이준호의 사이버보안 이야기 <5> 건강관리와 같은 보안관리 > News Insight

몸이 아파야 병원에 간다

몸이 아프면 우리는 병원에 간다.

나라에 건강보험제도가 잘 되어있지만 비급여 치료도 많아 큰 병을 대비하여 보험에 가입을 한다. 몸에 이상징후가 없는지 점검하기 위해 매년 건강검진도 받는다. 심지어는 건강검진을 받지 않으면 과태료를 물기도 하고, 건강검진을 받지 않으면 건강보험 혜택 시 불이익을 받을 수도 있다.

국민의 건강을 위해 국가는 끊임없이 새로운 질병을 모니터링하고 코로나19 같은 새로운 병이 출연하면 검사-진단-격리-치료 등 병이 전파되는 것을 막으며 국민이 이를 이겨낼 수 있는 체계와 사회의 역할을 정의한다.

그럼에도 불구하고 외형적으로 아프지 않으면 스스로 건강하다고 믿는 사람과 건강검진을 받은 후 혹시 큰 병이 있는건 아닌지 불안해 하는 건강염려증 환자 또한 적지 않다.

코로나19가 대유행을 했을 때 온국민이 마스크를 쓰고 생활했던 적이 있는데 그땐 정말 감기조차 걸리지 않았었다. 최근에 지인이 코로나에 걸려 고생을 했는데 처음 걸린거라고 했다. 한번도 걸리지 않아 본인은 슈퍼유전자가 있다고 생각했단다.

똑같다.

기업의 각종 보안 위협에 대해 대응하는 논리와 행동방식까지도 건강관리와 너무도 유사하다.

평소에는 건강하다고 믿는다.

요즈음 코로나19가 다시 재유행을 하고 있지만, 이미 감기처럼 생활속의 질병이 되어버려서 우선 나부터도 상당히 둔감해졌다. 한창 마스크를 쓰고 다니던 시절 코로나에 한번 걸리긴 했지만 감기는 한번도 걸리지 않았었다. 지금은 마스크도 잘 쓰고 다니지 않고 코로나에 걸리는 것에 크게 민감해하지 않는다.

우리는 병원에 가야할 정도로 아프지가 않으면 건강하다고 믿는다. 더 정확하게는 아프지 않은 상태에서는 건강하다고 믿고 싶은 것이다.

기업의 보안관리도 마찬가지다. 크든 작든 해킹피해를 당한 경험이 없으면 우리 기업은 철저하게 보안관리를 하고 있다고 믿게 된다. 하지만 언제든지 새로운 바이러스가 유행할 수도 있고 작은 병을 내 몸속에서 키우고 있는 것을 모를 수 있는 것이다. 

필자는 보안을 전공하고 해당 산업계에서 종사한 지 약 30년이 되었는데 30년 동안 크게 보면 별로 변한 게 없다. 기업은 훨씬 많아졌고, 기업의 IT 의존도는 매우 높아졌으며, 새로운 질병이 생기는 것처럼 사이버위협의 종류 또한 고도화되었고 의료기술이 좋아지는 것만큼 컴퓨터 보안기술도 좋아졌지만 여전히 똑같은 이슈는 보안관리에 대한 인식이 아직도 부족하다는 것이다.

평소에 술담배도 하지 않고 꾸준한 운동과 식단관리, 규칙적인 수면 등을 하던 매우 건강하던 사람이 갑자기 폐암에 걸린 사례를 본 적이 있다. 우리 회사가 완벽한 보안관리체계를 갖춘 것이 아니라 그저 아직 해킹사고가 나지 않은 것이란 것을 꼭 상기해야 한다. 완벽한 건강이란 것이 불가능하듯이 완벽한 보안관리 또한 불가능한 법이다.

병에 걸린 후에는 늦는다

아는 형님과 저녁 약속이 있었다. 일주일에 3~4번은 술을 드시는 애주가인데 그날 저녁에는 술도 안드시고 음식도 조금만 드셨다. 어디 아프시냐고 여쭈었더니 내일 건강검진이라고 하셨다. 나는 내일이 건강검진이시면 평소 몸상태를 검진 받아야 하니 평소처럼 술을 드시라고 말씀드렸다. 해프닝이긴 하지만 몇 가지 교훈이 있다.

첫째, 법적으로 건강검진이 의무화되어 있지 않았다면 형님은 10년에 한번 받을까 말까 했을 것이다. 하지만 대한민국 국민이면 누구나 정기적으로 건강검진을 받도록 의무화되어 있다. 그래서 조기에 암을 발견하거나 대장의 용종을 제거함으로써 건강을 유지할 수 있게 해주는 것이다.

그런데 기업의 사이버보안 건강검진이라고 할 수 있는 "취약점 진단"은 일부 기업에게만 의무화 되어 있다. 정보통신기반보호법, 정보통신망법, 전자금융거래법, 개인정보보호법 등의 법률에서 해당 기업은 정기적으로 시설에 대한 취약점을 점검하도록 의무화되어 있다. 하지만 이러한 법률을 지켜야 하는 기업은 전체 기업 수 대비 얼마 되지 않는다. 특히 장래 유망한 스타트업이거나 정통 제조업 및 중소기업 등은 의무화대상이 아닌 경우가 많다. 의무화되어 있지 않고 사고도 나지 않고 사업하기에 바쁜 기업들이 자발적으로 건강검진을 받기란 쉽지 않은 것이다.

건강검진을 받는 것은 너무도 중요하다. 어떤 병이든 조기에 발견하면 완치도 가능할뿐 아니라 비용도 적게들지만 암에 걸렸는지 모르고 있다가 통증이 심해 병원에 가면 이미 늦은 경우가 많고 치료과정이 힘들뿐 아니라 비용도 많이 든다. 이것을 기업에 대입하여 상상해보면 똑같은 논리가 적용됨을 우린 알 수 있다.

지속적인 예방활동의 중요성

나이가 50대 중반을 향해서 가다보니 무언가 알약을 먹는 일이 많아졌다. 지병이 있는 건 아니라서 혈압약 등 치료용 약을 먹고 있지는 않지만 뼈가 약해지니 칼슘도 먹고, 비타민을 먹으라고 주변에서 권고를 많이 해서 종합비타민에 눈 건강 유지를 위한 약에 몸에 좋다는 보약 등 뭔가 먹는게 많아지기 시작했다. 이 모든 것이 결국 아프고싶지 않아 하는 예방활동이다. 

기업의 보안관리도 마찬가지이다. 인간의 몸만큼이나 복잡도가 있는 건 아니지만 보안사고는 외부 해킹사고만 문제가 되는 것이 아니라 내부에서도 언제든지 발생할 수 있다. 특히 요즘 유행하는 사고는 기업과 협력하는 협력업체를 통해서 일어나는 경우가 많다. 기업의 특정서버는 철저하게 보호하기 위해 외부 네트워크를 완전 차단하여 운영하는 경우가 있다. 외부와 단절되어 있어 사이버해킹으로부터 안전하다고 믿는 경우가 있는데 이러한 시스템도 결국 정기점검과 관리를 위해 외부 전문가가 출입하여 점검할 수 밖에 없는데 이러한 경로를 이용하여 사이버침해가 발생하는 사례가 발생하고 있다.

네트워크, 직원들이 사용하는 PC, 인터넷, 메일, 사내메신저 등 어떤 경로에서든 해커는 침입할 수 있고, 각종 보안솔루션으로 막는다고 해도 침입할 수 있는 방법을 해커들은 꾸준히 연구하기 때문에 상시적으로 취약점을 진단하고, 이상징후가 있는지 모니터링하고, 협력업체 보안관리 점검활동과 임직원의 보안의식 고취를 위한 꾸준한 교육 등 종합적인 예방활동을 해야만 한다.

예방활동에 빼놓을 수 없는 것은 이중 삼중 백업체계를 갖추는 것이다. 시스템의 안정적 운영을 위한 시스템 백업체계부터 데이터의 백업체계 등 언제든지 보안사고가 날 수 있는 것에 대해 기업의 지속가능성을 위한 백업관리 또한 매우 중요하다.

< 보안점검을 하고 있는 의사, 그림-Midjourney >

병에 걸리면 적극적으로 주변에 알려라

병에 걸리면 적극적으로 주변에 알리란 말이 있다. 주변에서 치료 사례를 들을 수도 있고, 명의를 소개받을 수도 있다. 또한 주변 지인들로 하여금 건강관리에 경각심을 고취시켜 사회적으로 병이 확산하는 것을 예방하는 효과까지 거둘 수도 있다.

요즘 특히 랜섬웨어에 걸린 기업들이 많다. 그런데 대부분이 랜섬웨어에 걸리고 거액의 돈을 지불하고난 후 후일담으로 듣게 된다. 랜섬웨어에 걸리면 기업의 업무에 상당한 지장이 생기고 무엇보다 기업의 신뢰에 영향을 미쳐 주가가 떨어지거나 고객들로부터 외면을 받을 수도 있다는 두려움 때문에 외부에 알리기를 꺼려한다.

따라서 이러한 점에서는 정부에서 도와주어야 한다. 현재에도 사이버침해 신고센터가 운영되고 있고, 정보공유분석센터(ISAC)를 통해 지속적인 사이버위협 정보에 대한 공유, 모니터링 및 공동대응 등을 운영되고 있지만 모든 기업을 대상으로 하고 있지는 못하다. 기업이 사이버침해에 의해 병에 걸렸을 때 빨리 이를 감지하고 초동대응을 어떻게 하느냐에 따라 피해의 규모를 줄일 수 있다.

그럼에도 제일 중요한 것은 "의식"이다

혹시 건강검진을 받은 후 결과표가 나오기 전까지 '혹시 큰 병에 걸린건 아닌가?' 라고 걱정했던 적은 없는가? 건강보험심사평가원 자료에 의하면 실제로 대한민국 국민의 건강염려증 환자가 연 4000명 정도가 된다. 건강염려증은 질병이다. 건강염려증 환자들이 오히려 84% 더 빨리 사망할 수도 있다는 연구결과도 있다. 인간이 하는 모든 활동이 그러하듯이 가장 중요한 것은 마음이다. 

동종업계 기업에서 보안사고가 났을 때마다 '우리 기업은 괜찮겠지?' 라고 염려하는 것은 기업의 건강관리에 도움이 되질 않는다. 

병은 내부가 아플 수도 있고 겉에 상처가 나서 아플 수도 있다. 보안사고도 외부 해킹에 의해 일어나기도 하고 내부 직원에 의해 일어날 수도 있다. 건강을 잃으면 사회활동이 어려워질 수도 있고 심하게는 모든 것을 잃을 수도 있다.

기업도 마찬가지이다. 보안업계 30여년을 보아오면서 늘 나오는 이야기가는 '보안의식 강화'이다.

오늘 본 기고문을 본 기업에서도 우리 기업의 건강관리 상태가 어떠한지 이번 기회로 한번 점검해보고 임직원의 보안의식 강화를 위한 공유와 교육 등을 적극적으로 해보시길 권고드린다. 

<ifsPOST>