이는 우리가 수천 년 동안 유지해 온 습관과 법 체계의 인식 전환을 필요로 했다.

 

더 나아가 기술적인 개념을 확고히 가지지 않으면 도태되는 환경이 되었다. 작년에 온 나라를 떠들썩하게 했던 우리 나라 정부 고위직의 스캔들 사건이 있었다. 그런데, 그 증거는 의외로 그 당사자의 PC에서 나왔다. 하드 디스크에 저장된 정보가삭제라는 명령어로 완전히 없어지는 것으로 알았다는 것이 우리 나라 지식인들의 IT에 대한 인식 수준이다. 자신의 전공에 상관없이 기술에 대한 개념을 정확하게 이해하는 것이 이 시대를 살아가는 기본 상식이 되었다.

 

정보의 오너쉽은 누구에게 있는가?

 

셋째, 정보의 오너쉽(ownership) 부재로 인한 관리 문제다.


디지털 정보는 축적될 뿐 소멸되지 않는 특성을 지니고 있다. 용도 폐기된 정보가 데이터베이스에 보관된 상태로, 각 개인 PC에 저장되어 무관심과 부주의 속에 방치되고 있다. 주목해야 할 것은 이 정보들 중에는 소중하고 악용될 수 있는, 소위 돈이 되는 정보가 아주 많다는 것이다.

 

우리는 정보 그 자체에 집중할 필요가 있다. 누가 이 정보를 볼 수 있고 누가 이 정보를 생성부터 소멸까지 관리할지 책임 소재가 분명해야 한다. 그동안 개인 정보의 통합과 검색 시스템을 구축하는 데만 주력해온 결과 정보의 라이프 사이클을 책임질 오너쉽이 실종된 경우가 허다하다. 더욱이 정보를 생성하고 소멸하는 과정, 그리고 소통하는 삶의 방식은 그 구성원들의 인식과 문화적 환경에 따라 다르다. 이런 차이점을 정확히 이해해서 정보 보안의 틀을 짜야 한다.

 

결국 정보 활용을 극대화하면서 생성과 소멸을 책임질 수 있는 오너쉽을 가져야 한다. 그 주체와 범위는 각 기업이나 기관, 개인의 업무 환경과 문화에 따라 다를 수가 있다. 정보 자체의 라이프 사이클이라는 초점을 잃지 말고 중심을 잡는 정책이 절실히 필요하다. 단 우리의 문화와 업무 형태를 고려한 방향이어야 실효성이 있다.

 

정보 자체가 기업 경영에 중요한 요소이다 보니 최근 CIO(Chief Information Officer)에 의한 정보 경영이 강조되고 있다. 보통 정보 시스템 관리자가 CIO로 격상된 경우가 많은데, 이는 IT 측면에서는 아주 바람직하다. 그러나, CIO가 진정한 역할을 하려면 회사의 정보 자체를 분류하고 활용하고 관리할 수 있는 권한과 책임이 주어져야 한다. 그러나, 아직도 회사에서는 CIO의 역할을 정보 시스템과 인프라 관리, 소위 전산실장 정도로 국한해서 바라보는 측면이 없지 않다.

디지털 정보 시대에는 정보가 어떻게 생성, 소멸되고 이 정보가 어떻게 흘러가는가를 총괄적으로 책임지는 진정한정보 경영’, 나아가지식 경영을 실현할 수 있어야 한다. 그래야 보안 대책을 총괄적으로 수립하는 CSO(Chief Security Officer)가 의미가 있다.

다음 호에 계속
신고


티스토리 툴바