월드컵 축구 오심으로 본 정보보안이 투명한 시대의 보루인 이유

IT와 세상 2010.09.14 08:21
개방성과 투명성 그리고 정보보안

올해 월드컵에서는 유난히 오심이 많아 개운치 않은 뒷맛을 남겼다. 오심 자체도 문제였지만 비디오 판독을 거부하는 국제축구연맹(FIFA)의 고집도 한몫했다. 비디오 판독에 들어가는 시간이 경기의 흐름을 끊는다는 것도 일견 설득력이 있어 보인다. 그러나 다른 스포츠에서는 다양한 제동 장치로 운영의 묘를 살리고 있는 것은 익히 알려진 사실이라는 점에서 아쉬움을 남긴다.

2010 월드컵 오심장면(독일:영국)을 포착한 사진 (출처:연합뉴스)


또한 오심이 많아진 게 아니라 오심이 많이 발각되는 것이며, 다량으로 배치된 탁월한 성능의 카메라 덕분이라고 지적하는 사람도 적지 않다. 축구장을 에워싼 수많은 카메라가 다양한 각도에서 선수들의 일거수일투족을 감시하기 때문에 지나치고 말았을 수도 있는 오심을 정확히 심판한다는 것이다.

중계 목적인 카메라가 심판에게는 부담스러울 수밖에 없어 FIFA를 이해 못 할 바는 아니다. 자연 그대로의 인간의 시각이 디지털 기기 속에서 한계를 느끼는 상황이라고나 할까?

이렇듯 우리는 뛰어난 성능의 센서와, 그 센서에서 발생한 정보가 디지털화해 공유되고 기록되는 시대에 살고 있다. 인간의 활동과 업무를 도와주던 정보기술(IT)은 이제 이 세상 모든 사물의 움직임과 생각의 과정을 포착해낼 수 있을 정도로 발전했다.

이렇게 생성된 정보는 구조도 다르고 복잡다단하다. 그렇지만 고급 수학과 지능형 알고리즘 덕택에 일반 사용자가 쉽게 접근할 수 있도록 단순한 형태를 갖추게 됐다. 검색 엔진이나 모바일 상태에서 인간에게 차원이 다른 지능성을 제공하는 스마트폰이 그런 경우다.

관료시대(Bureaucratic Age)에서 시민파워(People Power) 시대로 

IT는 더 이상 인간의 철저한 관리하에서만 사용되지 않는다. 일례로 영국의 데이비드 캐머론 (David Camaron) 수상은 젊은 정치인 시절 TED 컨퍼런스에서 "정부의 새로운 시대 (The next age of government)"라는 제목의 연설에서 IT가 정부 시스템에 미치는 영향력을 설명한 적이 있다.

TED에서 발표하는 데이비드 캐머론 수상

그의 연설은 신선했다. 우선 그는 정치인을 '실험용 쥐'에 비유하는 어느 과학자의 스토리를 인용해서 좌중에 폭소를 자아냈다. 왜냐하면, (1) 언제든 부족해서 떨어질 염려가 없고 ("no shortage of politicians"), (2) 그들에게 어떤 일이 발생해도 아무 관심이 없기('No one really minds what happened to them') 때문이다. 스스로 자신의 직업인 정치인을 이렇게 희화하는 모습에서 여유를 느낄수 있었다. 


그는 산업화 시대에서 정보화 시대로 넘어감에 따라 권력이 정부 관료에서 시민에게 넘어간다고 전제하고, 그에 따라 시민을 위한 모든 정보, 이를테면 구매 계약, 범죄 지역 정보, 교통 상황 등 작은 것까지 일반 시민들이 투명하게 공유해야 한다고 주장했다. 그럼으로써 비용을 혁신적으로 줄이고 부패도 막을 수 있고 서비스는 좋아지기 때문이다.

IT의 발전과 보편적 보급으로 과거에 인정되던 관행과 통념은 깨지고 있다. 우리나라에서 각종 비리와 불투명하게 처리했던 일들이 발견돼 공개되는 배경에도 IT의 힘이 있음은 두 말할 나위도 없다. 인간이 만든 정보는 대부분 디지털화했고 IT 기기의 숫자는 인구를 앞지르는 추세다. 이는 더욱 가속화할 전망이어서 투명성과 개방성은 거스를 수 없는 대세다.

투명한 시대의 보루, 정보 보안

그런데 이러한 개방성과 투명성의 이면에는 정보 보안 위협이라는 역기능이 존재한다는 점도 잊어서는 안된다. 이는 신뢰의 사회를 만들고자 하는 우리가 풀어야 할 영원한 숙제다. 아쉬운 것은 정보 보안 문제를 기술로만 해결하려는 접근 방식이다. 정보 보안을 기술로만 보면 지능적이고 복잡해지는 변화의 시대에 사용자의 요구를 제대로 읽지 못할 가능성이 있다.

또한 보안은 이제 모든 서비스의 핵심 요소가 됐다. 보안을 으레 거치는 귀찮은 절차 정도로 인식한다면 해당 서비스도 경쟁력을 가질 수 없다. 사용자도 정보 보안을 누가 일방으로 해줘야 한다는 태도를 바꾸지 않으면 각종 매력 있는 서비스에서 소외되게 마련이다.

정보 보안은 개방성과 투명함이 더욱 커지는 현대 사회에서 우리가 같이 사회적 합의를 이뤄가야 할 문제다.

- '아시아경제'에 기고한 컬럼 내용을 바탕으로 보완했습니다 -
 
신고

7.7 DDoS 대란 1주년에 생각해 보는 3가지 이슈

보안 이야기 2010.07.07 13:49

7.7 DDoS 대란이 난 지 어느덧 1년이 되었다. ‘벌써라는 기분이 들 정도로 바삐 지나간 한 해였다. 사실 그 동안 사회 곳곳에서 이에 대비한 준비도 많이 이루어졌다. ‘디도스’, ‘좀비 PC’와 같은 전문 용어들이 일상 뉴스에 등장할 정도로 인식도 바뀌었고, 기업이나 기관의 최고 경영층도 관심을 기울이기 시작했다. 실질적인 투자와 준비 태세를 잘 마련한 곳도 있다. 허나 아직도 겉치레적인 준비에 머무르거나 아직 지체되어 있는 곳도 적지 않다.

 

게다가, 사이버 공격의 진원지인 악성코드나 위협의 강도도 세진 것이 현실이다. 다음 단계로 진화하고 있는 악성코드를 볼 때에 고민의 무게는 더해진다. 사회공학적 기법은 기본이고, 전문가도 속아 넘어갈 정도로 악성코드의 유형은 교묘해지고 배포 방식은 다각화하고 있다.

 

7.7 DDoS로 인해 언론 출연, 국정감사 증인 출석, CNN의 라이브 인터뷰 등, 기업인으로서는 색다른 경험도 많이 했다. 그러한 활동으로 인해 부러움과 시샘(?)의 눈초리를 받기도 했다. 여러 곳에 불려 다니는 것을 보면 충분히 그런 생각을 할 수 있다. 그러나, 수 차례 외침이 허공 속에서 사라지는 것을 보았을 때의 허탈함은 결코 즐거운 경험이 아니었다.



보안 전문 인력에 대한 논의가 빠지면 소용 없어 


과거부터 보안 사고가 피상적인 문제점만 노출된 채 넘어간 경우를 숱하게 보아 왔다
. 특히 보안에 대한 대비책을 세우고, 모의 훈련을 하고, 새로운 법과 정책을 만들어야 한다는 논의가 활발한 가운데, 정작 이러한 프로그램의 가장 중요한 요소가 빠져 있었다. 바로 보안 전문 인력 부족 문제다. 실제로 일을 할 인력이 없다면 백방의 대책이 무슨 소용이 있겠는가?

 

어떤 IT 기업 임원이 보안 업체들은 괜히 겁 주어서 돈 벌려고 하는 것 아니야?”라고 하자, 그 옆에서 어떤 분은 사고가 나야 보안 업체들이 좋잖아?”라고 맞장구 친다. 그런 광경을 보게 되면 15년을 정보보안에 종사한 이로서 자괴감마저 느낀다.

 

지금 이 순간에도 우리 회사 24시간 관제 센터에서는 분, 초 단위로 침해 위협의 가능성이 있는 이벤트가 티켓 형태로 끊임없이 올라온다. 10년 경력의 악성코드 분석가가 더욱 정교화되어 가는 악성코드에 난감해 하는 모습을 보면 안타깝다. 하도 답답해서 글로벌 기업의 CEO나 경영진도 만나 봤다. 어느 누구도 이제 보안 기술은 어느 정도 안정화되었다라고 하는 이들은 없다. 악성코드에 대비하는 기술과 아키텍처를 위해 끊임없이 투자하고 연구하는 이유가 여기에 있다.

 


7.7 DDoS 1주년을 맞이해서 키워드가 될만한 3가지를 생각해 보았다.

첫째, 보안 위협은 진행형이다. 이미 사이버 위협은 범죄 행위의 영역으로 들어갔다. 테러, 공격, 협박, 사기, 도둑질 - 모두가 범죄 용어 아닌가? 역사적으로 어느 누구도 범죄 행위의 발생 자체를 막을 수는 없었다. 범죄를 줄이기 위한 법과 제도, 교육은 가능해도 범죄는 인류 역사상 영원히 같이 가야 할 숙제다. 오히려 기술이 발달하고 복잡다단한 사회가 될수록 더욱 지능화되고 조직적 형태를 띄는 것이 범죄의 속성이다. 따라서, ‘이제 디도스는 해결되었다라는 표현은 적절치 않다. 아무도 그런 단언을 할 수는 없다. 기술, 프로세스, 사람의 측면에서 항상 준비하는 자세가 필요하다.

 

둘째, 사이버 공간에서도 일반 사회 생활과 같은 인식이 필요하다. 우리가 살고 있는 사회에는 우범지역도 있고 소매치기도 있다. 법과 제도도 중요하지만 시민 의식이 받쳐주어야 한다. 소매치기로부터 자신의 지갑이나 가방을 지키는 심정으로 사이버 위협으로부터 자신의 PC를 다루면 안 될까? 우범지역을 피하듯이 검증되지 않은 사이트나 콘텐츠를 피하면 안 되는가? 자동차를 가지고 일반 도로에 나오는 마음가짐으로 PC를 통해 인터넷에 들어가면 안 될까? 이미 인터넷은 일반인에게 보편화된 지 오랜 세월이 흘렀고 그 가운데 사이버 위협은 우리 생활 속의 한 요소다. 이를 백분 인정하고 스스로를 지키는 시민 의식이 아쉽다.

 

셋째, 보안 전문가가 인정 받아야 한다. 현재 발생하는 악성코드는 10-20년 전 컴퓨터 바이러스 잡던 시대와는 양적으로나 질적으로 차원이 다르다. 돈을 벌기 위해 혈안이 된 프로 해커들이 악성코드를 만들고 있다. 신형 악성 도구를 유통시키고 청부 공격도 자행한다. 가짜 백신은 웬만한 소프트웨어보다 더 많은 다국어 버전으로 제작되고 있다. 그만큼 암시장이 형성되어 있다는 얘기다. 프로의 상대는 프로일 수 밖에 없다. 그래서 보안에서 스페셜리스트의 역할과 존재가 아주 절실하다. 우수한 보안 전문가를 얼마나 보유하고 있는가가 우리 사회의 사이버 안전도의 척도다.

 


안타깝게도 보안 인력이 되고자 하는 이들은 계속 줄고 있고, 기존 인력들마저 보안 전문가의 길을 떠나고 있다. 아주 심각한 상황이다. 내가 어느 회의에 가든지 한 가지만 얘기하라면 서슴지 않고 보안 전문가의 부족 사태를 꺼낸다. 보안의 중요성을 외치는 수많은 추상적 논의보다 1명의 스페셜리스트가 더 소중하다. DDoS 1년이 지나는 시점에 여전히 아쉬운 부분이다.

IT는 이제 스마트폰, 컨버전스, 클라우드, 소셜네트워크로 지축이 바뀌는 패러다임 변화를 겪고 있다. 그럴수록 인터넷을 중심으로 한 개방형 환경은 사회적 인프라가 될 것이다. 보안은 그 속에서 신뢰와 안전이라는 틀을 지키는 핵심 요소다. 그런 점에서 실력을 갖춘 보안 전문가는 이 사회에 여러 형태로 공헌한다고 확신한다. 가장 큰 투자는 사람에 대한 투자임을 다시 한번 진지하게 호소한다. Ahn


신고

한니발의 역사 튀니지가 IT를 배우는 이유

Global View 2009.10.14 12:56

지난 주 리츠칼튼 호텔에서 거행된 글로벌 IT 포럼에 초대를 받았다. 지금은 KAIST로 통합된 ICU(한국정보통신대학교, Information & Communication University)가 전세계 개발도상국가에서 IT 정책을 기획하고 도입하는 담당자들을 초청해서 교육 프로그램을 진행하고 있다. 그 나라의 지도자들에게 한국의 앞선 IT 환경과 한국 문화를 맛보게 함으로써 미래의 우리 편으로 만든다는 전략으로 알고 있다.


글로벌 IT 포럼 기념 사진

축사를 하는 필자


현재는 KASIT와 서울대가 각각 기술과 정책에 초점을 맞추어서 이 프로그램을 주도하고 있다고 한다. 이제 졸업생도 나오고 해서 그 동창생과 재학생을 대상으로 이런 포럼을 매년 하고 있는데, 일종의 네트워크 유지를 위한 “Reunion(친목모임)”이라고 할 수 있다. 평소 이 프로그램이 먼 훗날 우리 나라를 위해 바람직한 투자라고 생각하던 터라 기쁜 마음으로 초대에 응했다.


작년에
ICU에 가서 특강을 한 적이 있다. 특히 정보보안에 대해서는 정부가 어느 정도 가이드라인을 제시해야 한다고 인지하던 터라 관심이 많았다. 동남아, 중앙아시아, 아프리카 등에서 온 엘리트 관료들을 상대로 한 강의라서 그런지 100여명 정도가 참석했던 강의 분위기는 열기가 넘쳤다. 이름도 들어보지 못한 많은 나라가 많았지만 색다른 경험이었다. 그 인연으로 해서 이번 행사에서 축사를 하게 되었는데, 더 커지고 탄탄한 네트워크에 놀라지 않을 수 없었다.


무릎팍 도사에 출연한 한비야

특히 대화를 나누면서 한국에 대한 높은 애정을 보고 뿌듯했다. 그들에게 있어서 한국은 IT의 메카다. 이미 그 국가에는 한류가 많이 들어가 있지만 그들이 직접 한국에 살면서 체험한 한국의 음식, 문화, 거리의 풍경은 잊을 수 없다고 한다. 한비야 씨가 무릎팍 도사에 출연해서 한국은 대단한 나라다. 40년간 월드비전의 도움을 받았던 우리 나라가 구호를 끊고 오히려 우리가 기부를 하게 된 국가라는 얘기를 들은 적이 있다. 다른 측면에서 어려운 국가들을 도와 주는 현장을 체험하니 우리의 모습에 더욱 자긍심을 느낀다.

튀니지 사람들과의 의미있는 대화

마침 튀니지(Tunisia)에서 대사를 비롯해 여러 명의 고위급 공무원이 참석해서 호기심이 생겼던 터에 점심 식사에 이들과 테이블을 같이 하게 되었다. 아프리카에 대해서 잘 모르던 나는 영화 본 얼티메이텀(Bourne Ultimatum)’에서 나온 탄지에르(Tangier)의 추격씬(탄지에르는 모로코의 도시)과 추억의 영화 카사블랑카가 간접적으로나마 본 전부였다 


튀니지 위치(zombie.co.kr)

알고 보니 튀니지는 로마 역사에서 그 유명한 포에니 전쟁의 주역인 카르타고가 있던 지역이다. 한니발 장군의 후예라고 할까? 포에니 전쟁으로 치를 떨었던 로마가 그 지역을 완전히 폐허로 만들고 카르타고 주민들을 이주시킨 것으로 알고 있었는데, 그 지역에 이렇게 국가가 형성된 것을 미처 모르고 있었다. 그 후예인지 주위에서 온 주민들인지는 잘 모르겠지만 1000만 정도의 적은 국민으로 아프리카 지역에서 확고한 포지셔닝을 점하고 있다고 한다.

 

ICU에 강의를 갔을 때 북부 아프리카에서 온 이들이 아프리카는 미국이나 유럽이나 관심 밖이다. 그래서 IT는 한국에서 배우려고 한다고 하소연한 적이 있다. 그런데, 튀니지는 바로 그 IT를 아프리카 지역에 공급하는 허브 역할을 하고 있다. 이를 테면 IT 컨퍼런스나 교육, 서비스는 튀니지에서 많이 거행된다. 내년도 남아프리카 (South Africa)에서 거행되는 월드컵 행사도 튀니지 기업들이 IT 부문 사업에 많이 참여한다고 한다.

튀니지는 오랜 기간 프랑스의 식민지를 거쳐서 교육 체계가 프랑스화 되어 있다
. 실제로 아랍어와 프랑스어 두 가지를 사용하고 있고.
 
 

아프리카는 가난과 독재에 허덕이는 나라가 많다. 고대 문명의 발상지 이집트에 가 본 사람들이 생각보다 못 사는 모습을 보고 놀랐다고 한다. 이번에 참석한 이들에게 물어 보니 이집트는 관광과 수에즈 운하가 전통적인 수익인데, 너무 여기에 의존했던 까닭에 구태여 차세대 먹거리에 대해서 심각하게 생각하지 않았던 것 같다고 한다. "기존 사업이 너무 수익성이 좋으면 신규 사업을 하기 어렵고, 이것이 기업의 미래를 발목잡게 된다"는 경험적 진리는 국가에도 적용되다 보다.

 

작지만 전략적 포지셔닝을 하고 있는 튀니지

그런 점에서 튀니지가 작지만 유럽에 가까운 나라들이 그 허브로서의 영향력을 가진다는 것은 전혀 놀랍지 않다
. 튀니지의 주 산업은 관광인데 그것도 이탈리아에 가지 못하는 젊은이들을 타겟으로 한 2급(2nd tier) 관광지라고 한다. 아주 전략적인 포지셔닝이다. 이러한 서비스 기반과 프랑스와의 긴밀한 교육 체계를 발판으로 IT의 중심 국가로 발전하려는 그들의 열정과 의지는 인상적이었다. 영어와 불어, 아랍어를 유창하게 구사하는 관료들은 IT가 국가 발전의 핵심이고 이를 기반으로 어떻게 발전해야 한다는 확신과 통찰력을 가지고 있었다.

 

글로벌 사회를 바라보면 볼수록 우리에게는 많은 친구들이 있는 것 같다. 한국이라는 좁은 사회에 머물다가 눈을 조금만 밖으로 돌려도 흥미로운 세상과 기회가 보인다. 특히 그들에게는 대한민국이 IT 중심국이라는 사실이 과거에 머무르지 않는다. 현재와 미래에 각인되어 있고 이런 인식은 여간해서 잘 바뀌지 않는다. 이들이 결국 그 나라의 최고 책임자 그룹에 들어갈 것이고 중요한 정책 결정자가 될 것이다.

 

아직은 아프리카나 중앙 아시아가 불모지이지만 역사는 항상 바뀌는 것을 목격해 왔다. 우리 젊은이와 후손들에게는 좋은 씨앗이 되지 않을까?


신고

실리콘밸리의 연구개발이 사라진 이유

보안 이야기 2009.06.25 06:07

발단(Trigger) V-(2): 글로벌화(Globalization)와 정보 보안

 

실리콘 밸리에서 오랫동안 생활하신 분을 만나서 인상적인 말을 들었다. “최근 5년 간 실리콘 밸리는 크게 변했다. 더 이상 여기는 R&D(연구개발)가 중심이 되는 장소가 아니다. 실리콘 밸리에는 최고 경영진과 마케팅, 사업 개발, 그리고 핵심 기술 설계자(Chief Architect)만 있으면 된다. 아무래도 정보의 교류와 투자(funding), 시장 개척이 이곳에서 이루어지니 IT의 중심 역할은 계속 한다. 그러나, 개발과 생산, 서비스의 대부분은 인도나 중국에서 수행된다.

 

그러고 보니 그 분을 만나기 직전에 방문했던 다른 회사도 분위기는 썰렁했는데, 알고 보니 80% 이상의 개발이 인도에서 이루어지고 있었다. 기업이 비용 효율화를 위해 보다 저렴한 지역을 찾는 것은 당연한 일이지만, 이렇게 R&D의 중심마저 옮겨가는 것은 큰 변화다. 그렇다고 실리콘 밸리가 이제 볼 것이 없다고 생각하면 완전한 착각이다여전히 사업의 핵심 요소, 즉 기술의 소유권, 지적 재산권, 사업 주체, 마케팅, 자금 관리는 실리콘밸리에서 권한을 쥐고 있다. 아니, 더 집중적으로 관리한다고 할 수 있다. 

실리콘밸리 전경 (www.etnews.co.kr)

인도 델리의 벤처 거리 (www.etnews.co.kr)


이러한 글로벌 협력의 현장은 세계 곳곳에서 진행되고 있다. 지난 10여 년 간 중국과 인도의 30억 인구가 여러 형태로 세계 경제 활동에 참여해왔다. 미국에 유학을 가서 미국 기업에 정착한 인력들이 모국(母國)과 좋은 네트워크를 형성해서 프로젝트의 글로벌 재배치를 가속화하고 있다. “핵심(core)은 지키고 핵심이 아닌 업무는 아웃소싱(outsourcing)하라”는 명제가 1990년대 말부터 모든 기업에서 글로벌 재배치를 추진하는 명분이었다.
 

우리 나라도 예외가 아니다. 환율이 높아져도 수출 경쟁력이 바로 살아나지 않는 이유는, 실제로 우리의 기술과 생산의 글로벌 배치가 된 것도 원인중의 하나다. 국내 대기업에서 중소기업에서 납품 받아 완제품을 생산하여 해외로 수출하는 단순 사업 모델은 크게 퇴색했다. IT의 발전으로 디자인은 유럽, 기술 개발은 한국, 생산은 중국, 이런 형식의 글로벌 협업이 가능해졌다. 따라서, 70년대 방식의 수출 개념으로 단순한 환율 정책으로 접근하면 낭패하기 쉽다.

 

경쟁력을 갖춘 나라에 자원을 배치하고 사업을 전개하는 글로벌 사업의 옵션이 보편화 된 것이다. 이런 협업(collaboration)의 성공 여부는 회사 내부적으로, 회사와 협력 업체 간, 회사와 고객 간의 커뮤니케이션 채널과 정보 교류 네트워크에 달려 있다. 당연히 인터넷을 기반으로 한 정보 기술의 활용이 정보 교류를 원활하게 한다. 그러나, 정보 보안 문제는 글로벌 사업의 또다른 리스크가 된.

 

글로벌 협업(Global Collaboration)의 취약점 (1) - 신뢰 지수

 

협력 업체를 선정하는 기준은 무엇인가? 금융 분야에서는 투자 대상을 분류할 때 재무 수준과 신용 이력에 따라 신용 등급을 매긴다. 마찬가지로 업무를 같이 수행하는 협력사를 정할 때에도 신뢰 등급의 기준을 정할 수 있다. 보통 재무 건전성, 거래 이력, 전문성의 수준을 그 척도가 삼는다. 하지만, 최근 반드시 고려해야 하는 요소로 부각된 것이 보안 지수다. 왜냐하면, 협력 과정에서 기업의 중요한 정보가 일정 부분 노출될 수밖에 없고, 이런 정보를 스스로 지킬 수 없다면 굉장히 큰 문제에 봉착할 수 있기 때문이다.

 

기업에서 핵심 업무를 아웃소싱하는 경우는 드물다. 그런데, 문제는 핵심 업무와 그렇지 않은 업무의 경계가 모호하다는 점이다. 업무를 대행하는 인원들이 그 기업에 파견되어 일을 한다면, 다시 말해서 단순히 파견에 의한 용역이라면 문제는 비교적 단순하다. 그러나, 그 업무가 기업 밖에서 이루어지거나 다른 국가에서 하게 된다면 일정 수준 이상의 신뢰가 형성되어 있지 않을 경우 위험성은 증폭된다.

하물며 핵심인
R&D(연구개발)
업무를 비용 절감 목적에서 오프쇼어링(
해외 아웃소싱)으로 처리한다면 보안 리스크는 더욱 커진다.
글로벌 사업이 국내 사업보다 어려운 점은, 서로 얼굴을 맛대어 보지 않고 일을 하기 때문에 탄탄한 신뢰가 받쳐주어야 한다는 점이다. 일단 믿음이 깨지게 되면 계속적인 관계를 가져가기가 힘들다. 또한 서로간의 문화적 차이로 인해 오해가 생길 여지도 크다.


또한 국가의 신인도와 정치적 안정성도 중요하다. 글로벌 기업들은 협업을 국가별로 보안 등급을 관리한다. 예를 들어, 협력하려는 기업의 소속 국가와 외교적으로 어느 정도 신뢰 관계가 형성되어 있는지, 정치적으로 불안하지는 않은지, 사회적으로 범죄 행위의 수준은 어떤지 등 국가의 정치적 상황도 등급을 결정하는 요소가 된다. 이 모두가 보안 리스크를 줄이기 위한 대책이다.


글로벌 사업(Global Business)의 취약점 (2) - 기술 유출

쌍용차 기술 유출 파장 (ecn.co.kr)

특히 M&A나 기업간 제휴, 기술의 이전 같은 기업의 핵심 요소가 다루어질 때 이에 대한 통제는 더욱 어렵다. 조선, 정보통신, 반도체 등 핵심기술의 관리는 국가적으로도 신경을 곤두세우고 있다. 그러나, 자본의 이동으로 글로벌 M&A가 쉬워진 상황에서 국가가 미리미리 통제하는 데는 한계가 있기 마련이다. 자연히 케이스 별로 사후 관리 형태가 되고 있다.

게다가 끊임없이 신기술이 나오고 있고 글로벌하게 여러 회사가 협업을 해야 하는 상황에서, 어디까지를 유출의 범위로 보아야 하느냐에 대해 공감대를 이루는 것도 쉽지 않다. 더 나아가 기술간의 제휴와 교류가 적기에 이루어져야 하는 상황에서 막연하게 보안 가이드라인만을 들이대는 것은 현실성이 떨어진다. 기술 유출의 문제는 기업과 개인의 관계에 근거한 법적 문제이면서, 사안에 따라서는 국가간 외교 문제로 비화할 수도 있다. 앞으로 글로벌 제휴와 M&A에 따른 정보 유출 문제는 더욱 심각해질 것이다. 따라서, 문제 해결의 틀과 국가 내외적으로 조율과 가이드라인이 필요하다.

사업 총괄적 관점에서 보안을 바라 보아야

글로벌 협력과 제휴, 파트너쉽이 활발하게 진행되는 것이 세계적 트렌드다. 이러한 트렌드에 맞추어 기업과 개인, 국가의 역할에 대해서도 변화된 인식이 요구된다. 신뢰 지수와 정보 유출이 정보 보안 관점에서 사업의 중요한 리스크가 되는 이유가 여기에 있다.

신고

안철수 박사와 10년전 만남을 생각하니

경영 이야기 2009.06.19 16:03

"나는 술 잘 마셨었는데 억울해요"

무릎팍 도사에서 술 얘기가 나오면서 안철수 박사가 한 얘기다. 회사 CEO를 하는 과정에서 크게 아프게 되었고, 그래서 술을 완전히 끊게 되었된 과정을 설명하면서였다. 그래서, 자신은 본래 전혀 술을 안 하는 줄로 사람들이 인식한다는 것이다.

그런데, 이 말은 맞다. 나는 안철수 박사와 술을 해 본 증인(?)이다. 초창기에 내가 운영하던 회사와 안철수연구소는 공동 제품을 만들었다. 우리의 네트워크 보안 기술과 안철수연구소의 백신을 결합한 'V3 바이러스월'이었다. 이 제품은 새로운 개념을 열었고, 장영실상도 받는 영광을 차지했다.

▲안철수 박사와 공동으로 장영실상을 수상한 후 기념사진


공동 개발을 마치고 성공을 기원하는 회식 자리에서였다. 10년도 넘는 일이라 기억은 희미하지만, 근처 통닭집에서 생맥주를 같이 한 적이 있다. 그리고 안철수 박사가 "나는 술을 먹으면 더 또렷해지는 스타일이다. 술을 밤새워 마시고 나서 항상 내가 모든 사람 택시태워 보내고 멀쩡하게 집으로 들어간다"라고 말하는 것을 들었다. 다른 이들에게도 같은 증언을 들은 바 있다.

그런데, 어느날 갑자기 안철수 박사가 과로로 인한 간염으로 병원에 입원했다는 얘기를 접하고 삼성의료원에 급히 달려갔다. 하긴 7년 동안 4~5시간밖에 안 자고 백신을 만들고, CEO가 된 후에는 유학(이때가 1차 유학으로 펜실베이니아대학 공대 공학석사를 받았다.)을 가서 공부와 경영을 병행하느라 이틀에 한 번 꼴로 밤을 새웠으니, 체력이 어떻게 버티겠는가. 그 이후로 안 박사는 술을 완전히 끊었다. 

안철수연구소의 건물에 관한 스토리

다음은 회사 사무실의 역사에 관해서다. 회사 행사에서 직원들 대상으로 퀴즈 프로그램을 진행한 적이 있다
. 문제 중의 하나가 안철수연구소가 창업부터 몇 번 이사를 다녔느냐였다. 최근에 들어온 직원들이 많아서인지 잘 맞추지 못했다. 나는 지금이 6번째인 것을 아는데..

 

첫 사무실이 있던 한판빌딩

그제서야 안철수 박사를 만난 지 벌써 10년이 넘었다는 사실을 깨달았다. 바뀐 건물에 적어도 한 번 이상은 가 보았으니 정확히 기억할 수밖에 없다. 체험을 통한 기억이 오래 간다는 진리를 다시 한번 느끼는 계기가 되었다. 한편 시간이 정말 빨리 지났구나하는 생각에 내 나이를 돌아보게 된다. 안철수 박사와 같은 시점에 정보 보안 사업에 뛰어든 지 어느덧 올해로 14년째가 된다.


안철수연구소의 실질적 초석이 된 오영 빌딩

내가 안철수 박사를 처음 만났던
2번째 위치는 남부 터미널 근처 건물이었다. 지금도 그 위치를 정확히 기억하는 이유는 건물 주위가 온통 모텔이었기 때문이다. 나는 서울 시내에 모텔이 그렇게 밀집해있는 지역을 처음보았다. 지금도 모텔이 상당히 많은 타운이라고 알고 있다. 우리 나라에서 모텔이라면 생각나는 부정적 인식, 그리고 그와 연관된 어두운 서비스 간판들이 많이 눈에 띄었다. 도저히 사무실이 있는 곳 같지가 않았다.

모텔 타운 한복판에 있던 오영빌딩

그런데, 이 건물은 안철수연구소의 중요한 초석이 된다. 안철수 사장이 미국 유학을 마치고 복귀한 시점이었다. 또한 대주주인 한글과컴퓨터에 마케팅을 의존하고 있던 사업 모델에서 탈피해서, 비로소 안철수연구소 (당시 이름으로 안철수컴퓨터바이러스연구소)가 독자적으로 영업 조직을 갖추고 회사의 모양을 갖추었다. 현재 안철수연구소의 권영찬 차장이 1호 영업 사원이었다. 비록 직원들 월급주기 빠듯한 상황이었지만

 

규모가 20명도 채 안 되었던 것 같다. 내가 하던 회사도 20명 내외였으니까 비슷한 규모여서 동병상련의 처지를 얘기했던 기억이 난다. 정보 보안사업을 한다고 하면 돈이 되겠느냐?’며 주위에서 한심하다는 눈길을 받을 정도였으니.. 벤처 기업이라는 개념도 없었고, 중소기업은 대기업 계열사의 하청업체 정도로 받아들여지는 분위기였다. 게다가 소프트웨어 산업에 대한 인식은 지금보다도 훨씬 열악했다. 그 곳에서 안철수연구소의 주춧돌이 탄탄하게 놓여진다.


미국 기업의 거액 인수 제안을 거절한 시점이 이때이며, 인간 안철수가 TV를 타게 된 계기인 '성공시대'가 바로 여기에서 촬영된다. (나도 동종업계 기업인으로 인터뷰를 하면서 TV에 최초로 출연하는 영광을 얻었다)

도약의 발판 우영 벤처 타워

CIH 바이러스 대란을 통해 도약한 우영 벤처 타워

그 다음 옮긴 곳이 강남역에서 양재역 쪽으로 내려가다 보면 우성아파트 근처에 있던 건물이었다. 내가 찾아가려고 하니까 안 사장이 찾기 쉬울 거예요. 바나나클럽이라고 하면 모르는 사람 없대요.”라며 설명해주던 기억이 생생하다. 그 건물은 술집 네온사인이 휘황찬란한 그 가운데 있었다. 지나쳐 보기는 한 지역인데 정말 부근에서 바나나클럽을 물어보니 바로 가르쳐 준다.

그 건물이 안철수연구소가 본격적으로 도약하는 공간이 된다. CIH 바이러스가 터지고 망가진 PC를 들고서 번호표 들고 기다리던 곳이 바로 그 곳이다. 마침 나도 길 건너편에 있었기에 같이 만나서 식사를 한 적이 있는데, 과거보다 훨씬 여유가 생기고 CEO다운 분위기를 느낄 수 있었다. 이와 같이 모텔 타운에서 기초를 만든 2번째 건물을 거쳐 술집 한가운데 있는 우영 벤처 타워에서 보안 업계 처음으로 매출(수주액) 100억원을 돌파했.


그 후에서야
IT 기업들이 주로 있던 강남 테헤란로 부근과 수서 시대를 거쳐 지금 여의도에 위치하게 되었다. 모텔 타운에서 초석을 다지고, 술집 타운에서 도약의 발판을 마련한 후, 벤처 타운에서 코스닥 상장을 이루었다. 그리고 나서 지금은 순복음교회 부근의 교회 타운이다.

이 곳을 우리가 글로벌하게 도약하는 계기로 삼고 싶은게 안철수연구소 CEO인 나의 꿈이다. 2년 뒤에는 판교 사옥으로 들어가게 된다. 그 때에는 세계에서 인정받는, 세계 각지의 파트너와 고객을 상대로 하는 진정한 글로벌 기업의 위상으로 입주하고 싶다. 그래서, 영혼이 있는 기업, 정직하고 투명한 기업의 철학을 이어 갈 것이다.


무릎팍 도사에서 안철수연구소의 역사를 설명하는 녹화 과정에서 건물 얘기가 있었던 것으로 기억하는데, 최종 방영에서는 제외되었던 것 같다. 그래서, 안철수연구소의 역사에 대해
 몇 자 적어 보았다.

신고

CEO인 내가 직원 신혼여행지를 묻는 이유

보안 이야기 2009.06.11 11:49

IT로 인한 글로벌화가 일으킨 산업 구조의 변화

발단(Trigger) V-(1): 글로벌화(Globalization)

 
달라진 여행 풍속도

결혼하려는 직원이 청첩장을 들고 올 때마다 신혼 여행은 어디로 가느냐고 물어보게 된다
. 예상은 하였지만 요즈음 거의 대부분의 선택은 해외이다. 우리 시대에는 제주도가 최고의 신혼여행지였다. 그것도 경주, 부산에서 업그레이드된 신상품이었다. 단지 경제적인 문제가 아니라 돈이 있더라도 해외에 나가는 자체가 쉬운 일이 아니었다. 6~70년대에 유학 시험이라는게 있었다고 얘기하면 요즘 젊은이들은 어리둥절할 정도니까..

제주도

괌(lesvacances.com)

몰디브(daekyotour.com)


90년대 초반부터 괌, 사이판이 신혼 여행지로 부상하더니, 요즈음은 몰디브, 터키, 그리스와 같이 거리도 멀고 개성이 강한 장소로 점점 확대되고 있다. 신혼여행지도 3세대(3rd Generation)로 진화했다. 그 이유가 단순히 경제적 여건이 나아져서 그런 것만은 아닌 것 같다. 인터넷을 통해 여행 상품을 잘 기획하면 효율적으로 갈 수 있는 세상이 되었고, 세계가 하나의 지구촌이 되어가고 있기 때문이다.

즉, 인터넷으로 사전 조사해서 저렴한 가격의 상품(비행기 티켓, 숙박, 가이드)을 선택하는 세상이 되었다.
바야흐로 글로벌 시대를 맞이한 여행 풍경이다. 이제는 여행이 미지의 세계를 가서 발견하는 것이 아니라, 인터넷과 TV를 통해 사진으로 본 풍경을 직접 체험하고 확인하는 형태로 여행의 개념이 달라졌다.


글로벌 시대가 되면서 큰 영향을 받은 산업 중의 하나가 여행 비즈니스다. 어떤 여행사 사장과 얘기를 할 기회가 있었는데, 80년대에는 서울에서 LA로 가는 항공권을 10장 팔면 1장 정도가 남는 장사였다고 한다. 그런데, 여행이 더욱 활성화되면서 오히려 마진은 줄어들어 이제는 1장 팔면 5-10불 정도 겨우 남는 장사라고 한다. 항공사와 고객 사이에서 유통 마진을 챙기는 것은 가치(value)로 인정받지 못한다는 것을 의미한다.

게다가 과거에는 여행 가이드로 많은 이익을 올릴 수 있었는데, 이제는 인터넷을 통해 여행자가 더 정보력이 뛰어나다 보니, 여행사만의 부가가치를 창출할 여지가 없다고 한다. 그나마 남은 장사는 아직 인터넷을 잘 사용하지 못하는 나이든 분 들 상대로 한 여행 패키지 정도라고 한다. IT의 발전을 통한 글로벌화가 가져온 혁명적 변화의 한 단면이다.

글로벌화의 진통은 경제 구조의 개편을 요구

최근 금융 위기로 세계 경제가 힘들다. 는 실물 경제가 어렵게 되고 금융이 서로 얽히게 된 주요 원인이 글로벌화의 진통 때문이라고 해석한다. 중국과 인도를 비롯한 수많은 인구들이 산업 인력으로 참여하게 되면서 자원의 배치가 글로벌화했다. 아웃소싱(Outsourcing)이 국가를 벗어나 오프쇼어링(Offshoring)으로 발전한 것이다.

경제권이 분산되면서 돈의 흐름도 이익을 좇아 글로벌하게 움직인다. 과거의 모델과 틀로서는 불확실한 변수가 너무 많아 금융 전문가들도 혼란스러울 수밖에 없다는 생각이 든다. 금융 상품의 파생 상품이 기하급수적으로 늘어났기 때문에, 문제가 생겼을 경우 그 파급 효과의 규모는 물론, 세계 어디에서 어떤 은행이나 금융사가 피해를 입게 될지 가늠하기가 힘들어졌다. 최근의 금융 위기는 현재의 금융 구조가 얼마나 복잡하게 얽혀있어서 결정적 취약점을 지니고 있는 가를 적나라하게 노출시켰다.

 

글로벌하게 커플링(coupling)된 산업 구조는 우리의 머리를 혼란스럽게 한다. 언제부터 미국의 의회가 자동차 산업을 구제하는지 여부에 따라 우리 증권 시장이 요동치게 되었는가? 아침 뉴스의 헤드라인은 밤새 미국과 유럽의 분위기가 어떠했는가로 장식된다. 밤과 낮을 번갈아가며 뉴욕, 런던, 동경, 서울의 증권 시장은 맞물려 돌아가고 있다. 자금이 실시간으로 글로벌하게 움직이고 있기 때문이다.


인터넷은 부와 권력을 변화시킨 엔진

클라이드 프레스토위츠는
부와 권력의 대이동에서 글로벌 사회의 경제적 함의를 다음과 같이 설명하고 있다. “지구 반대쪽 사람들이 바로 같은 거리에 사는 사람들만큼 가까워졌다. 그러한 사람들의 존재는 두 가지 면에서 주목해야 한다. 첫째, 그 수가 엄청나다는 것, 둘째는 그들 모두가 허기진 상태라는 것이다. 글로벌 경제 시스템이 시대를 따라잡고 존중받으려는 갈망에 수많은 인원들이 허기져 있다”.
 
당연히 그는 인터넷이 그러한 변화를 일으키는 엔진이라고 간주한다.


정보통신과 IT의 발달은 국가 경제를 글로벌 경제로 탈바꿈시켰다. 여기에 화룡점정(畵龍點睛)을 한 것이 인터넷이다. 인터넷은 정보 교환의 비용을 파격적으로 떨어뜨렸을 뿐만 아니라, 국가의 장벽을 무너뜨리고 시간의 제약을 벗어났다. 이제 해외 출장중이라는 핑계로 사람을 피하는 방법은 통하지 않는다. 지구 어느 곳을 가도 휴대폰이 터지고 인터넷 메시지를 받을 수 있으니까..

IT의 혁신적 발전과 글로벌화는 동의어다. 인터넷과 생태적으로 연관된 정보 보안의 문제의 발단이기도 하다.   


신고

사이버 조폭의 위협에 직면한 디지털 정보

보안 이야기 2009.05.14 17:14

발단(Trigger) IV-(3): 정보의 디지털화와 정보 보안

오늘날 정보는 디지털화되어 거미줄처럼 연결되어 하나의 거대한 컴퓨터에 들어있다고 해도 과언이 아니다. 이러한 정보는 인터넷과 다양한 미디어를 통해 디지털화된 형태로 소통되고 공유된다. 디지털 정보는 사회의 여론을 주도하기도 하고 새로운 가치를 창조하기도 한다. 그만큼 폭발적인 전파력과 영향력을 지니고 있다.

 

이와 같이 정보의 디지털화는 우리의 생활에 많은 혜택을 줌과 동시에 위험 요소를 내포하고 있다. 한편 이는 우리가 과거에 경험해 보지 못한 위협도 동반한다. 우리는 두 가지 관점에서 위협을 조명해야 한다. 하나는 비즈니스를 구성하는 IT 관점의 위협이고, 또 다른 하나는 우리 생활 속에 스며들어온 문화 속의 위협이다.

전자는 주로 기업과 기관을 대상으로 한 정보 유출
, 해킹, 인프라 공격 등의 의도적 위협이고, 후자는 개인정보보호(privacy), 불법 복제, 유해 정보 등 디지털 시대의 개인들이 개념을 정립하고 컨센서스(consensus)를 이루어가야 하는 덕목과 관련되어 있다. 이번 글에서는 전자에 초점을 맞추고, 다음 호에 후자에 대해 기술하고자 한다.

 

주체할 수 없는 디지털 정보의 활용

 

우선 기업에 있어서 디지털 정보의 영향력은 가히 혁명적이다
. 세계는 평평하다의 저자 토머스 프리드먼은 1980년대에는 보통 사람들이 PC를 사용해서 디지털 형태로 자신의 콘텐츠를 직접 저작(author)해서 프린트한 후에 서류의 형태로 저장하는 형태가 주류를 이루었다. 그 이후 사람들은 PC에 저장된 정보를 표준화된 프로토콜을 사용하는 인터넷을 통해 전송하고 교환할 수 있게 되었다. 이제는 사람이 직접 수행하지 않아도 기계 간에 디지털 정보를 주고받는 워크 플로우(work flow)로 발전했다.”고 업무 속에서 디지털 정보 처리의 진화 과정을 설명하고 있다.

 

우리의 제반 업무는 디지털 정보를 통해 수행된다. 회계 장부, 기술 문서, 인사 정보, 마케팅 자료 등 회사가 보관하고 활용하는 정보는 디지털 형태로 저장된다. 어떤 개인에 대한 정보, 예를 들어, 출생증명, 호적, 예방 접종 기록, 병적 업무, 이력서 등의 기록들은 여러 기관과 기업에서 디지털로 저장되어서 배포되고 교환된다. 심지어는 태어나기 전의 초음파 기록도 디지털로 저장될 수 있다.

 

이렇게 모두가 정보를 생성하고 활용하는 데 혈안이 되어 있다. 필자가 15년 전 미국 회사에 근무할 당시 방대한 이메일 내용을 프린트해서 법원에 제출하는 것을 보고, 과연 저것이 법적 효력이 있을까 생각한 적이 있다. 그런데, 실제로 법적으로 전자 메일 기록은 증거 자료로 가치가 있고, 기업의 내부 감사에도 많이 활용되고 있어서, 최근에는 전자메일 아카이브(email archive) 기술도 각광을 받고 있다. 이렇게 디지털 정보의 처리가 당연시되면서, 정보의 남용과 의도적 위협이 증대하고 있다. 그렇다면 이런 위협의 주요 양상은 어떠하고 그에 대응하는 보안은 어떤 관점에서 보아야 하는가?

 

돈과 연결되는 정보 탈취 행위와 사이버 조폭

 

첫째, 정보 탈취를 위한 위협이다.


해킹, 트로이 목마, 피싱 등 수많은 종류의 위협이 급증하고 있다. 게다가 정보가 돈이 되면서 공격은 더욱 집요하고 조직화되고 있다. 심지어 해커들과 바이러스 제작자들은 글로벌한 기업이 되었다. 1980~90년 대에 미국 정부가 마약과의 전쟁을 선포할 정도로 마약 판매업자들의 조직이 글로벌화된 바 있다.

이제 그런 전면 전쟁이 해커들과 벌어진다고 예상할 정도로
치명적인 위협으로 부상하고 있다. 게다가 과거 마약이나 폭력을 주 업무로 삼던 폭력 조직(syndicate)이 해커들과 만나는 수상한 조짐이 일부 국가에서 나타나고 있다. 실제 국내에서도 사이버 조폭이 기업을 협박해 돈을 갈취하는 일도 벌어진 바 있다. 이렇게 현실에서의 폭력조직이 사이버 상의 폭력조직인 해커들과 만난다면 그로 인한 폐해와 범죄 규모는 상상을 초월할 것이다

IT 인프라를 보호하기 위한 대부분의 정보 보안 제품은 여기에 초점을 맞추고 있다. 바이러스 백신, 방화벽, 침입 탐지, DDoS 방지, 웹 방화벽 등 수많은 개념의 제품이 출현했다. 각각의 제품은 그 나름대로 자신에게 주어진 역할을 충실하게 수행한다. 그러나, 해커들은 항상 그 틈새를 비집고 들어오고 있고, 관리 미숙과 시스템 취약점을 파악해서 침입한다. 때문에 제품 중심에서 위협 중심으로 관점을 바꾸지 않으면 이런 공격에 종합적으로 대처할 수가 없는 상황이다.

 

둘째, 디지털 정보는 저장과 활용이 쉬운 만큼 탈취당하거나 노출되기도 쉽다.


하나를 얻으면 하나를 잃는다는일득일실이라는 말이 딱 맞아떨어지는 상황이다. 정보가 아날로그 형태였더라도 이렇게 공격이 효과적이었을까? 디지털 정보의 복제와 탈취라는 문제를 가지고 법적으로 논란을 벌인 적이 있었다. 어떤 물건을 훔쳤다면 당연히 그 물건은 원래 소유하고 있던 사람에게서 훔친 사람에게 옮겨간다. 그러나, 디지털 정보는 소유하고 있던 사람에게 여전히 속해 있다. 이것을 기존의 절도라는 위법 행위로 해석할 수가 없었던 것이다. 이제는 정보통신망법과 개인정보보호법에 관련 체계가 마련되어 있지만, 이는 우리가 수천 년 동안 유지해 온 습관과 법 체계의 인식 전환을 필요로 했다.

 

더 나아가 기술적인 개념을 확고히 가지지 않으면 도태되는 환경이 되었다. 작년에 온 나라를 떠들썩하게 했던 우리 나라 정부 고위직의 스캔들 사건이 있었다. 그런데, 그 증거는 의외로 그 당사자의 PC에서 나왔다. 하드 디스크에 저장된 정보가삭제라는 명령어로 완전히 없어지는 것으로 알았다는 것이 우리 나라 지식인들의 IT에 대한 인식 수준이다. 자신의 전공에 상관없이 기술에 대한 개념을 정확하게 이해하는 것이 이 시대를 살아가는 기본 상식이 되었다.

 

정보의 오너쉽은 누구에게 있는가?

 

셋째, 정보의 오너쉽(ownership) 부재로 인한 관리 문제다.


디지털 정보는 축적될 뿐 소멸되지 않는 특성을 지니고 있다. 용도 폐기된 정보가 데이터베이스에 보관된 상태로, 각 개인 PC에 저장되어 무관심과 부주의 속에 방치되고 있다. 주목해야 할 것은 이 정보들 중에는 소중하고 악용될 수 있는, 소위 돈이 되는 정보가 아주 많다는 것이다.

 

우리는 정보 그 자체에 집중할 필요가 있다. 누가 이 정보를 볼 수 있고 누가 이 정보를 생성부터 소멸까지 관리할지 책임 소재가 분명해야 한다. 그동안 개인 정보의 통합과 검색 시스템을 구축하는 데만 주력해온 결과 정보의 라이프 사이클을 책임질 오너쉽이 실종된 경우가 허다하다. 더욱이 정보를 생성하고 소멸하는 과정, 그리고 소통하는 삶의 방식은 그 구성원들의 인식과 문화적 환경에 따라 다르다. 이런 차이점을 정확히 이해해서 정보 보안의 틀을 짜야 한다.

 

결국 정보 활용을 극대화하면서 생성과 소멸을 책임질 수 있는 오너쉽을 가져야 한다. 그 주체와 범위는 각 기업이나 기관, 개인의 업무 환경과 문화에 따라 다를 수가 있다. 정보 자체의 라이프 사이클이라는 초점을 잃지 말고 중심을 잡는 정책이 절실히 필요하다. 단 우리의 문화와 업무 형태를 고려한 방향이어야 실효성이 있다.

 

정보 자체가 기업 경영에 중요한 요소이다 보니 최근 CIO(Chief Information Officer)에 의한 정보 경영이 강조되고 있다. 보통 정보 시스템 관리자가 CIO로 격상된 경우가 많은데, 이는 IT 측면에서는 아주 바람직하다. 그러나, CIO가 진정한 역할을 하려면 회사의 정보 자체를 분류하고 활용하고 관리할 수 있는 권한과 책임이 주어져야 한다. 그러나, 아직도 회사에서는 CIO의 역할을 정보 시스템과 인프라 관리, 소위 전산실장 정도로 국한해서 바라보는 측면이 없지 않다.

디지털 정보 시대에는 정보가 어떻게 생성, 소멸되고 이 정보가 어떻게 흘러가는가를 총괄적으로 책임지는 진정한정보 경영’, 나아가지식 경영을 실현할 수 있어야 한다. 그래야 보안 대책을 총괄적으로 수립하는 CSO(Chief Security Officer)가 의미가 있다.

다음 호에 계속
신고

조영무가 정보의 디지털화로 재조명받다?

보안 이야기 2009.05.12 07:36

발단(Trigger) IV-(2): 정보의 디지털화와 정보 보안

학부 시절 (전자공학과)에 수강 신청을 하려고 하는데 '아날로그 전자 회로'와 '디지털 정보 시스템'의 두 과목이 있었다. 친구들하고 얘기해도 뭐가 뭔지 감이 잡히지를 않았다.

마침 옆에 있던 과 선배에게 물었더니, "아날로그는 파동 곡선처럼 이어지는 모양이고, 디지털은 0, 1로 딱딱 떨어지는 거야"라고 설명하지 않는가? 지금 생각해 보면 우습지만 약 30년 전에 우리 수준이 그랬다. 그만큼 디지털이 막 개념적으로 대두되던 시절이다.

전자공학에서는 아날로그와 디지털로 과목과 전공이 나뉘게 된다. 반도체나 통신을 한 사람들은 아날로그를, 컴퓨터나 논리 설계를 한 사람들은 디지털로 구분된다. 학창 시절 친구들과 이 두 가지 개념을 구분하는 기준은비교적 단순했다.

"아날로그는 지저분한 것이고, 디지털은 깨끗한 것". 왜냐 하면 아날로그는 자연 현상 속의 시그널(signal)이라서 환경과 고유 특성에 따라 영향을 받는다. 반면 디지털은 0,1 이라는 단순한 논리에 의해 설명된다. 디지털은 이론도 깔끔하고 실험 결과가 절대적인 반면, 아날로그 실험은 신경도 많이 써야 되고 결과도 틀린 경우가 생긴다. 

어쨌든 컴퓨터의 보급은 정보의 디지털화를 가속화시켰다. 정보의 디지털화, 이로 인한 디지털 정보의 간편한 저장과 통신의 기술은 우리 생활에 많은 변화를 가져왔다. 그러한 변화를  크게 세 가지로 정리해볼 수 있다.

첫째, 기록 문화의 패러다임이 바뀌었다. 오늘날 대부분의 기록은 디지털화되어 저장된다. 오래된 문서도 광 파일의 형태로 스캔(scan)해서 볼 수 있다. 구글이 세계의 모든 도서를 스캔해서 검색 서비스를 제공하겠다는 야심을 보인 것도 그러한 기술이 존재하고 저장 비용도 저렴해졌기 때문이다. 디지털 정보가 기록 문화의 중심으로 자리잡은 요인은 데이터베이스의 보편화, 강력한 검색 엔진, 문외한도 쉽게 사용할 수 있는 유저 인터페이스(UI) 등이었다.


용의 눈물과 역사 속 조영무의 재조명

그러다 보니 예전에 발견할 수 없었던 정보가 가치있는 것으로 재조명되기도 한다
. 한때 조선왕조실록이 CD-ROM에 들어가면서 재미있는 일화를 소개하는 TV 프로를 본 적이 있다. 조선 시대가 창건되는 과정을 그린 TV 드라마 ‘용의 눈물’에는 예전에 역사책에서 별로 주목을 받지 못하던 인물들이 많이 등장한다.

태조부터 태종에 이르기까지 권력의 획득과 좌천을 거듭하는 과정에서, 역사의 조역이다 보니 일반 문서로는 눈에 띄지 않는 인물들이 많다. 그런데, 잘 발견되지 않았던 인물들이 CD-ROM에 저장된 디지털 정보에서 키워드로 검색해 보면 상당히 많이 역사의 무대에 등장한 것을 발견하게 된다

조선왕조실록

조선왕조실록(CD-ROM)



그 대표적 예로 '조영무'라는 인물을 예로 들고 있다. 조영무는 포은 정몽주를 선죽교에서 살해한 이방원의 오른팔 중의 하나다. 그는 공신으로 포상도 많이 받았고 때로는 권직에서 밀려나기도 했다. 어쨌든 그의 이름을 검색해 보면 여러 번 관직에 오른 것을 알 수 있다. 높은 정승을 한 적이 없어서인지 역사에서는 거의 무시되고 있지만, 디지털 정보의 검색 덕택에 그 인물이 얼마나 그 시대를 풍미했는지를 찾아보는 것이 가능했다.

활자와 문자의 발명으로 시작된 기록 문화는 디지털화된 정보를 통해 차원이 다른 시대를 맞이했다. 그 동안 잊혀졌고 찾기 힘들었던 정보가 저장되고 검색되면서, 모든 정보가 만천하에 발가벗겨질 수 있는 시대가 된 것이다. 

둘째, 인쇄와 출판 산업에도 큰 영향을 주게 되었다. 정보의 디지털화로 각 개인이 습득할 수 있는 정보의 양이 기하급수적으로 늘어났다. 도서와 정보가 쏟아져 나오는 시대에 그 많은 책의 전체를 읽기를 기대하는 것은 현실성이 없다. 결국 훑어보는 와중에 눈에 띄게 하는 테마를 시각화할 필요성이 대두되었다.

그런 경향은 90년대 초반부터 잡지에 나타나기 시작했다. 잡지의 모습은 
지면에 빽빽하게 들어선 글자 위주에서, 독자의 시선을 잡기 위해 과감한 레이아웃(Layout)을 보이기 시작했다. 어떤 잡지는 1/3 이상 여백을 비워놓는 파격을 연출했고 큼직큼직한 폰트 크기의의 키워드 중심으로 전개했다. 독자들에게 충격(impact)과 영향력을 주기 위함이다. 그동안 문서 형태로 되어 있는 책이나 잡지도 독자의 수요를 반영해서 전략을 바꾸게 되었다. 한 마디로 ‘읽는’ 것에서 ‘보는’ 쪽으로 활자물의 편집 방향도 바뀌게 되었다.

물론 DTP(Desktop Publishing), CTS(Computerized Typesetting System)과 같은 기술이 뒷받침되었다. 더 나아가 인터넷과 통신의 발달은 정보의 유통 구조도 혁신적으로 만들었다. 지금 작성하고 있는 이 블로그도 21세기에 등장한 Web 2.0의 패러다임을 대변하고 있지 않는가?

셋째, 아날로그 산업을 대체해 갔다. 오늘날 영화의 시각 효과를 구성하는 시각화(visualization) 기술의 선구자는 실리콘 그래픽스(Silicon Graphics)라는 컴퓨터 제조 업체다. SG는 워크스테이션이 컴퓨터 산업의 새로운 패러다임으로 떠오를 때 썬마이크로시스템즈나 HP와 달리 영화 시장에 주목했다. 당시 영화의 시각 효과는 아날로그 장비를 통한 일종의 믹스 형태가 그 한계였다.

영화 Abyss의 그래픽(www.solarnavigator.net)

그러나, 디지털로 처리되는 3D 그래픽 소프트웨어는 상상력을 영상화할 수 있는 가능성을 보였다. 컴퓨터 문외한이던 영화 제작 업체들이 컴퓨터를 활용하면서 어비스(Abyss), 터미네이터2(Terminator 2)와 같은 영화가 대성공을 거두었다. 잘 알다시피 현재 CG(컴퓨터그래픽)는 영화나 드라마 제작에 광범위하게 적용되고 있다.

오늘날 모든 영화는 디지털로 제작되고 있다. 아직 대부분의 영화관이 아날로그 영사기를 사용하고 있어서 디지털 영화를 아날로그로 다운그레이드해 상영하긴 하지만 디지털 영화관이 점점 늘어나고는 추세다. 병원의 진료 기록, 영상 차트, 초음파 영상 데이터 등 모두가 디지털로 저장된다. 또한 우리 나라 법원의 모든 기록과 판례도 주민등록번호로 조회가 가능하다.

과거에 문서를 들고 다니는 모습을 보는 것이 흔치 않다.
업무를 하는 모습만 보면 그 사람이 판사인지, 의사인지, 기술자인지, PD인지 판단이 서지 않는다. 왜냐하면 컴퓨터 앞에 앉아서 디지털로 저장된 정보를 통해 판단을 하고 업무 처리를 하는 모습은 차이가 없기 때문이다.

이렇게 디지털 정보로 인해 편의성이 커진 것은 명약관화하다. 그러나, 그러한 혜택의 이면에는 정보가 남용되고 탈취될 가능성이 극도로 증대했다는 사실을 인식해야 한다. 디지털화가 된 정보는 복사도 쉽고, 조작도 가능하다. 이제 누가 정보를 생성하고 소멸할 책임을 지느냐는 문제도 해결해야 할 과제가 되었다. 이것이 정보의 디지털화로 인해 정보 보안이 화두가 된 이유다.

(다음 회에 계속)
신고

스타 사생활 유출로 본 정보보안의 문제는?

보안 이야기 2009.05.11 10:50

발단(Trigger) IV-(1): 정보의 디지털화와 정보 보안

로맨틱 코미디 영화 ‘노팅힐
(Notting Hill)’에서 나온 장면이다. 유명한 영화배우인 애나 스콧 (Anna Scott, 줄리아 로버츠)이 젊은 시절 찍었던 누드 사진이 언론에 공개되어 무명의 연인인 윌리엄 대커(William Thacker, 휴 그랜트)의 집으로 몰래 피신한다.

노팅힐 (www.cinecine.co.kr)

그런데, 기자들에게 들키게 되어 둘의 사이마저 공개되는 상황으로 일은 커지게 된다.

그 때 두 사람은 당혹감 속에 이런 대화를 나눈다. 윌리엄이 “단지 하루야. 오늘 신문은 내일 쓰레기통에 들어갈 뿐이야”라고 위로하자 애나는 어이없다는 표정으로 “이 스토리는 파일로 저장될 거야. 나에 대한 기사를 쓸 때마다 내 사진을 끄집어낼 거다. 신문은 영원한 거야”라고 화를 내며 떠나간다.

애나(Anna)는 정보가 축적되어 잊혀지지 않는 것이 얼마나 무서운지를 알고 있었던 것이다
. 국내에서도 신정아 씨 사건을 비롯해 유명인과 스타들의 개인 사진이나 사생활 정보 유출이 문제가 되는 일이 자주 발생하고 있다. 그 만큼 개인정보를 포함한 정보 보안의 중요성도 크게 대두되고 있는 것이다.

기록 문화의 발전 과정

마틴 루터의 종교 개혁이 성공한 중요한 이유 중 하나는 인쇄술의 발명으로 다량의 선언문을 손쉽게 배포할 수 있었기 때문이다. 인쇄술 덕택에 교황청의 카톨릭 사제들에 의해서 독점되던 정보가 지식인들에 의해 읽혀 질 수 있는 계기도 되었다. 자크 아탈리는 '미래의 물결'에서 역사의 교훈을 지적하고 있다.

"권력의 중앙집권을 용이하게 하리라고 믿는 새로운 통신기술이 실상은 그와 반대로 기존 권력을 분산시키는 막강한 적이다"

세종대왕의 한글 창제는 수많은 일반 백성들이 문화의 혜택을 누릴 수 있게 했다
. 지식을 독점해서 권력을 영위하려는 사대부들의 집요한 반대를 물리치기 위해 극비리에 진행된 훈민정음 창제는 백성들의 계층간 소통을 원활하게 해야 한다는 집념을 보여 준다. 

유교와 중국화에 비중을 둔 당시의 시대적 상황은 지도층의 반발이 거셌음을 충분히 짐작할 수 있다. 그러나, 활자와 한글의 발명은 향후 500년 조선을 받쳐주는 국가적 업그레이드의 계기였다. 우리 나라의 가장 위대한 왕으로 존경받는 근본적 이유가 여기에 있다.

마틴 루터

세종대왕



이처럼 기록 문화는 기술의 발달에 힘입어 지속적으로 발전해 왔다. 기록 기술은 정보의 독점력을 제거함으로써 권력의 중심축을 옮기는 역사적 마일스톤이 되어 왔다.

역사적 사건 - 컴퓨터의 등장과 정보의 디지털화

무엇보다 획기적으로 패러다임을 바꾼 파격적인 기술(Disruptive Technology)은 컴퓨터의 등장과 정보의 디지털화를 들지 않을 수 없다. 디지털화로 정보는 영구적인 저장이 가능해졌고 실시간 검색이 가능하게 되었기 때문이다.


컴퓨터는 본래 연산 처리를 하기 위해 만들어졌다
. 주판이나 암산으로 하는 것과는 상대가 되지 않는 수치 연산 능력은 수작업에 들어가는 많은 시간을 줄여 주었다. 컴퓨터가 나온 초반기에 메인 프레임을 도입한 목적은 방대한 연산 처리를 컴퓨터로 함으로써 시간을 줄이고 자동화하기 위함이었다. 그래서 70-80년대에는 ‘데이터 프로세싱(Data Processing, 약칭 DP)’이 각광을 받았다.

워드 프로세싱(Word Processing)이 문서를 작업하는 것을 의미하듯, 데이터 프로세싱은 방대한 회계나 관리용 데이터 처리를 자동화하는 데 초점을 맞추었다. 그 작업은 많은 인력이 데이터를 입력하고 프린트해 출력물을 보는 과정으로 되어 있었다. 메인 프레임이 연산 처리와 I/O 입출력 역량, 프린팅(인쇄)에 강한 기능을 보이는 이유가 여기에 있다. 메일 프레임을 도입하는 목적 자체에 충실하기 위함이었다.

이렇게 등장한 컴퓨터가 점차 정보를 활용하는 도구로 포지셔닝(positioning)하기 시작했다. 그 과정을 제프리 무어는 'Living on the fault line'에서 다음과 같이 묘사하고 있다. 1970년대에 데이터 프로세싱은 공장 같은 작업 환경에서 허름한 작업복을 입은 직원들이 처리했다. 보통 지하에 위치한 이 작업장은 데이터 프로세싱 관리자가 통솔했다.

1980
년대에 들면서 정보를 활용하고자 하는 노력이 시도되었고, 이 때 등장한 학문이 바로 MIS(Management Information System)이다. MIS 부서를 이끄는 이들의 복장은 하얀 드레스 셔츠 정장(화이트 칼라)이었. 점진적으로 비즈니스에서 정보의 비중은 커졌고, IT 부서의 장은 CIO라는 경영자 레벨로 승격되었다. 현재는 정보가 업무를 도와주는 기능이 아니라, 정보 자체가 돈이다.

입체적으로 증대하는 디지털 정보의 활용

이와 같이 디지털 정보의 저장과 활용 측면이 부각되자 기술 혁신도 속도를 더했다. 하드 디스크(HDD), CD, DVD, 플래시카드, USB 등 다양한 저장 매체가 등장했다. 또한 경량화에 따라 휴대하기 편한 형태(portable)로 되었고, 가격은 지속적으로 하락했다. PC만 해도 연산 처리 능력을 필요로 하는 연구 목적으로 활용되다가 일반에 보급된 동기는 정보의 저장과 활용 때문이었다.

1990년대 초반에 ‘멀티미디어(Multimedia)’라는 말이 유행했다. 지금도 자주 사용되는 용어이지만 그 당시는 강력한 시대적 메시지였다. IT를 하는 사람치고 멀티미디어를 얘기하지 않는 사람이 없을 정도였다. 그 이유는 1980년대에 PC의 보급으로 문서가 디지털 형태로 PC에 저장되었고, 여기서 더 나아가 일반 텍스트보다 훨씬 많은 데이터를 저장하는 CD-ROM이 등장했다. 저장 용량이 커지자 드디어 텍스트가 아닌 영상이나 음성도 디지털 형태로 저장하고 처리할 수 있게 되었다. 이는 디지털 정보 처리의 외연을 입체적으로 확장하는 계기가 되었다. 당시 빌 게이츠가 아직 앳된 모습으로 수줍어하며 발표한 CD-ROM 컨퍼런스는 멀티미디어 컨퍼런스와 동의어였다.

그로부터 15년쯤 지난 지금에 이르러 멀티미디어는 MP3 플레이어, 디카(디지털 카메라), PDA, 포토샾, 유튜브(YouTube) 등의 형태로 우리 생활 속에 깊숙하게 자리잡고 있다. 한 마디로 컴퓨터 보급의 확대로 정보의 디지털화는 급속도로 진행되었다. 저장 기술도 혁신적으로 발전되어 무어의 법칙에 따라 디지털 저장 기기를 길거리에서도 살 수 있는 시대가 되었다. 

그만큼 일반인의 생활 속에 디지털 정보는 빠른 속도로 다가왔다. 이렇게 무한한 혜택의 세상을 가져다 주는 화신과 같은 디지털 정보는 아날로그 시대와는 차원이 다른 문화적 변화를 야기시켰을 뿐만 아니라, 한편으로 정보 관리의 새로운 문제점도 드러내는 계기가 되었다.


  (다음 회에 계속)

신고

주유소에 준 적 없는 내 정보가 왜 유출될까?

보안 이야기 2009.05.01 07:55

발단(Trigger) III-(2): 생활 혁명 속의 보안

 

GS 칼텍스에서 개인정보가 유출되었다는 소식을 접하고 많은 이들이 어리둥절해 했다. 나는 주유소에 내 개인 정보를 준 적이 없는데, 아마 그곳에서도 회원을 수집하나 보지? 그런데, 1000만이 넘는다면 4명당 1명이라는 얘기인데...” 개인 정보를 많이 취급하는 인터넷 기업이나 기관에서 정보 유출 사고가 났을 때 혹시 내 정보도..” 했던 경우와는 판이하게 느낌이 달랐다.

 

알려진 대로 소비자 마케팅의 일환으로 카드, 금융, 음식점과 같은 다른 업종간에 이루어지는 제휴 사업이 그 원인이었다. 주유소에서 카드를 받지 않았더라도 제휴사의 회원이 연결되는 고리가 있었기 때문이다. 소비자들이 회원 가입할 때 그다지 심각하게 생각하지 않는, 아니 거의 읽지 않는 약관에 그렇게 개인정보가 활용될 수 있도록 장치가 마련되어 있었다. 게다가 주유 사업은 정보통신망법의 사각 지대이다 보니 사후 관리나 감사도 어려웠다.

 

업종간 제휴와 결합은 비단 우리 나라만의 현상은 아니다. 그러나, 선진국에서는 프라이버시에 대한 규정과 문화가 어느 정도 형성되어 있다. 어떤 국가는 개인정보보호 최고 책임자 (Privacy Commissioner)가 막강한 권한을 가지고 있다. 개인 정보가 침해되었다는 정황이 있으면 수색할 수 있는 권한도 있다. IT 강국이면서 뒤늦게 정보 보안과 프라이버시 문제를 신경 쓰는 우리 나라와는 시스템 자체가 틀린 것이다.

 

더 심각한 문제는 개인 정보에 대한 관리 주체나 범위에 있어서 공감대도 아직 이루어져 있지 않다는 것이다. 기업들은 개인 정보를 무분별하게 수집해 왔고 정보를 마케팅 목적으로 활용하는데 혈안이 되었다. IT 구축과 관리는 사업 모델과 마케팅 목적을 지원하는 정도로 간주 되다 보니 보안이나 개인정보보호의 개념이 들어설 자리가 없었다. 개인들도 개인 정보의 관리에 대한 인식이 약하다. 친한 사람에게 패스워드를 알려 주는 것은 공동체 속의 나눔을 미덕으로 여기는 우리 문화에 기인하는 것인가? 이런 공감대가 없다 보니 법과 규정이 뒤늦을 수 밖에 없다.

 



개인정보보호는 이러한 위험성의 단편일 뿐이다
. IT가 우리 생활 속으로 스며들어오면서 보안 문제는 더욱 구조적이고 입체적이 되었다
.
생활 혁명의 현장에서 어떤 관점에서 보안 문제들을 바라보아야 하는지 조명해 본다.

첫째, 보안이 돈과 직접적인 관련이 되게 되었다.
 

전자상거래, 인터넷 뱅킹, 사이버 주식 거래 등등. 모두가 돈이 오고 가는 경제 활동이다. 이런 행위가 인터넷 공간을 중심으로 우리 삶의 현장에서 벌어지고 있다. 돈이 있는 곳에는 항상 범죄의 유혹이 있기 마련이다. 개인적 호기심으로 만들었던 바이러스가 범죄와 연관된 색채를 드러내면서 급증하기 시작했다. 특히 2005년 이후에는 범죄로 간주되는 악성코드의 위협이 눈에 띄게 늘었다. 기하급수적으로 증가하는 악성코드 중에서도 정보탈취를 목적으로 한 트로이 목마가 80% 이상을 차지한다는 사실은 그만큼 범죄 행위가 증대되고 있다는 점을 입증하고도 남는다.

 

앞 회에서 브로드밴드의 보급으로 인해 상시접속(Always-on) 상태인 PC가 공격 대상이 되었다고 언급한바 있다. 탈취한 정보로 돈을 벌 수 있다는 인식이 확장되면서 해킹, 악성코드는 물론 키로거, 메모리 해킹과 같은 심층 수준의 공격이 일반화되었다. 키보드, 메모리는 컴퓨터에서 가장 하드웨어 밑바닥에 위치하고 있다. 일반인은 물론 대부분 소프트웨어 전문가도 하드웨어를 에워싸고 있는 운영체제(OS) 내부로 들어갈 경우는 적다. 그런데, 해킹을 위해 이런 하드웨어 수준까지 활용한다는 것은 그만큼 공격이 집요하고 치밀해 졌다는 얘기다.


둘째, 보안이 개인의 문제가 되었다.

개방화의 물결 속에 정보 보안이 군대나 정보 기관의 영역에서 민간 산업의 문제로 확장된 바 있다. 그래도 이 때까지 정보 보안 문제는 내부의 정보 시스템에 주로 관련되었고 이는 IT 전문가들의 관리 영역이다.

그러나, PC가 우리 생활의 중요한 일상품(commodity)이 되면서 IT와 관련 없는 사람들이 보안 사고의 피해자가 되었다. 뿐만 아니라 만일 그 일반 PC가 우회 공격의 정착지로 활용되면 자신의 의사와 무관하게 가해자가 될 수도 있다.

이러다 보니 정보 보안이 IT 시스템 관리자 일부의 문제가 아니라, 일반 PC 사용자나 기업 내의 비 IT 부서 직원들에게 모두 해당하는 문제가 된 것이다.

 

개인의 권리와 안전을 보호하는 것은 국가의 의무이다. 급격한 환경 변화에 소외될 수 있는 국민들이 피해를 당하지 않기 위해 정보 보안 문제가 국가적 어젠다가 되었다. IT 분야에서 이 만큼 대다수 개인의 문제와 직결되는 시대적 이슈가 된 적이 있었던가? 이렇게 일반 국민을 위한 서비스를 위해 총체적으로 접근해야만 한 적이 있었던가? 그만큼 정보 보안은 개인의 일상 생활에 영향을 주는 특성이 있어 다른 산업 분야와 동일한 관점으로 인식해서는 안 된다.

셋째, 정보 보안은 각종 서비스에 영향을 주게 되었다. 

 

지식 기반 사회에서는 산업 시대의 업종 구분의 의미가 퇴색하고 있다. 앞서 GS 칼텍스의 예에서 본 것처럼 기업과 사용자 간의 연결 상에는 변화가 없더라도, 기업 내부나 기업간의 제휴로 인해 후단(backend)에서 비즈니스 통합이 이루어지고 있다. 이를 연결하는 접착제는 IT가 담당하고 있다. 데이터베이스 간의 정보 교환, 네트워크에 의한 통신, 어플리케이션 간의 결합 등 디지털로 저장된 정보는 유연하게 흘러간다. 계열사나 협력사 간에 이루어지는 이런 흐름에서 보안상 취약점의 피해는 고스란히 개인 사용자에게 돌아간다.


이를 해결하기 위해서는 각 사용자의 관점에서 서비스가 영향을 주는 요소를 종합적으로 조명해야 한다. 예를 들어, 의료정보보호에 해당하는 HIPPA는 병원, 약국, 보험 회사가 보관하거나 주고 받는 중요한 정보 (개인 정보, 병력, 투약 이력 등)가 허가된 사람 이외에는 어떤 형태로도 노출되어서는 안 된다는 것을 원칙으로 하고 있다.

VISA, Master,
아멕스와 같은 신용카드들이 만든 PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 처리를 담당하는 가맹점, 금융기관, 카드사 간의 보안 가이드라인을 종합적으로 규정한다. 아쉽게도 아직 우리 나라는 이런 규정을 도입하지 못하고 있다. 앞으로도 민간, 금융, 공공 등 다양한 분야에서 서비스가 발생할 터인데 각 서비스에 초점을 맞추어 총체적인 보안 대책을 수립해야 한다.


넷째, 보안의 문제가 개인의 일반 기기에까지 확장하고 있다. 

인터넷은 이미 우리 가정 속으로 깊이 들어 오고 있다. 인터넷 전화는 유료 전화 시장을 대체해 가고 있다. IPTV는 브로드 캐스트(broadcast) 방송의 개념을 쌍방향 커뮤니케이션의 형태로 바꾸고 있다. 아마 방송국에서 내 보내는 프로그램에 맞추어 사는 우리의 모습을 10년 뒤에 보면 어떨까? 백색 가전 제품들도 인터넷 기기(Internet Device)로 바뀌고 있다.

 

IT 전문 컨설팅 회사인 가트너(Gartner)에서는 2000년 국제 컨퍼런스에서 미래의 세상은 한 개인이 여러 개의 인터넷 기기 (Internet Device)를 소유하게 될 것으로 예측했다. 휴대폰, 디지털 카메라, IPTV, 인터넷 전화, 게임기, 휴대폰은 이미 인터넷 기기가 되지 않았는가? 아무도 책임지지 않는 인터넷 패러다임이 정보 보안의 출발점이라는 명제에 따르면 보안의 문제는 각 개인이 사용하는 장난감에까지 스며들고 있다고 할 수 있다.

 

결론적으로 생활 혁명은 정보 보안은 각 개인의 문제이자 각 개인을 겨냥한 서비스의 총체적 문제가 되었다. 이는 우리의 일반 생활 기기에도 적용되며, 경제적 가치가 있는 거래가 늘어날수록 사고의 위험성은 더 커지게 된다.

 

사회적으로 어두운 세력에 의해 우범 지역이라는 것이 형성된다. 돈을 갈취하거나 범죄 위험이 큰 곳이다. 자신의 안전을 위해서는 그런 지역을 피해 다니면 된다. 정보화 사회가 되면서 지능적인 화이트칼라 범죄가 등장한다. 그래도 이러한 범죄는 특정 기업이나 돈 많은 이들이 주요 피해자다. 그러나, 인터넷과 IT를 통한 생활 혁명은 그 피해가 평범한 개인들에게 미치게 된다. 게다가 사이버 공간에서는 우범 지역이 잘 구분되지도 않는다. 이것이 보안이 어려운 이유다.

 

생활 혁명 속의 보안 문제를 해결하기 위해서는 관련되는 개인과 기업, 기관의 공동 노력이 필요하다. 정부 기관에서는 사회적 안전망을 구축하기 위한 기반을 마련해야 한다.

기업에서 정보 자산에 대한 감독은 최고 책임자의 몫이다. 이미 글로벌 기업에서 CEO의 위험 관리 속에 정보 보안은 핵심적인 요소중의 하나다. 아울러 각 개인도 새로운 시대에 맞는 자기 관리가 필요하다.


범죄의 위험 지역을 아무리 국가에서 잘 관리한다 해도 스스로 통제를 못하면 아무 소용이 없다.

정보 보안의 궁극적 목표는 신뢰의 공동 플랫폼을 구축하는 것이고
, 이는 공동체 인식으로 나아가야 통제될 수 있다.

신고