소 잃는 외양간, 2014 정보보안 백태

정보보안

‘한국인터넷진흥원 KISA’에서 발표한 ‘2014년 정보보호실태조사(기업부문) 요약보고서’를 읽는다. 7천여 개 사업체를 대상으로 방문면접 조사한 꽤 믿을 만한 보고서다. 하지만 읽는 내내 체증 걸린 듯 답답한 마음, 못내 아쉽다. 문득 떠오른 말은, “모든 일은 결국 벌어진다.” 스티븐 킹의 단편집 제목이다. “Everything’s Eventual”.

언뜻 보기에 평범한 젊은이 딩크, 별다른 직업도 없는데 독립해 혼자 산다. 어느날 갑자기 멋진 집이 하나 생겼기 때문이다. 멋진 차도. 그런데 딩크 이 녀석, 참 희한한 녀석이다. 일주일에 한 번씩 하수구에다 돈을 그냥 버린다. 한 주도 빠짐없이 매주. 도대체 이 친구는 왜 이러나?

“처음부터 걱정 같은 건 안 했어요.”
“그렇지, 이렇게 되리라는 걸 이미 알고 있었던 거지.”
“모든 일은 결국 벌어지게 마련이죠.”
“그래, 맞아, 딩크. 모든 일은 결국 벌어지게 마련이야.”

그리고, 모든 일은 결국 벌어지고 만다..라고 써 봐야 도대체 무슨 내용의 소설인지 알 수 없지만, 스포일러 될까 봐 생략. (꽤 재밌는 단편집입니다. 추천합니다.)
‘소 잃을 수밖에 없는 외양간 보고서’, 내용 중 핵심만 골라서 보자.

조사 대상 기업 중 단 11.3%의 기업만이 정보보호 정책을 세워 뒀다. 하지만 해당 정책이 법으로 강제되는 금융업(74.5%)와 정보서비스업(26%)를 제외한 나머지 업종들의 값은 매우 낮다. 숫자 높은 업종 또한 개인정보보호법 등 관련 규제에 따른 결과이므로 혹시나 허울만 멀쩡한 면피성 체면치레는 아닌지, 내용의 적절성은 점검이 필요하다.

딱히 보안 정책만 그런 건 아니고, 일반적으로 어떤 회사의 수준은 문서화 수준으로 드러나게 마련이다. 문서화 수준이 그 회사에서 일어나는 업무의 질과 직결되기 때문. 그중에서도 특히 보안 정책은 ‘정말 하기 싫은데 위에서 하라니까 어쩔 수 없이 하는 일’의 성격일 수밖에 없다. 물론 그래서는 안 되지만, 뭐 어쩌랴 현실이 그러한 것을. 그러니 여타 분야 문서화에 비해 보다 엄격한 문서화 작업이 꼭 필요하다.

“정보보안 정책 수립!” 왠지 무지 어려운 일인 것처럼 들린다. 하지만 그리 어려운 일은 아니다. 보안 문제에 대해 아주 심각하고 진지한 고민 끝에 거의 완벽하게 정리된 시스템들이 이미 있으니, 그에 기준해 각자 처지에 따라 정책을 수립하면 된다. 영국의 BSI (British Standards Institute)에서 제정한 ‘ISO 27001’ 그리고 ‘ISMS (Information Security Management System) 정보 보안 경영 시스템’ 등 믿을 만한 보안 프레임워크 사양을 참조하면 큰 고민 없이도 간단히 수립할 수 있다. 물론 그대로 베껴서는 아무 의미 없겠지만, 그래도 아예 없는 것보다는 낫다.

그래서, 그런 정책에 따라서 누가 정보보호를 책임지는가?

정보보호최고책임자 CISO를 임명한 기업은 7.7%, 그리고 개인정보를 수집하는 사업체 중 개인정보관리책임자 CPO를 임명한 기업은 24.8%다. 이 또한 규제에 따른 결과이긴 하지만, CISO가 있냐/없냐에 따른 차이는 뜻밖에 매우 크다. 책임감의 구체성 문제다. C레벨 임원급 수준에서 구체적으로 책임자를 지정해 두지 않으면? 어떤 일이든 ‘일을 위한 일’이 되고 만다. 전에 ‘장미와 명령’이란 글을 통해 일을 위한 일이란 게 얼마나 한심한지 썼던 적이 있다.

그리고, 역시 규제의 사실상 강제적으로 전담 조직을 운영할 수밖에 없는 금융업(29.2%)을 제외하고, 정보보호 전담조직을 운영하는 기업은 단 2.8%뿐이다. 이 또한 “우린 그런 조직 따로 있어요!” 우기지만 실은 그냥 전산실 직원 중 아무나 골라 “누가 물으면 그렇다고 대답해!” 라고만 시키는 경우도 있으니 이 또한 사실관계 확인이 필요한 부분이다.
자 그럼, 책임은 그렇다 치고, 어떤 일이든 일의 핵심일 수밖에 없는, 예산은?

정보보호 예산을 따로 편성한 기업은 10.5%, 적다. 그리고 총 전산 관련 예산 중에 정보보호 예산이 5%가 넘는 기업도 2.7%에 불과하다. 10개 회사가 있으면 9개 회사가 “보안이 뭐예요?” 아예 신경도 쓰지 않는다는 뜻이고, 전산 쪽에 100만원을 투자한다 치면 그중 5만원만 따로 떼서 보안을 챙기는 회사도 거의 없다는 소리다. 이러니 보안사고가 안 일어나면 오히려 희한한 일인 거지. 이는 어쩌면 우리 사회 전반적인 리스크 매니지먼트 문화 부실의 한 단편인데, 위험 관리 비용을 안 쓰고 아껴서 이윤으로 쌓던 시절은 이미 지났다. 요즘도 장사 그렇게 하다간 시쳇말로, 한 방에 훅 간다.

정보보호 교육을 실시한 사업체는 13.2%인데, 이 또한 법으로 강제한 결과라 실효성은 알 수 없다. 그리고 자세히 들여다보면 일반직원 대상 교육이 90.9%다. 실제로 위험한 건 경영진인데? 늘 강조하는 바, 적은 노릴 만한 자를 노린다. 전에 ‘다크 호텔의 위험’을 통해 말했던 바, 방산 금융 자동차 제약 등 정보가치가 높은 회사의 C레벨급 임원진과 최고위급 연구원들이 가장 위험한 정보범죄 대상이다. 게다가 임원이란 자들은 원래 말을 좀 안 듣는다. 보안점검 있으니까 기계 좀 보자고 해도 “내가 얼마나 중요한 사람이고 여기에 얼마나 중요한 기밀이 들어 있는데!” 라며 거부한다. 그리고 임원이 단체 메일이라도 보내면 아랫것들은 안 열어 볼 수가 없다. 그러면? 회사 전체가 탈탈 털린다. 그런데도, 정보보호 교육은 지루하고 피곤하니 일반직원을 앉혀 둔다.

그리고, 정보보안 제품 및 서비스를 하나라도 사용하는 기업은 92.7%. 많다! 안전해 보인다!

그.러.나.

시스템 보안 90.4%, 네트워크 보안 44.9%, 데이터 암호화 등 정보 보안 33.1%. 숫자들이 어째 좀 묘하게 이상하다. 한 걸음 더 들어가 보자.


역시나! 안티바이러스 백신이 87%, PC 방화벽 69.8%,,

백신은 필수불가결, 맞다. 하지만 정보보안의 전부가 아니고 또 아니어야만 한다. 왜? 백신은 간단히 말해 개인-보안에 해당한다. (‘개인-보안’과 ‘기업-보안’의 개념 차이는 따로 떼서 다음 기회에 다시..) 간단히 말해, 전 세계 백신 시장 최대 점유율을 자랑하는 회사가 백신의 한계를 인정하고 앞으로는 사후 대처의 회복력 향상에 집중하겠다고 이미 발표했다. 백신으로는 방어가 사실상 불가능하다는 사실에 대한 인정이다. 낮은 탐지율도 문제지만, 감염된 컴퓨터를 백신으로 치료했다 치더라도 “이미 유출된 정보는 어쩔 거냐?” 질문에 아예 답할 수 없다는 근본적 한계가 가장 큰 문제. 시그니처 기반 방식으로는 “선제적 방어”란 말은 애초에 마케팅 용어일 뿐이고, 클라우딩 기술에 기반한 평판 판정 방식 등에 대한 연구가 활발하다곤 하나 뚜렷한 결과물은 아직까지 보지 못했다.

아무튼, 어떤 회사가 백신만 설치하면 위 92.7% 값에 포함되는 것이다. 백신은 기업이 아니라 집에서 혼자 쓰는 PC에도 설치한다. 결국 ‘개인-보안’이라는 뜻이니, 해당 항목은 질문 내용을 바꿔야 할 듯싶다.


연 1회 이상 정보보안 상태와 취약점을 점검하는 기업 23.6%, 이 값 역시 규제에 따르는 금융업 76.4% 정보서비스업 44.4% 를 빼면 10%대로 뚝 떨어진다.

정보보안 침해사고 대응활동을 하는 회사도 25.3%에 불과하다. 자체 서버를 보유한 회사만 따져서 그러하니 실제로는 그보다 훨씬 더 높다. 그런데 그마저도 ‘사고 발생 시 긴급연락체계를 구축’이라 답한 회사가 대부분이다. 사고가 터지면? 여기저기 급하게 돌릴 전화번호를 갖고 있다는 뜻일 뿐이고, 달리 구체적인 대응계획을 수립한 회사는 11.1%에 불과하다.

개인정보를 수집하는 사업체의 41.8%만이 보안사고 예방 및 사고 발생 시 대책을 마련해 두고 있다. 주로 사고예방 매뉴얼(32.6%)과 사후처리 방침(25.8%)을 보유하고 있다는 건데, 해당 문서 내용의 적절성에 대한 마땅한 감별 기준은 특별한 게 따로 없고 ‘있냐/없냐’를 따지는 수준에 불과하니 이 또한 보다 엄격한 판별 기준이 필요하다.

그래도 4할이 넘는 회사가 어쨌든 대책을 세우고 있다는 거잖아? 아니, 좀 더 깊숙히 들여다보자.


일단 개인정보 취급에 있어 보안성을 고려하고 있다고 답한 업체는 51.5%다. 그래도 절반이 넘네? 하지만 또, 백신! 중복 답변 가능 문항이라 51.5% 중 백신만 설치한 회사가 40.1%라는 뜻은 아니지만, 백신만 설치하고도 “보안성을 고려하고 있다”고 답해도 무방하다는 뜻이니, 이 또한 질문 내용을 바꿔야 할 일이다. ‘개인-보안’과 ‘기업-보안’의 개념 차이, 그리고
‘유출방지’와 ‘정보보호’의 개념 차이에 따라서.

어떤 내용을 담은 정보든 결국 데이터 보호의 관건인 지표는, 포차 다 떼고 그냥 ‘암호화’다. 그런데 암호화를 하는 업체는 고작 21.5%에 불과하다. 다른 정보도 아닌 가장 민감한 개인정보 상황이 이러하다. 이는 매우 중요한 부분이니 좀 더 들어가 보자.

주민등록번호 81%, 비교적 꽤 높지만 충분하진 않다. 그리고 이건 특정 업종에선 ‘나라에서 하라니까 하는 일’에 속하니 일단 넘어가고. 주민등록번호 못잖게 중요한 정보인 비밀번호 54.2%, 계좌번호 43.2%, 신용카드번호 36.8%, 어찌 된 게 점점 낮아진다,,

근데 이 문제는 회사에서 사용하는 ERP 등 업무처리 시스템이 취급하는 데이터에 형식적 제한이 있기 때문에 보안성을 높이고 싶어도 높이지 못하는 상황일 수도 있다. 일선 현장에서도 자주 듣는 불만이기도 하다. 하지만 이에 대해서도 시스템 동작에 영향을 주지 않고 데이터의 형식을 보전하면서도 암호화할 수 있는 ‘형태보존 암호화 (FPE: Format-preserving encryption)’ 등의 방법이 있다. ‘개인정보 비식별화에 대한 꽤 진지한 고찰’ 참조.

자, 대략 우리나라의 정보보호 상황이 이러하다. 종합해 보면 이건 뭐, 기업활동이 아니라 자살행위 아닌가 싶을 정도로 처참한 실정인데,
앞으로는 어떠할까? ICT 신조류 보안 상태는 어떠한지 살펴보자.

ICT 신조류 관련 보안에 투자한다고 답한 회사는 3.6%, 칸이 너무 좁아서 못 적고 아예 투자하지 않는다고 답한 96.3%만 표시했을 정도로 미미하다. ICT 신조류는 아직까지 닥치지 않은 먼 미래의 일이니까 그런 것 아닌가? 아니다. 보고서 중 ‘신규서비스’ 항목으로 분류된 것들 중에는 ‘빅데이터’, ‘IoT’ 등 아직은 약간 감이 좀 먼 것들도 있지만 ‘SNS’, ‘클라우드’ 등 이미 널리 퍼진 기술들도 포함되어 있다. 심지어 ‘모바일’도!

바야흐로 BYOD 시대, “Bring Your Own Device”, 자기 단말기를 들고 와서 회사 업무를 처리하는 경우가 아주 흔한 시절이다. 기술적으로 보다 쩨쩨하게 말하자면, 엔드-유저의 최종 단말에 이르기까지 기업-보안 범주의 보안성이 개념적으로 그리고 가상적으로 적용되어야만 하는 시절이라는 뜻이다. 그럼에도 모바일 단말기용 오피스를 사용하는 기업 중에 정보보호 지침을 따로 수립한 기업은 7.4%, 역시 지금도 많은 사람들이 활용하는 클라우드 서비스 관련 보안 지침 또한 7%에 불과하다. 이리도 불안한 상태로 어찌 다들 그리 아무렇지도 않게 “요즘은 클라우드 서비스가 대세야!” 태평스럽게 잘들 사는지, 그저 신기할 따름.

소 잃을 수밖에 없는 외양간 보고서, 대략 훑어보았다. 보다 진지하게 다룰 소재와 주제들이 꽤 많지만 하나하나 쪼개고 풀어서 보리라 후일을 도모하며, 내용 짧게 정리하면:

– 보안에 대한 사회적 관심이 태부족하다.
– 혹시 관심 있다더라도 실제로 중요하지도 않은 엉뚱한 곳에 집중한다.
– 개인-보안과 엄연히 구별되는 ‘기업-보안’ 개념 정립이 절실하다.
– 위에서 “하라고 시키니까 하는 보안”의 실태 파악이 필요하다.
– 보안 상태는 지금도 매우 불안하지만 본격 웹-시대가 닥치면? 이대로는, 절망적이다.

정리하느라 다시 읽으니 또 떠오르는 대화,

“처음부터 걱정 같은 건 안 했어요.”
“그렇지, 이렇게 되리라는 걸 이미 알고 있었던 거지.”
“모든 일은 결국 벌어지게 마련이죠.”
“그래, 맞아, 딩크. 모든 일은 결국 벌어지게 마련이야.”