4995만건. 올해 들어 해킹 피해가 발생한 세 기업에서 빠져나간 개인정보 건 수다. 지난 4월 현대캐피탈, 7월 SK커뮤니케이션즈 해킹으로 수천만건에 달하는 개인정보가 유출된 데 이어 최근 게임업체 넥슨이 해킹사고로 1320만건의 개인정보를 도난당했다. 정부가 지난 8월 ‘인터넷 개인정보보호 강화 방안’을 새로이 내놓은 지 석 달 만에 또다시 대형사고가 터졌다. 반복되는 해킹과 개인정보유출로 정부와 기업, 이용자 모두 당혹감을 감추지 못하는 상황이다. 전자신문은 이용경 국회의원실(창조한국당)과 함께 각계 전문가가 참석한 가운데 ‘넥슨 해킹’ 긴급좌담회를 개최했다. 좌담회는 1일 이른 아침 국회에서 진행됐다.
◇참석자(가나다순)
김세헌 KAIST 정보보호대학원 교수,
김홍선 안철수연구소 사장,
석제범 방송통신위원회 네트워크정책국장,
이용경 국회의원
※사회=강병준 전자신문 정보통신팀장
◇사회(강병준 팀장)=안타깝게도 해킹으로 인한 개인정보유출 사고가 또다시 발생했다. 이번엔 국내 게임업계를 대표하는 기업 넥슨이다. 그간 다양한 노력이 전개됐지만 해킹 사고가 끊이지 않는다. 국내 해킹 사고 현황은 어떠한가.
◇석제범 방송통신위원회 국장=올해 들어 인터넷 보안 위협과 사고 관련 기사를 보지 않은 날이 드물 정도다. 인터넷 보안에 대한 사회적 관심도 높고, 사고도 많이 일어나고 있다. 비단 우리나라뿐 아니라 해외도 마찬가지다. 해킹집단을 통한 공격도 많고 CIA, FBI까지 공격당할 정도로 사이버침해 사고가 잦다.
해킹 유형도 달라졌다. 과거에는 해커가 실력을 과시하기 위해 단순 해킹을 시도하는 경우가 많았다. 최근엔 경제적 이익을 노리거나 사회혼란을 야기하는 사이버테러 등이 늘고 있다.
해킹 기법도 특정 기업이나 기관을 타깃으로 삼고 지속적으로 공격하는 지능형 공격이 증가했다.
◇사회=과거에 비해 해킹 사고가 늘어나는 원인과 배경이 궁금하다.
◇김홍선 안철수연구소 사장=요즘 해킹 사고는 놀랄 정도로 많이 발생한다. 해킹기술이 발달돼 특정 집단이 공개적으로 해킹을 예고하고 타깃 공격에 나서기도 한다. 외부에 공개되지 않은 해킹까지 포함하면 사고 건수는 더 많다. 스마트폰 악성코드가 증가하는 등 개인 스마트폰도 더 이상 안전지대가 아니다.
해킹 사고가 증가하고 영향력이 커지는 것은 그만큼 정보기술(IT) 활용범위가 넓어졌기 때문이다. IT를 지속적으로 활용하는 한 보안 위협은 항상 존재한다는 것을 명심해야 한다.
중요한 것은 정보보호에 대한 기업 인식이 실무진 선에 머문다는 점이다. 기업별로 보면 보안 수준 편차가 심하다. C레벨 경영진이 보안에 관심을 갖는 기업은 보안 수준이 상대적으로 높은 반면 그렇지 않은 기업은 보안 수준이 턱없이 낮다.
보안에 관해 해당 기업, 보안전문업체, 보안솔루션·기술 등 각각 담당할 수 있는 영역이 있다. 최근 해킹 공격기법은 고도화하는데 우리 기업 대응은 막연한 수준에 머물고 있다.
기업이 보안에 관한 기본 정책과 방향을 설정하면 피해를 막을 수 있다. 상당수 국내 기업이 조직적으로 보안에 관한 명확한 책임권한을 부여하지도 않고, 관련 정책도 수립하지 않으니 총제적인 문제가 발생한다.
◇이용경 국회의원=보안 사고가 일어나도 숨기려 하는 것이 문제다. 중요한 이슈니 일반 대중에게 많이 알려지면 경각심도 일으키고 문제를 풀 수 있는 해법도 나올 수 있다.
10년 전만 해도 사내 PC 데이터를 외부에 가져가지 못하게 하면 반발이 심했다. 최근에는 여러 사고와 피해가 발생하니 기업 구성원들이 사내 보안강화정책에 협조한다. 해킹 피해의 심각성을 어느 정도 인식하고 있기 때문이다.
기업이나 기관이 보안 사고를 당하면 빨리 신고하고 공표하는 것이 필요하다. 그래야 책임의식을 갖게 되고, 사회 전반적으로 보안 문제에 관한 심각성을 알게 된다. 이를 통해 선순환 구조를 형성해야 한다.
◇사회=해킹 사고 발생 시 신고의무는 어떻게 규정돼 있나.
◇석제범=기업은 해킹 사고가 일어나면 즉각 신고해야 한다. 구체적인 시간이 규정돼 있지는 않지만 즉시 신고하고, 이용자에게 공표해야 한다. 이를 어기면 과태료가 부과된다.
◇이용경=넥슨 해킹은 내부적으로 이상을 감지한 후 자체조사를 거쳐 사흘 뒤에 신고한 것으로 알려져 있다. 공식 기자회견은 또 사흘 뒤에 열렸다. 결국 일주일이 지나서야 회사 경영진이 기자회견을 가진 셈이다. 관련 법 규정을 보다 구체화해 경영진이 소비자에 대해 보다 신속한 조치에 나서도록 해야 한다.
사고 발생 후 첫 대응단계부터 전문가와 함께 응급조치에 나서는 게 효과적이라는 생각이다. 아마추어식 대응으로는 곤란하다.
◇김세헌 KAIST 교수=기업 최고경영자(CEO)가 보안에 관심을 갖지 않는 것이 문제다. ‘보안 경영’ 교육을 받아봤거나 관심을 기울이는 CEO가 드물다.
CEO가 보안 기술을 알 필요는 없지만 사내 보안구조·정책은 알아야 한다. 하지만 대부분 보안 예산 할당하고 담당조직 구성하는 것만으로 CEO로서 보안에 관한 역할이 끝났다고 생각한다.
다른 문제는 사내 정보보호부서와 IT부서 간의 갈등이다. IT부서는 회사 업무 효율화가 목적이어서 통상적으로 보안으로 인한 통제를 부담스럽게 느낀다. 올해 들어 한 금융사에서 외부직원 노트북이 발단이 돼 보안사고가 터졌다. IT부서는 시스템구축 업무 등을 신속히 수행하기 위해 외부 개발자 통제 강화에 신경 쓰지 않는다.
회사에는 여기저기 많은 정보가 존재하게 마련이다. 최고정보책임자(CIO) 입장에서는 효율적인 업무 환경을 마련하기 위해 부서마다 정보가 유통되기를 원한다. 하지만 CIO는 각 부서 정보에 접근하거나 이를 통제할 권한이 없다.
그 사이 해커는 악성코드로 내부 이메일을 감염시켜 정보를 빼낸다. IT부서가 보안을 책임져서는 보안 사고가 끝나지 않는다. 정보보호부서를 IT부서에서 독립시켜야 한다. 단순히 조직을 독립시키는 것으로도 부족하다. 상대적으로 작은 정보보호부서가 IT부서를 통제하기 어렵다.
이때 CEO의 역할이 필요하다. CEO가 최고정보보호책임자(CISO)에게 힘을 실어줘야 한다. CISO도 굳이 유능한 기술자일 필요는 없다. 보안 정책 운영을 잘하는 사람을 CISO로 임명해야 한다.
◇김홍선=우리나라 현실은 CIO 자체가 별 권한이 없다. CIO가 보안을 통제하든 CISO가 하든 방식은 다양할 수 있다. 하지만 우리나라는 IT부문이 시스템 도입에 초점을 맞추다보니 권한이 제한돼 있다. 다른 부서가 정보를 주지 않는다.
결국 CEO가 조정해야 한다. 사내 여러 부서에 개인정보가 흩어져 있는데 이를 CIO나 CISO가 통제할 수 없다. IT부서는 여전히 지원 부서에 머물고 있다.
IT 없이는 어떤 비즈니스도 할 수 없는 상황에서 정보를 합리적으로 통제해야 하는데 잘 되지 않는다. 이런 것이 뒷받침되지 않으면 아무리 기업이 좋은 제품과 서비스를 내놓아도 만족할 만한 결과를 얻을 수 없다.
◇이용경=CEO가 IT를 이해하지 못하는 게 현실이다. IT를 비용지출 부서로만 인식한다. IT와 보안에 대한 CEO의 관심이 낮기 때문이다.
보안사고 과태료 등을 대폭 강화하면 CEO의 생각이 달라질 수 있다. “보안사고 잘못 나면 회사 망할 수 있다”는 식의 생각이 필요하다. 그간 회사가 망할 정도로 사고를 낸 곳은 있는데 정작 망한 곳은 없었다. 과태료를 올리든지 CEO가 문제될 정도로 처벌을 강화하는 ‘충격요법’이 필요하다.
◇사회=주로 기업 쪽 보안문제를 지적했는데 여러 문제점이 있는 것으로 보인다. 공공 쪽은 보안 수준이 어떠한가.
◇석제범=과거 DDoS 공격 이후 정부 보안 예산이 많이 늘었다. 보안장비 투자도 일어나고 망 분리 작업도 진행됐다. 덕분에 지난 3월 재현된 DDoS 공격은 큰 피해 없이 넘어갈 수 있었다.
물론 아직은 부족한 부분이 많다. 민간기업보다 보안 수준이 높다고 하기도 어렵다. 다만 보안에 대한 관심은 많이 높아졌다. 부처 장관들도 사이버보안 등에 관심을 가진다. 취약한 점 있지만 전체적으로는 나아지는 상황이다.
◇사회=보안 수준을 높이기 위해서는 제도적으로도 보완할 점이 많아 보인다.
◇김세헌=우리나라는 보안 전문인력이 부족하고 보안산업 기반도 취약하다. 기업 보안예산은 미국에 비해 훨씬 적다. 보안 예산을 늘리고 전문인력 양성에 대한 투자에 힘써야 한다. 기업과 이용자 모두 정보보호 마인드를 높이도록 교육·홍보활동 등이 필요하다.
특히 교육이 중요하다. 기업에서 재무는 해당 부서만 제 기능을 하면 되지만 보안은 기업 내 전 부서가 참여해야 하는 일이다. 보안부서 하나 만든다고 모든 게 해결되진 않는다. 기업 구성원 모두가 참여할 수 있도록 인식 전환이 요구된다.
일전에 한 경영자 과정에 공문을 보내 보안 경영 강의를 제안했더니 반응이 없었다. 임원 될 사람들이 회사 보안수준 강화를 위해 어떤 역할을 할지를 배워야 한다.
◇사회=보안에 대한 문제점은 꾸준히 제기됐지만 잘 바뀌지 않는다. 그 사이 사고는 계속 일어난다. 각자 생각하는 대안과 해법을 듣고 싶다.
◇김홍선=보안에서 중요한 것은 ‘컴플라이언스(Compliance)’다. 사내 정책을 준수하고 통제하는 기능이 필요하다. 정보를 통제하고 활용하는 정책을 수립하는 것이 첫걸음이다.
기업이 기술을 잘 몰라도 관리는 가능해야 한다. 사고가 발생해서 기업에 가보면 관리 정보가 남아있지 않은 경우가 종종 있다. 보안 정책에 대한 개념이 부족하기 때문이다.
여기에 보안 전문기업의 도움이 더해져야 한다. 내부 직원만으로 해킹 공격을 방어하는 데는 한계가 있다.
덧붙여 국내 보안 전문인력을 양성해야 한다. 인력은 부족하고, 사고는 계속 터지는 악순환이 발생한다. 인력문제가 해결되지 않으면 추상적인 논의만 되풀이된다.
정부가 보안인력 양성에 힘써야 한다. 보안은 고급기술이라 해외 수요도 많다. 신성장동력이 될 수 있는 분야다.
◇김세헌=먼저 CEO가 보안 경영을 이해해야 한다. 경영진이 한두 시간만이라도 보안경영 교육을 받아야 한다. 보안 기술을 배우는 게 아니라 보안 경영에 요구되는 필수 과제를 익히는 것이다.
다음은 보안 사고에 대한 엄중한 처벌이다. 보안사고로 인한 개인정보유출은 사회적으로 처벌받아야 할 일이다.
기업이 환경오염을 일으키는 물질을 배출하면 처벌받는 것과 같다. 환경오염이 해당 기업에 그치지 않고 사회 전체에 피해를 주는 것처럼 보안사고도 마찬가지다.
그간 보안 사고에 대한 우리 사회 처벌은 약했다. CEO 처벌도 없고, 과태료도 수천만원에 그쳤다. 다행히 정부가 보안사고 처벌 규정을 강화하고 있다. 제대로 가는 정책이다. 그래야 CEO가 보안 문제 심각성을 인식하고 자신이 경영자로서 해야 할 역할도 알 것이다.
◇석제범=보안사고 처벌에 관한 법 기준 자체가 약하다. 이를 끌어올리려는 게 정부 방침이다. 사고 발생 시 철저한 조사로 강력한 처벌을 내려 경각심을 주려 한다.
보안 강화 정책도 추진한다. 웹하드, P2P 사이트를 중심으로 내년 악성코드 사전 탐지를 강화할 예정이다. 기업 부문 정보보호 기준과 기술보호 조치를 상향 조정할 계획이다.
주민등록번호 논란이 많아 단계적으로 온라인 수집이용을 제한할 방침이다. 궁극적으로는 온라인상에서는 주민번호를 사용하지 않는 환경을 만든다는 목표다. 구체적인 방안은 내년에 마련한다.
기업이 적극적으로 나서야 한다. 기업이 많은 개인정보를 갖고 있다. 이것을 방치하거나 잘못 다루면 회사 경영에 치명적인 타격을 입을 수 있다고 생각하고 보안 강화에 힘써야 한다. CEO가 사안의 심각성을 인식하고 내부 절차를 정비하는 등 신경써야 한다. 다른 기업에서 발생한 사고를 강 건너 불 보듯이 바라봐선 안 된다.
◇이용경=국내 보안 수준과 의식이 기술 발전 속도를 따라가지 못하는 형국이다. 우리는 보안에 취약한 점이 많았다. 당분간 충격요법을 써야 한다. 정부가 강력한 의지를 갖고 법·제도 정비에 나서야 한다.
보안 문제를 단순히 IT 분야가 아니라 철도, 댐 등 국가기간인프라가 훼손될 수 있는 중요한 사안으로 인식해야 한다.
사고가 발생하면 자체 조사로 지체하기 보다는 바로 공표하는 게 좋다고 본다.
◇사회=10년 넘게 반복된 보안 문제를 풀어야 한다는 데 모두가 동의하는 상황이다. 이 자리에서 나온 내용을 토대로 실행에 옮기는 노력이 필요한 것으로 보인다. 앞으로 주기적으로 보안 관련 의견을 공유해 안전한 IT인프라를 구현하는 데 힘써야겠다.
정리=
이호준기자 newlevel@etnews.com
