[리더스포럼]정보보안 사고 대응을 위한 두가지 제언

[리더스포럼]정보보안 사고 대응을 위한 두가지 제언

얼마 전 일어난 신용카드 대란 등 프라이버시 침해 등의 정보보안 사고 및 처리 관련 소식들을 들으면서 안타까운 생각에 중요하다고 생각되는 두 가지를 제안하고자 한다.

해상왕 장보고가 청해진을 세우면서 제일 먼저 한 일은 수군을 강화해 해적 세력을 물리친 일이라 한다. 그뿐 아니라 그 후 해상무역을 하면서 계속 수군을 각 지역의 무역에 동참시켰다. 추측하건대 해상무역 전문가를 수군의 책임자로 임명하는 일은 없었을 것이다.

그러나 우리나라의 대기업이나 금융권에서는 CISO(정보보안최고책임자)를 순환보직이라는 미명 하에 전혀 전문성이 없는 사람에게 맡기는 사례가 많다.

그렇게 전문성 없이 CISO를 맡게 되는 사람은 “한직으로 밀려났다” 아니면 “괜히 문제 생기면 책임지고 회사를 떠나야 하는 것 아냐?”라고 실망하는 일이 많다고 한다.

투자 대비 수익을 일반적으로 생각하는 CEO 밑에서는 당연히 CISO가 창출할 수익은 없으니 홀대 받는 것은 당연하고, 문제가 생기면 희생양으로 CISO를 쳐 내는 것이 일반적이다.

정보보호 투자는 얼마만큼 수익을 내는지가 중요한 것이 아니라 얼마나 손실을 보지 않는지가 중요한 것이란 점으로 관점을 바꾸어야 한다.

얼마 전 한 언론의 보도에 의하면 ‘금융사들은 “CISO를 임명하려고 해도 전문 인력을 구하기 힘들다”는 하소연을 하고 있다’면서 ‘정부와 금융업계가 함께 중장기적 관점에서 관련 인력을 양성하기 위한 구체적인 방안을 마련하고 지속적인 노력을 기울여야 한다는 지적이 나온다’고 했다.

그래도 CISO를 전문가로 임명하려는 노력이 보여 다행이다.

하지만 인력양성을 아무리 하려 해도, 보수가 낮고 책임이 크다면 인력양성이 되지도 않고, 일단 정보보안 전문가가 된다고 해도 다른 보수도 많고 책임이 적은 곳으로 옮겨가게 마련이다.

따라서 명확한 책임 소재를 가려 책임 추궁을 하는 것과 아울러, 높은 보수를 보장해 정보보안 전문가가 되고 싶게 만드는 것이 제대로 된 정보보안 전문 인력양성을 위한 첫걸음이 된다는 사실을 강조하고 싶다.

우리나라의 주민등록번호 제도는 문제점도 많지만 좋은 점도 많다.

주민등록번호를 식별 수단으로 사용하는 것은 주민등록번호 속에 담겨 있는 프라이버시 정보의 누출 이외에는 문제가 없다.

진정한 문제는 주민등록번호를 인증 수단으로 사용하는 것이다.

인증을 위해서는 본인만이 알고 있는 지식이나, 본인만이 갖고 있는 소유물이나, 본인만이 갖고 있는 신체적·행위적 특징을 확인해야 한다.

그러나 이미 주민등록번호는 본인만이 알고 있는 지식으로의 기능을 잃어버린 지 오래다.

그런데 대량의 개인정보 유출이 일어난 지 제법 시간이 경과된 지금도 주민등록번호가 인증 수단으로 변함없이 사용되는 것을 보면 어이가 없다.

여러 주민등록번호를 대체하는 방법이 나오고 있는데 하루빨리 그들 중 적절한 것을 골라 새로운 인증수단으로 사용하고 주민등록번호를 인증수단으로 사용하는 것을 법으로 금지해야 할 것이다.

그리고 어딘가의 데이터베이스에서 주민등록번호와 새로운 대체 인증수단으로써 번호를 연결해 주어야 할 것이다.

그러나 이 두 가지 번호를 한 데이터베이스에 저장해 관리한다면, 이것이 뚫리는 순간 새로운 대체 인증수단은 무용지물이 된다.

따라서 그들은 따로 암호화하고, 물리적으로 분리해서 보관해야 할 것임을 강조하고 싶다.

이필중 포스텍 교수(한국정보보호학회 명예회장) pjl@postech.ac.kr