[아이티데일리] 2001년 9월 11일 발생한 미국 무역센터 항공기 테러 사건은 전 세계적으로 재난 복구의 중요성을 부각시켰다. 어떤 재난이나 천재지변이 발생해도 기업의 운영이 지속될 수 있도록 철저한 준비가 필요하다는 것이었다. 그러나 많은 기업들이 이러한 재난에 대응할 준비를 마치지 못해 시급한 조치가 요구되는 상황이었다.

2002년, 재난대처 계획에 대한 관심 증가

2001년 9월 11일 미국 무역센터 테러 사건 이후 기업들의 최우선 관심사항으로 재난 복구가 떠오르기 시작했다. 단 한 건의 예기치 못한 사건이 기업 활동에 치명적인 결과를 가져다 줄수도 있다는 것을 깨달은 것이었다. 이에 기업들은 재난 복구에 대한 전사적인 차원의 접근 방안에 주목했다.

대표적으로 월스트리트저널은 9·11 테러 사건으로 직접적인 피해를 입었다. 무역센터 내 본사가 없어진 월스트리트저널은 수백 명에 달하는 직원을 다른 곳으로 대피시켜야 했으며, 월스트리트저널을 출판하고 있는 다우존스 역시 석간신문을 발행하기 위해 임시 사무실을 만들고, 100여대의 워크스테이션을 설치하고 추가 네트워크 용량을 주문하는 등 긴급 대처 계획에 돌입했다.

9·11 테러 사건으로 직접적인 영향을 받은 기업들은 물론 이를 지켜본 다른 기업들도 재난대처 계획을 수립하기 시작했다. 당시 인포메이션위크와 프라이스워터하우스쿠퍼스가 기업운영 및 재난 복구 계획에 관여하고 있는 IT 및 경영관리자 350명을 대상으로 실시한 연구에 따르면, 조사 대상자의 과반수 이상이 1년 내 재난대처 계획에 대한 예산을 늘리겠다고 응답했다. 또한 계획 개선의 여지도 많은 것으로 나타났다. 응답자의 64% 이상이 회사 차원으로 노력을 확대하겠다고 말했다.

그러나 기업들이 재난대처 계획을 세우는 데에는 많은 장애물이 있었다. 비용과 시간적 제약뿐만 아니라, 대부분 기업들이 영속운용계획을 주기적으로 업데이트하거나 전사적으로 확산시키려고 하지 않는다는 점이 지적됐다. 더불어 경영관리자와 IT관리자 간의 단절, 발주기업과 협력업체 간의 단절도 문제로 꼽혔다. 응답자의 60%는 경영 및 IT 관리자들 간의 협력 내용에 재난 복구 계획이 포함돼 있지 않다고 응답했으며, 협력업체나 서비스제공 기업 등과 기업 재난대처 계획을 공유하는 기업도 많지 않은 것으로 조사됐다.

당시 기업의 재난대처 계획은 연쇄적인 반응을 불러오기 때문에 단 한 번의 결정적인 실패가 회사 전체는 물론, 외부에까지 영향을 미칠 것이라는 지적이 잇따랐다. 따라서 회사의 모든 관리자들은 아니라 할지라도 부가가치 관련 파트너들과의 긴밀한 협조가 필요하다는 의견이 제기되고 있었다. 많은 기업들이 재난 관련 계획을 수립하고 이행하기 위해 시간과 노력을 들이고 있었지만, 모든 요소를 관여시키는 포괄적인 계획을 갖춘 곳이 없었다.

가장 큰 문제는 ‘비용’

재난대처 계획에서 가장 중요한 요소는 ‘비용’이었다. 응답자의 과반수가 재난대처 계획의 효과적인 관리를 방해하는 요인으로 비용을 꼽았다. 기업들은 전체 IT 예산의 1~2%를 영속운용계획에 지출하고 있었으며, 재난복구에 대한 관심 증가에도 불구하고 재난 관련 지출 비율은 크게 변하지 않은 것으로 나타났다. 시간도 문제였다. 응답자의 60%가 시간적 제약이 효과적인 기업 재난대처 계획을 수립하고 집행하는 데 방해가 된다고 대답했다.

위기 발생 시 어떤 데이터를 먼저 복구할 것인지 결정하는 것도 어려운 일로 꼽혔다. 특히 IT관리자와 경영자 간 시각 차이가 상당한 것으로 드러났다. 기업 경영자의 경우 과반수가 재난발생 시에도 중단없이 기업을 운용하려면 협력이 필수적으로 동반되는 큰 모험이 필요하다고 대답한 반면, 이에 동의하는 IT관리자는 1/3 수준인 것으로 조사됐다.

이러한 문제를 해결하기 위해 양쪽 모두를 포함한 행동집단을 만들어야 한다는 점이 강조됐다. 당시 많은 기업들이 경영자와 IT스탭이 함께 참여하는 팀을 구성해 IT 시스템을 지원할 수 있도록 하고 있었다. 그렇지만 이러한 협력체만으로 완벽하게 재난에 대처할 수는 없어 추가적인 조치가 필요했다.

연구조사 응답자 중 IT 부서가 재난 대처 계획을 주관하고 있다는 대답은 12%에 불과했다. 반면 유지보수를 IT 부서가 담당하고 있다는 응답은 32%에 달했으며, 기업 재난대처 소관이 경영자에게 있다는 대답 또한 40%에 달했다.

재난대처 계획을 가끔씩 점검하고 있는 것도 문제로 지적됐다. 응답자의 30%는 1년에 한번 점검한다고 답했으며, 그보다 더 기간이 길다는 응답도 25%에 달했다. 이 중 16%는 정기적인 점검 스케줄이 없다고 응답했다.

9·11테러 이후 기업들은 재난대처 계획 재검토 빈도뿐만 아니라 계획의 소관 주체까지 고려해야 했다.

생체인증 기술에 관심 보인 항공업계

항공업계는 투자수익률(ROI)이 분명하지 않은 기술에는 투자를 꺼려하는 경향이 강하다. 하지만 9·11테러 이후 보안을 강화하기 위해 생체인증 기술에 많은 투자를 하고 있어 업계의 이목을 끌고 있었다.

2001년 말, 미국 항공업계는 생체인증 기술 도입에 많은 관심을 보이기 시작했다. 스마트카드는 물론, 지문, 홍채 등을 이용해 탑승객의 신분을 확인하기 위함이었다. 특히 9·11테러 이후에는 미국 연방정부가 보유하고 있는 테러리스트 용의자 DB와 연동해, 얼굴 이미지를 대조하는 과정이 추가되고 있었다. 미국 정부 또한 공항에서 생체 기술을 활용할 수 있도록 지원하기 위해 움직이고 있었다.

미국 하원 항공소위원회는 생체기술을 항공업계에 도입하기 위한 법안을 제안했다. 미항공보안기술강화시행령에 따라 미 국립공항들은 스마트카드와 얼굴인식, 홍채스캐닝 등을 포함한 보안을 테스트하고 평가하는 파일럿 프로그램을 개발하기 위해 예산을 확보해야 했다. 비용의 일부는 연방항공관리청 등이 테러혐의자들의 외형이미지를 비행기 탑승객 스크린 시스템에 투사시키는 DB를 구축하는데 투입될 예정이었다.

하지만 일부 항공사들은 생체기술 도입에 소극적인 자세를 취했다. 이들은 생체 보안 제품을 전적으로 신뢰할 수 없고, 가격 또한 너무 비싸다고 지적했다. 게다가 미국 항공사들은 보안에 대해 서로 경쟁하지 않는다는 정책을 지키고 있었다. 특히 생체 기술 사용과 관련, 프라이버시 침해라는 문제 제기도 잇따르고 있었다.

항공사들의 재정적 어려움도 문제가 됐다. 대부분의 항공사들이 적자를 기록하고 있는 상황에서 IT 관련 지출을 줄일 것이라는 전망이 나오고 있었다. 당시 얼굴인식 시스템을 설치하는 데 공항 게이트당 25,000달러가 소요됐기 때문에 중간급 규모의 공항에 얼굴인식 시스템을 설치하기 위해서는 100만 달러 이상의 예산이 필요했다.

업계에서는 생체기술 도입과 관련해 ROI가 보장돼야 한다는 점을 지적했다. 항공사들은 생체기술의 효과가 입증된 것이 아니기 때문에 명백한 투자회수 효과를 제공하지 못한다고 생각하고 있었다.

생체인식 기술의 가장 큰 문제는 뭐니뭐니 해도 프라이버시 침해였다. 미국시민자유권동맹을 포함한 여러 단체들이 생체 기술은 프라이버시를 침해한다는 입장을 보이고 있었다. 특히 미국시민자유권동맹은 얼굴인식은 곧 선량한 시민의 피해로 이어진다고 지적했다. 이에 얼굴인식 기술 제공 기업들은 DB에 기록된 협의자의 이미지와 부합하지않는 이미지는 시스템에 보관되지 않는다는 점을 부각시켰다.

9·11테러 이후 보안 분야 위험도 커져…파트너 보안 문제 대두

9·11테러 이후 미국 기업들은 테러리스트들로부터 IT 시스템의 안전을 확보하기 위해 노력하고 있었다. 미 연방정부는 미국 국적 기업의 IT 시스템이 테러리스트 공격의 표적이 될 수 있다고 경고했다. 기업 특히 미국기업들은 보안 환경 개선에 적극적으로 나서고 있었다. 관계자들은 보안 환경 개선이 애국심과도 관련이 있다고 말했다. 하지만 기업들의 파트너 보안에 대해서는 소홀하다는 지적이 이어졌다.

문제는 파트너 업체와 온라인 협력이 늘어나면서 파트너들의 보안 중요성이 높아지고 있다는 것이었다. 인포메이션위크가 조사한 결과 IT관리자의 67%는 공급망 협력이 늘어났다고 응답했다. 인터넷이 등장하면서 기업들간 인벤토리 및 영업력 공유, 백오피스 시스템 통합, 공급업체 및 고객 등과 원활한 트랜잭션이 용이해졌다는 것이었다.

이처럼 협력이 확대되면서 보안이 IT업계의 주요 이슈로 떠오르고 있었다. 당시 인포메이션위크가 세계 보안전문가 4,500명을 대상으로 설문조사한 결과, 파트너와 공급업체까지 포함시킨 보안 정책을 운용하고 있는 기업은 전체의 21%에 지나지 않았다. 특히 보안 절차를 적용하고 있다고 해도, 수준은 파트너에게 요구 항목 점검표를 전달하고 답변을 받는 수준에 그치고 있었다. 당시 보안전문가들은 파트너에게 보안 정책을 알리고 지키도록 요구하며, 이를 모니터링하는 기업은 거의 없다고 지적했다.

이런 상황에서 업계는 사설 임대 회선보다 저렴한 VPN의 시장이 커질 것으로 전망했다. 한 시장조사 기업은 VPN 시장이 2005년 29억 달러에 달할 것으로 예측하기도 했다. 이러한 트렌드에 맞춰 다양한 기업들이 사설망을 VPN으로 대체하려고 프로젝트를 추진했다.

한편으로 협력사간의 보안 문제를 해결하기 위해서는 법제화가 필요하다는 의견도 제기됐다. 업무 파트너가 보안을 준수할 수 있도록 법안이 필요하다는 것이었다. 다만 당시까지 법제화가 진행되지 않았던 것은 기업들이 보안 침해에 대해 대중적인 관심을 원치 않았기 때문이었다. 게다가 손해를 수량화하는 것도 어려우며, 책임 소재를 명백히 하는 것에도 문제가 있었다. 그럼에도 당시 보안 전문가들은 법정에서 기업들이 보안 문제를 놓고 대립하는 광경을 볼 수 있을 것이라고 전망했다.