[아이티데일리] 업무의 시작은 일반적으로 출근 후 PC를 켜는 것에서부터 시작한다. 그런 다음 이메일을 확인하고, 업무용 소프트웨어를 사용해 본격적으로 하루 일과를 시작하게 된다. 최근에는 코로나19로 인해 재택근무가 증가하면서 집에 있는 PC에서 회사 네트워크로 접속해 업무를 수행하고, 화상 회의로 이를 공유하는 일도 낯설지 않게 됐다. 정보화 시대이기에 가능해지는 ‘일상의 정보화’가 어느덧 우리에게 익숙한 모습으로 자리 잡아가고 있다.

그러나 문제는 매일같이 사용하는 이메일이 사실 악성코드 감염의 주요 원인이 되고, 감염된 PC는 기업의 중요 정보자산 유출 또는 전산 시스템 파괴 등 상상하기조차 싫은 영화와 같은 일들이 언제든 현실화 될 수 있다는 것이다. 위와 같은 공격 기법을 통해 기업이 보유하고 있는 고객 개인 정보와 같은 중요 정보가 유출되고, 랜섬웨어 감염으로 인해 공장 가동이 중단되는 등 크고 작은 보안 사고가 발생하게 된다.

이렇듯 디지털 트랜스포메이션이 가속화됨에 따라 업무의 무게 중심이 IT로 이동하고 있으며 IT에 보안 위협은 날로 증가하고 있다. 그렇다면 이에 대응하는 기업들의 전략은 어떠할까? 정보보호에 대한 투자, 정보보호 조직 구성 등 기업 정보보호 활동 현황에 대해 살펴보고, 보다 철저한 보안을 위해 기업이 해야 하는 일은 무엇인지 그 방안에 대해 고민하는 시간을 가져보고자 한다.

정보보호 투자는 미흡, 사이버 공격은 용납하지 않는다?

최근 사이버 공격 동향을 살펴보면, 외부에서 내부로 직접적인 공격을 시도하기 보다는 내부의 취약한 사용자에게 접근해 2차·3차로 행해지는 공격이 많다. 그리고 실제 이러한 공격이 성공 확률이 높은 것으로 나타나고 있다.

이에 사이버 공격의 탐지 및 대응 방식도, 기존 외부에서 내부로 유입되는 공격에 대한 방어보다 오히려 내부에서 외부로 나가는 정보 유출을 방어하는 데 훨씬 집중되는 추세를 보이고 있다.

직접적인 공격이 어려워졌다는 건, 다시 말해 기업의 보안에 대한 투자가 과거보다 크게 늘어났다는 것으로 의미한다. 하지만 사이버 공격 역시 이전에 비해 한층 진화한 모습을 보이고 있다. 최근에는 정상적인 서비스인 것처럼 속여 내부에 침투하는 공격 또는 사용자를 속이기 위해 위장한 악성 메일이나 홈페이지로의 접속을 유도하고 악성코드에 감염시키는 등의 공격 사례가 급증하고 있다.

일한 사례는 기업의 입장에서 내부 정보보안에 대한 투자를 늘려야 한다는 것을 의미한다. 또한 기술적 보안에 대한 한계를 극복하기 위해 보안 인식 제고 교육과 같은 사용자 스스로에게 보안에 대한 중요성을 심어주고, 더 나아가 정보보안 활동을 유도할 수 있는 노력도 함께 요구되고 있다.

그러나 올해 초 과학기술정보통신부와 한국정보보호산업협회가 발표한 ‘2019년 정보보호 실태조사’ 결과에 따르면, 기업들의 정보보호(개인정보보호)에 대한 투자는 여전히 미흡한 것으로 드러났다. 기업의 전체 IT 예산 중 정보보호 예산의 비중이 5% 이상인 기업이 소폭 늘어나기는 했지만 아직도 기업의 정보보호에 대한 인식은 부족하다고 할 수 있다.

실제 동종업계 A기업과 B기업의 정보보호 투자 현황 비교 자료를 기반으로, 공격 대응에 대한 점수를 집계해봤다. 해당 내용은 실제 공격의 대응과 다소 차이가 있을 수 있으나, 사이버 공격이 일어날 때 대응할 수 있는 장비가 마련돼 있는지에 초점을 둬 살펴본다.

먼저 A기업은 외부에서 유입되는 공격에 대한 탐지 및 대응을 위한 투자는 물론, 내부 데이터 보호를 위한 무선침입방지 및 접근통제 등을 수행하며, 외/내부의 정보보안이 모두 적절하게 이뤄지고 있음을 확인할 수 있다. 그에 비해 B기업은 외부 공격에 대한 보안 조치는 존재하나, 내부 보안에 대한 투자가 미흡해 내부 정보 유출과 같은 공격에 쉽게 노출될 수 있는 취약성을 내재하고 있다.

결국 정보보호 투자는 경영진이 정보보호에 얼마나 관심을 보이는지에 달려있다. 날로 지능화, 고도화되는 사이버 공격으로 부터 기업의 자산을 안전하게 보호하기 위해서는 기업이 성장하는 것 이상으로 정보보호에 대한 투자를 확대해야 할 것이다.

산 넘어 산? 기업 정보보호 조직 및 담당자의 역할, 그리고 한계

1) 정보보호 조직에 대한 기업의 소극적 태도
오늘날 대부분의 기업은 정보보호를 위한 조직을 보유하고 있다. 하지만 그 조직에 부여되는 역할과 책임에 대해서는 여전히 많은 문제점을 안고 있는 것이 현실이다. 아직까지도 일부 기업에서는 정보보호에 대한 조직 자체에 미온적인 태도를 보이면서, 소극적으로 운영하는 모습을 보이고 있다. 별도의 독립된 팀을 구성하지 않고, 총무부서나 경영관리부서 등에 귀속되어 있는 경우를 심심찮게 찾아볼 수 있다. 이러한 조직 구성만을 놓고 보더라도, 기업 내에 정보보호 조직의 비중이 그리 크지 않음을 느낄 수 있다.

다음은 정보보호 조직의 역할에 따라 상반된 결과가 도출된, 두 기업의 사례를 비교해 봤다.

위 시나리오를 통해 우리는 B기업과 같이 역할이 명확한 정보보호 조직이 보안 위협에 대한 사전 조치는 물론 더 나아가 보안사고 예방까지, 더욱 확실한 대응을 해나갈 수 있음을 알 수 있었다. 중앙 집중적 체계화 관리를 지향하는 것이 아니라, 침해 사고가 발생한 이후 정보보호 조직의 역할과 책임을 논하기 전에 조직의 적극적인 활동에 대한 지원이 선행돼야 함을 강조하고 싶다.

2) 기업 정보보호 담당자 역할의 한계
필자의 업무인 보안관제를 수행하다 보면, 당사 관제센터 기준 개별 기업에서 발생하는 공격 이벤트 건수는 월평균 약 150만 건, 이 중 보안 솔루션에 의해 자동 차단되는 건을 제외한 실제 유효 공격 대응 건수는 약 130건 정도에 달한다는 사실을 알 수 있다.

이렇듯 매일 같이 발생하는 수많은 공격 이벤트에 대해 일부 기업은 보안관제서비스를 활용해 대응해나가고 있지만, 그렇지 못한 기업의 경우 그 기업에 소속된 보안 담당자가 일일이 분석해 처리해야 한다.

그러나 보안 담당자의 역량에는 편차가 존재해 실제 공격 이벤트를 보고도 이에 대응하지 못해 속수무책이 되고 마는 경우가 상당하며, 공격 대응 및 보안 운영을 위해 배치된 인력도 평균 1~3명 수준으로 외/내부 보안에 대한 모든 것을 처리하기에 턱 없이 부족하다. 더불어 기업의 무분별한 인프라 확장으로 인해 구조 파악이 어려워져 실제 공격이 발생하더라도 어디서 어떻게 대응해야 하는지조차 모르게 되는 경우도 발생하고 있다.

실제 랜섬웨어에 감염된 한 기업에서 공격이 진행되고 있음은 인지했지만, 각 부서마다 무분별한 네트워크 확장으로 인해 그 구조를 파악하지 못해 감염 경로 및 피해 규모를 확인하는 데 어려움을 겪은 사례가 있었다. 며칠에 걸쳐 사고 경위를 조사한 후에야, 외부망에 직접 연결한 한 부서의 PC로 인해 전체 인프라가 감염됐다는 사실을 인지했고, 이는 신속한 초기 대응을 어렵게 만드는 원인이 됐다. 기업 인프라 환경 내 보안이 필요한 곳, 집중돼야 하는 곳, 또 현재 상태에서 보완돼야 하는 곳을 사전에 파악하는 것은 보안 담당자에게 있어 매우 중요한 일이라고 할 수 있겠다.

고도화되는 보안 위협, 기업은 어떻게 대응해야 할까

물론 모든 기업의 정보보호 활동이 부족한 것은 아니다. 하지만 여전히 별다른 투자 없이 사고가 발생하지 않기만을 바라는 기업, 사고가 발생해도 어떻게 해야 하는지 모르는 기업이 많이 보이는 것을 보면 기업들의 정보보호에 대한 인식이 전반적으로 낮다는 것 또한 부정할 수 없는 현실이다.

웹사이트의 비밀번호를 잃어버렸을 때 비밀번호를 찾기보다 다크 웹에서 찾는 것이 더 빠르다는 우스갯소리가 있을 정도로, 해킹으로 인한 개인 정보 유출로 기업의 이미지 손상, 막대한 금전적 손실이 발생했다는 기사가 연일 터져 나오지만, 내 기업은 아닐 거라는 안전불감증은 지금까지도 만연하다.

방화벽 한 대로 보안시스템이 완벽할 것이라는 안일한 생각과 주먹구구식 문제 해결은 더 이상 유효하지 않다. 보안 사고를 직접 경험하지 않았다는 이유로 또 정보보호 투자 성과는 측정하기 어렵다는 이유로 정보보호 예산을 투자가 아닌 비용으로 인식해왔던 낡은 생각은 버리고, 이제는 언제 어느 때건 얼마든지 보안 위협에 노출될 수 있다는 사실을 명심할 필요가 있다.

기업들은 사이버 공격에 대한 효과적인 대응 체계를 갖출 수 있는 만반의 준비가 필요하며, 이를 위해서는 정보보호 조직의 역할이 그 무엇보다 중요하다. 정보보호 담당자의 한계를 이해하고 이를 보완할 수 있는, 적극적으로 수행하는 조직으로서의 역할이 절실히 요구되는 시점이다.