CEO의 보안 인식이 조직의 보안수준이다

보안 이야기 2009.10.23 08:23

영화나 소설을 보면 정보나 물건을 탈취하기 위해서 잠입을 하는 장면이 종종 등장한다. 그런데, 당연한 얘기지만 정문을 공략하는 경우는 거의 없고, 감시의 사각 지대인 빌딩 공간의 허점을 활용하거나 내부인을 매수하는 방법을 구사한다.

 

사이버 공간에서도 마찬가지다. 해커는 구태여 철통 같은 네트워크 정면을 뚫지 않는다. 그 조직의 가장 취약한 홈페이지나 PC를 점거하는 우회 침투 공격을 취한다. 최근에는 특정 웹 사이트에 들어가기만 해도 악성코드에 감염될 수 있다. 온갖 화려한 웹과 소프트웨어 기술이 사용되는 대가로 우리 PC는 더 많은 위험에 노출되어 있다고 할 수 있다.

기업내 PC의 위협 환경


입체적으로 취약점을 파고드는 사이버 공격

이제 바이러스로 대표되던 악성코드는 완전히 다른 모습으로 변했다. 과거에 자기 과시를 위해 불특정 다수에게 보내던 바이러스는 낭만적으로 느껴질 정도다. 오늘날 악성코드는 사이버 범죄를 위해 치밀하게 설계되며 특정 목적을 염두에 두고 해커가 직접 제작한다.

 

온 나라를 떠들썩하게 했던 7.7 디도스(DDoS) 대란만 해도 해커가 일반인의 PC를 자신들의 무기로 탈취한 행위다. 마치 아무 죄 없는 민항기가 탈취되어 세계무역센터 빌딩을 폭격한 9. 11 테러처럼 7.7 디도스 공격도 해커에 의해 조종된 PC4일 간 사이버 테러를 감행했다.

 

그런데 한 가지 주목할 것은 해커가 IT 인프라를 공격하는 데 필요한 정보를 IT 인프라를 통하지 않고도 얻을 수 있다는 사실이다. 이를테면, 조직의 내부 정보를 통해 보안에 취약할 것 같은 특정 PC와 사용자를 미리 파악하는 것이다. 그렇다면 이런 고급 정보는 어디에서 얻는가? 내부 정보는 대부분 공식적인 통로가 아니라 내부자에 의해 유출된다. 가령 어느 임원이 무심코 친구나 선후배에게 알려준 회사의 조직도가 바로 사이버 공격의 시발점이 될 수 있는 것이다. 정보 보안이 IT 부서만의 문제가 아니라는 점을 시사하는 대목이다.

 

예외가 많은 정책은 실효성이 떨어져

그런가 하면 조직에서 정보보안 정책이 예외 없이 적용되느냐도 중요하다.어느 대기업에 정문을 통해 들어가려면 무척 까다로웠는데 고위급 임원과 같은 차를 타고 들어가니 무사 통과하더라라는 경험담을 들은 적이 있다. 이는 인정상 감히 보안 정책을 들이댈 수 없는 조직 문화 속에서 드러난 단상이다. 아무리 보안 정책을 잘 만들었더라도 예외가 많이 발생하면 그 정책의 실효성은 떨어진다.

말콤 글래드웰의 저서 아웃라이어에는 괌에서 사고가 난 국내 항공사의 이야기가 나온다. 2명의 조종사를 배치하는 것은 서로를 견제해서 바른 결정을 하게 하려는 취지다. 그러나, 인간적으로 냉정하게 이견을 달 수 없는 문화적 환경에서는 그 취지대로 실행되기 어려우며, 괌 사고의 원인 중 하나도 그것이었다고 이 책은 지적한다.


정보 유출은 끊임없는 숙제다
. IT 기술을 통한 정보의 활발한 소통은 조직의 경쟁력을 위해서 당연하다. 그러나, 보안에 관해서는 투명하게 소통이 안 되는 경향이 있다. 추상과 같은 규율과 명령이 과도

하면 문제를 덮고 은폐하게 된다. 따라서, 보안이 중요하다는 인식을 조직의 문화 속에 자리잡게 하는 노력이 중요하다. 각자 노출된 문제점을 솔직하게 논의하고 예외없이 준행할 수 있어야 실용성이 높은 대책이라고 할 수 있다.

그런 점에서 보안의 실행력을 좌우하는 것은 최고 책임자의 리더십이다. 윌리엄 파렛은 위기의 CEO’에서 “CEO와의 대화 속에서 보안이라는 단어가 반복되는 것은 놀라운 일이 아니다. 기업의 총체적인 리스크 관리와 정보 보안은 CEO의 몫이다라고 설명한다 


회사의 자원을 종합적으로 동원하고 관리하는 권한은
CEO에게 있기 때문에
보안은 그 조직의 최고 책임자가 주도해 종합적으로 제시하고 관리해야 한다. 최고 책임자의 보안 인식은 그 조직의 보안 수준에 막대한 영향을 준다.

 

사이버 공격이 입체적으로 전개되는 상황에서 정보 보안은 IT 부서만의 업무도 아니며, IT만의 문제도 아니다. 조직 문화, 임직원의 인식, 조직 외부와의 정보 채널, 업무의 효율성과 관련이 있다. 정보가 조직의 자원과 융합되는 총체적인 관점으로 정보 보안을 바라보는 인식이 절실하다.

(10월 20일 중앙일보 시론)
신고


티스토리 툴바