▲산업스파이의 기술유출 유형. ⓒ 국가정보원
최근 한 결혼정보회사가 해커의 공격을 받아 회원 이름과 주민등록번호, 주소, 휴대전화 번호 등 개인정보 57만건이 유출돼 충격을 준 바 있다. 당시 경찰에 붙잡힌 해커는 "중국 인터넷 사이트에서 구한 프로그램으로 손쉽게 해킹에 성공했다"고 밝혀 주변을 더 놀라게 했다. 이는 국내 기업의 보안망이 얼마나 허술한지를 단적으로 보여준 사건이었다.
지난해 초 리니지 명의도용 파문으로 관심을 받기 시작한 중국발 해킹은 정부의 대응에도 불구하고 수그러들지 않고 그 피해 건수도 늘어나고 있다. 이에 따라 국가정보원, 국가보안기술연구소 등 국내 관계기관은 올해 '해커와의 전쟁'을 선포하고 공공기관과 기업들을 상대로 대대적인 사이버범죄 예방 교육에 나선다는 방침이다.
특히 국가정보원은 지난해 말 공공기관과 기업의 최고경영자들에게 정보보안 지식을 제공하기 위해 'CEO를 위한 정보보안' 책자를 발간하는 등 사이버 범죄 예방에 앞장서고 있다.
국정원 국가사이버안전센터 관계자는 "과거 중국발 해킹은 온라인 게임 이용자의 아이디와 비밀번호를 빼내는 것이 목적이었으나 최근에는 국내 공공기관과 주요 기업에 이르기까지 범죄 대상을 늘려가고 있다"며 "국민 개인에서부터 정부기관, 기업에 이르기까지 모든 인터넷 이용자가 해커의 표적이 되고 있다"고 밝혔다. 실제 정부기관인 국방과학연구소(ADD)와 삼성전자 미주그룹, LG전자 등이 중국발 해커의 사냥감이 돼 논란을 부르기도 했다.
정보보호 없는 정보기술 강국
대한민국은 현재 IT(정보기술) 강국으로 급부상하고 있지만 지나친 성장에 치중한 나머지 정보보호에 주력하지 않아 사이버 침해라는 대가를 톡톡히 치르고 있다. 실제 지난해 말 정보통신부가 홈페이지를 운영하는 공공기관 사이트 및 민간업체 사이트 4만4357개를 대상으로 정보보호 필수장치인 보안서버 실태를 조사한 결과 공공부문의 보안서버 보급률은 5.7%, 민간부문은 6%에 불과한 것으로 나타났다.
정보보호를 위한 정부와 기업들의 노력이 여전히 낙제점에 머물러 있는 셈이다. 최근 대한상공회의소가 발표한 '국내기업의 산업기밀 유출 실태조사'에 따르면 국내기업의 20.5%가 회사기밀 유출피해 경험이 있으며 그 원인으로 보안체계의 허술함을 꼽았다. 이는 그 만큼 회사 최고경영자의 정보보안에 대한 관심과 의지가 부족하다는 뜻이다.
정보보호에 대한 기업들의 투자도 인색하다. 한국정보사회진흥원의 조사결과 2005년 6월 기준으로 홈페이지를 보유한 43만9000여 민간사업체 가운데 정보보호 전담 부서를 운영하는 곳은 5.2%에 불과했다. 이 같은 통계는 우리 기업들의 안전 불감증을 고스란히 보여주고 있다.
<오마이뉴스>는 2일 국가정보원과 함께 'CEO를 위한 정보보안' 책자를 발간한 국가보안기술연구소 박춘식 소장을 만나 효과적인 사이버범죄 대응방법에 대해 알아봤다.
박춘식 소장은 "무엇보다 조직의 최고경영자인 CEO가 정보보안의 중요성을 인식하고, 관련 부문에 적절한 투자를 통해 정보보안 체계를 구축하는 것이 중요하다"며 "이는 조직의 보안이나 안전이 CEO의 의지나 관심에 의해 크게 좌우되며 조직의 보안이 국가보안과 직결되기 때문이다"고 설명했다.
그는 또 지난해 세간을 놀라게 한 결혼정보회사 회원정보 유출과 관련해서 "해커가 사용한 해킹 방법은 중국 해커들이 사용하는 방식으로 국내에서 수차례 이에 대한 경고가 있었다"며 "만일 CEO가 수차례 경고된 내용에 대해 조직 내 보안인력을 활용하여 보안대책을 수립하고 시행하였다면 이러한 사고는 발생하지 않았을 것이다"고 강조했다.
"CEO의 정보보안 의식, 경영의 성패의 중요한 요소"
다음은 박춘식 소장과의 일문일답.
| | | 'CEO를 위한 정보보안'은 어떤 책? | | | |
국가정보원은 지난해 말 국가보안기술연구소와 공동으로 공공기관과 민간기업의 최고경영자들에게 정보보안 지식을 제공하기 위해 'CEO를 위한 정보보안' 책자를 발간했다.
이 책은 정보보안에 대한 개념설명에서부터, 관련 법·제도·예산·조직 등 기업 경영에 필요한 다양한 정보보안 상식을 담고 있다.
무엇보다 정보보안과 연결된 기업경영의 성공 및 실패 사례와 유사시 대응방법 등 기업 CEO의 보안의식을 고취시킬 수 있는 다양한 내용을 수록했다. 국가정보원과 국가보안기술연구소에 문의하면 이 책을 무료로 받을 수 있다. | | | | |
- 기업의 CEO는 왜 정보보안의 중요성에 대해 깊이 인식을 해야 하고, 또 기업은 정보보안 인력·예산 등에 적절한 투자를 통해 체계적 정보보안 체계를 구축하는 것이 중요한지 간략하게 설명해 달라.
"CEO의 정보보안 인식이 중요한 이유는 기업이 사이버 공격을 어떻게 예방하고 대처하는지에 따라 경영의 성공과 실패가 중요한 요소이기 때문이다. 조직의 정보보안 체계를 구축하기 위해서는 인력과 예산이 뒷받침되어야 한다. CEO는 CEO의 정보보안 의지를 이행하는 정보보안 정책을 수립하고 시행해야 한다.
또 시행과정의 오류를 바로잡고 기업 특성에 맞는 정보보안 관행을 확립하기 위하여 CEO는 적절한 규모의 조직과 기업의 자산을 보호하기 위하여 적절한 예산을 투입해야 한다. 물론 조직 규모나 투지규모는 기업마다 다르겠지만 정보보안에 대한 적절한 투자가 기업 경영을 성공으로 이끄는 열쇠임은 분명한 사실이다. 기술을 빼앗기는 것은 단순히 경제적 차원의 문제가 아니라 우리 영토를 잃는 것과 마찬가지다."
- 아직까지 국내 기업이나 CEO들은 정보보안의 중요성에 대한 인식이 부족하다. 정보보안 관련 인력배치나 투자도 외국에 비해 뒤떨어지는 것이 사실이다. 그 이유가 어디에 있다고 보나?
"첫째 정보보안은 경영과는 관계가 적고 기술자만이 해야 할 전문적인 일로 생각하여 최고경영자의 관심을 유발하지 못하기 때문이다. 둘째 '정보보안 = 비용'이라는 잘못된 상식으로 투자에 인색하게 되고 있지만 실제로 적절한 정보보안 투자는 오히려 비용을 감소시킨다고 볼 수 있다. 셋째 정보보안 사고의 피해에 대한 인식이 계량화, 통계화 되지 못해 그 중요성이 간과되고 있기 때문이다."
- 사이버 공간의 정보보안이 보장되지 않을 경우, 어떻게 그 피해가 물리적 공간으로 이어지는지 설명해 달라.
"미국 완구 기업인 E사(社)는 해커의 공격을 받아 웹 사이트 접속 속도가 현저히 저하되고 고객들의 접속 실패가 속출하는 피해가 발생했다. 이러한 피해는 매출 감소, 이미지 실추 등으로 이어졌을 뿐 아니라 피해 소식이 전해지면서 이 회사의 주가가 하루 만에 주당 45달러에서 39달러로 13.3%나 하락했다.
다른 예로서 우리 생활과 밀접한 에너지 설비를 예로 들어 보겠다. 전력, 석유, 가스 산업은 사이버 공간을 이용하여 생산·분배과정을 원격으로 감시하고 제어한다. 이러한 중앙감시시스템은 지리적으로 분산된 대규모 시설에 대한 감시 및 제어를 원활하게 하지만 해커는 제어 시스템의 취약성을 이용하여 침투한 후 이를 파괴할 수 있다.
실제 미국·호주 등의 나라에서 실제 사이버공간을 이용한 침투사례가 보고 되고 있으며, 이로 인한 경제적 피해와 국민생활의 불편사례가 보고 되고 있다."
- 사이버 공간의 정보주권을 지켜내기 위해서는 기업과 CEO는 어떤 대책을 마련해야 하나?
"조직의 중요 정보자산을 보호하기 위해서는 기술적, 관리적 수단을 포함하는 제반 방법이 필요하다. 우선적으로 CEO는 조직의 인적 환경, 정보통신 환경 등에 적합한 정보보안 정책을 수립하는 것이 가장 우선적인 일이 될 것이다. 기존에 시행되고 있는 정보보안 관련 법규·지침 등이 정보보안 정책 수립 시 좋은 참고가 될 수 있을 것이다.
일단 보안정책이 정해지면, 보안 정책을 구체화하는 보안지침을 수립하여 조직의 구성원이 준수해야 될 절차 및 규정 등을 제시해 줘야 한다. 보안지침에는 정보자산 분류, 정보자산의 취약성 분석, 보안 대책 선정, 침해사고 대응계획 수립 등이 포함되어야 한다."
"해커가 D사에 거액의 돈 요구하다 검거"
- 최근 기업의 정보보안 소홀로 인해 발생한 국내의 대표적 사이버 범죄의 사례를 들어 달라. 그리고 이 사례의 경우 기업 입장에서 적절한 범죄 예방책은 무엇이었으며, CEO의 역할은 무엇이었나?
"유명 결혼정보회사 D사의 홈페이지가 해킹을 당해 아이디와 패스워드를 포함 54만명의 개인정보가 유출된 사건이 있었다. 해커는 개인정보를 이용하여 다른 사이트 회원가입에 이용하기도 하고 심지어 D사에 거액의 돈을 요구하다 검거되었다.
해커가 사용한 해킹 방법은 중국 해커들이 사용하는 방식으로 국내에서 수차례 이에 대한 경고가 있었다. 만일 CEO가 수차례 경고된 내용에 대해 조직 내 보안인력을 활용하여 보안대책을 수립하고 시행하였다면 이러한 사고는 발생하지 않았을 것이다. 조직에서 보안대책을 수립할 시 애로점에 대해서는 국가정보원 등 전문기관의 도움을 받을 수 있을 것이다."
- 반대로 사이버 범죄에 철저히 대비한 대표적 우수기업 사례를 소개해 달라.
"국가정보원이 우수 보안관리 업체로 선정한 K사는 모든 컴퓨터에 보안 프로그램을 설치하여 해커 등에 의한 사이버공격을 사전에 차단하고 있다. 또 노트북을 비롯한 모든 컴퓨터 기기의 사외 반출 시에는 사유와 기간에 대한 사전 허가로 내부자에 의한 불법 정보 유출 방지하고 있다. 전사적인 정보보안 인식제고 활동과 기술적인 보안대책 수립을 병행하여 기업의 정보자산을 보호하고 유출시 입게 될 손실을 최소화하고 있다."
- CEO가 반드시 숙지하고 있어야 할 정보보안에 관한 상식은 무엇인가?
"첫째, 정보보안에 대한 인식전환이 필요하다. 정보보안은 우리를 어색하게 만드는 불편한 도구가 아닌 오래된 옷을 착용하듯 우리에게 편리함을 제공해주는 도구라는 인식을 해야 한다.
둘째, 우리 조직에 사이버 침해사고 혹은 내부자에 의한 중요 정보유출 사고가 발생하거나 발생할 조짐이 보일 때 대처 요령이다. 사이버 침해사고 발생 조짐 혹은 사고가 발생하면 즉시 국가사이버안전센터, 관계 중앙행정기관, 한국인터넷침해사고대응센터에 등에 즉시 신고해야 한다. 또한 조직의 산업기밀 유출과 관련해서는 국가정보원 산업스파이 신고상담소를 이용해 신고해야 한다.
셋째, 개인정보 관리의 중요성이다. 개인정보는 잘 활용하면 큰 도움이 되지만, 오·남용이나 유출로 인한 피해는 정보주체에게 되돌릴 수 없는 심각한 피해를 주게 되고 정보사회 자체에 대한 불신으로 이어질 수 있다는 것을 기억해야 한다."
- 개인 차원에서 인터넷을 하다보면 처음 방문하는 사이트에서 회원가입을 하려고 하는데, 이미 가입되어 있는 상태라는 메시지가 나타나곤 한다. 일종의 명의도용이 된 상황일 텐데, 이때는 어떻게 대처해야 하나?
"명의도용이 의심될 경우 해당 사이트에 접속해 본인 가입여부를 재확인하고 해당 사이트에 도용 신고절차 등에 대해 문의해야 한다. 해당 사이트들은 일반적으로 본인임을 증명하는 서류를 팩스 등을 통해 요청하다.
로그인이 가능해지면 피해 상황이 없는지 확인을 하고 피해가 있을 경우 경찰청 사이버테러대응센터(www.ctrc.go.kr)나 개인정보침해센터(www.cyberprivacy.or.kr)로 신고하면 된다. 참고로 주민등록법은 '다른 사람의 주민등록번호를 자기 또는 다른 사람의 재물이나 재산상의 이익을 위하여 부정 사용한 자'를 3년 이하의 징역 또는 1천만원 이하의 벌금에 처하도록 규정하고 있다."