보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

정보는 해킹당하는 게 아니라 방치되고 있을 뿐

실제 유출 사고 들여다보면, 해커의 개입보다 관리자의 실수가 많아

보안도 경영의 중요한 요소로서 이해해야...경영진의 ‘보안 이해’ 필수

어두운 방, 검은 실루엣이 앉아 있다. 작은 랩톱의 모니터에서 나오는 희미한 불빛을 마주한 그는 키보드 소리를 내고 있다. 자세히 보니 실루엣은 후드티를 입고 있고, 헤드폰의 윤곽도 보이는 듯 하다. 이제 이 실루엣은 세상을 깜짝 놀라게 할 데이터 유출 사고를 일으킬 것이다.

그런데 이 사람은 해커가 아니다. 시스템 관리자다. 그가 있는 곳은 서버실, 그가 하고 있는 일은 파트너사에게 건네 줄 고객정보 데이터베이스를 설정하고 있는 것이다. 서버실이 왜 깜깜하냐고? 야근 중이니까. 퇴근 직전에 갑자기 내일 회의가 잡혔으니 필요한 자료를 준비하라는 지시가 떨어졌으니까. 서버실이 어두운 만큼 관리자의 마음은 급하다. 그래서 데이터베이스 설정을 하다가 중요한 걸 하나 깜빡한다. 그래서 인터넷을 통해 누구나 데이터베이스에 접속할 수 있게 되었다.

혹여 보안 관리자나 시스템 관리자가 이 글을 읽고 있다면, 묻고 싶다. 이런 일들이 어쩌다 한 번 일어나는 안타까운 사고인가? 아니다. 누군가 모든 방화벽과 암호화 기술을 뚫고 해킹에 성공하는 것이 어쩌다 한 번 일어나는 안타까운 사고이지, 이런 사소한 관리 실수는 자주 일어난다. 그리고 어느 쪽이든 그 결과는 대단히 치명적이다. 

실제로 정보가 유출된 사건들을 들여다보면, 해커들보다 관리자의 실수가 더 빈번하다. 해킹 사건이라고 부르기가 민망할 정도다. 이 시대의 정보는 해킹으로 유출되는 게 아니라 방치로 유출된다. 그것도 금고 안이 아니라 광장 사거리에서 말이다. 그럼에도 ‘해커’가 사건 배후로 자주 등장하는 건 ‘방치’를 덮어두기 위한 경우가 더 많다. 그게 진실이다.

심지어 가트너는 2020년이 되기까지 발생하는 방화벽 침해 사건의 99%는 취약점이 아니라 환경설정 실수 때문일 것이라고 공식 발표한 적도 있다. 여기서 사용된 ‘침해(breach)’라는 단어에 주의해야 한다. 왜냐하면 실제로 데이터가 손실되는 상황에 대해 잘못된 인식을 심어주는 주범이기 때문이다. 

‘침해’라고 표현하는 순간 우리는 ‘누군가 공격을 감행해 모든 방어 체계를 깨부수고 난 뒤 데이터를 가져갔다’라고 생각한다. 그러나 이는 사실이 아니다. 가장 진실에 가까운 현상은, 누군가 안쪽에서부터 의도적으로나 실수로 인해 길을 터주었고, 그 길을 따라 누군가 우연히 들어와 데이터를 발견해 가져간 것이다. ‘해킹’이나 ‘해커’라는 단어도 마찬가지다. 

업계에서 흔히 사용하는 단어의 잘못된 사용법을 지적하는 건, 이 잘못된 용법 때문에 우리가 문제를 직시하지 못하게 가로막기 때문이다. 게다가 보안 업계는 ‘가장 취약한 부분’을 찾아내 ‘해결해야’하는 분야 아닌가. 그 취약한 부분이 소프트웨어 제로데이이든, 보안 정책이든 뭐든 나 몰라라 하는 직원이든 말이다. ‘침해’와 ‘해커’를 ‘방치’와 ‘관리자’로 바꾸는 순간 우리는 해결해야 할 가장 큰 취약점을 똑바로 보게 된다. 

업무 환경이 사이버 공간으로 옮겨오면서 리스크들도 같이 따라오고 있다. 각종 디지털 기술로 이윤을 극대화시킬 수도 있지만, 그만큼 위험을 감수해야 한다는 것이다. 돈을 벌어다주는 바로 그 신기술이 그 이상의 대가를 요구할 수 있다는 것이다. 그러니 새로운 것일수록 꼼꼼하게 검토하고 확인하는 것이 중요하다. 조금 덜 꼼꼼했을 때, 아니, 검토해볼 생각도 없이 신기술을 누렸을 때, 회사를 키워준 고마운 고객들까지도 위험에 말려들게 된다. 

사이버 환경에서 생기는 ‘리스크’는 더 이상 IT 부서만의 리스크가 아니다. 사업 전체의 리스크다. 고객들은 기업과 인연을 맺으며 단순히 물건이나 서비스만을 구매하는 게 아니라, 신뢰까지도 저축한다. 이들의 신뢰가 저금된 곳은 우리 회사의 파트너사가 아니라 바로 우리 회사다. 우리 이름을 보고 우리에게 온 사람들이다. 파트너사에서 잘못을 해서 그 사람들의 정보고 유출됐다고? 그래도 깎이는 건 우리 회사에서 쌓여왔던 신뢰다. 어떤 일이 어떤 식으로 벌어졌건 깨지는 건 그 신뢰라는 것이다. 

그렇기에 유출 사고 규모에 따라 C 레벨들이 발 벗고 나서 고객들에게 사과를 하고 책임을 진다. CEO가 바뀌는 일도 드물지 않다. 왜? 당신들과 우리 사이의 신뢰가 부서진 것이 너무나 안타깝고 슬프다는 걸 적극적으로 보여주기 위해서다. 뿐만 아니라 전에 없던 각종 보안 조치들을 들여놓고 고객들에게 그 사실을 알린다. 역시 그들의 신뢰를 되찾기 위해서다. 그런데 정말 문제가 해결이 되긴 하는가? 그렇다면 두 번, 세 번 같은 사고를 겪는 건 왜인가?

진짜 취약점을 제대로 보지 못해서다. 그러니 더 강력한 솔루션에만 돈을 쓰고, 사업은 사업대로 위험에 처해지게 되는 것이다. 솔루션이 아무리 비싸고 현존 최고의 기술력으로 만들어진 것이라고 해도 결국 관리자의 실수 하나로 다 무용지물이 된다. 그랬을 때 벌어지는 일은 IT 부서 책임자의 문책으로만 끝나는 게 아니라 사업장 문을 닫게 되는 사태로까지 이어진다. 이 시점에 필요한 건 IT 기술과 회사 경영의 관계 정립을 새롭게 하는 것이다. 사이버 보안 리스크를 경영 리스크로 바라보는 시각이다.

보안 관리를 IT적인 측면에서 바라보던 옛 관습은 이제 버려야 한다. 그리고 좀 더 큰 그림 내에서의 중추적인 역할로서 이해하기 시작해야 한다. 보안이 사업이고, 사업이 보안이다. 기업 내 IT 자산과 데이터 흐름을 최대한 ‘가시화’해서 경영진들이 보고 이해할 수 있어야 한다. IT 담당자가 가시화 작업을 한다면, 경영진들은 보안 공부를 해야 한다는 것이다. 왜? 그것이 고객의 신뢰를 저버리지 않는 길이기 때문이다.

고객 및 파트너사의 중요한 정보를 지키는 건 회사 전체가 힘써야 하는 일이다. 누군가 한 사람의 책임을 물 수 있는 성격의 것이 아니라는 뜻이다. 온갖 보호 기술들은 이미 충분히 시중에 나와 있다. 사람의 새로운 시각과 태도 변화가 따라잡지 못하고 있을 뿐이다. 

글 : 마이크 보크스(Mike Baukes)