[아이티데일리] 사이버 보안 분야 국제표준을 놓고 벌어지는 국가간 경쟁에서, 한국이 제안한 표준안들이 최종 채택되는 등 우리나라가 사이버 보안 분야 표준화 주도국으로 점차 입지를 넓혀가고 있다는 기사를 접했다. 우리나라가 글로벌 보안 트렌드를 따라가지 못하는 보안 변방국 이미지에서 벗어나 점차 보안 트렌드를 이끄는 기술력 있는 국가로 위상이 높아지고 있는 것이었다.

미국에서 펼쳐지는 세계 최대 보안 전시회에 우리나라 보안 기업들이 참여해, 제품 전시와 시연을 하며 참관객들로부터 많은 관심을 받고 있다는 기사도 접했다. 많이 모자랄 것만 같았던 우리나라 보안 제품들이 어느덧 글로벌 무대에서도 충분히 통할 수 있다는 것을 보여주고 있었다.

이처럼 우리나라 보안 기술력은 글로벌 무대 어디에 나서더라도 부족함이 없을 정도로 성장했다. 하지만 성장한 기술력만큼 보안 사고가 줄어들 것이라는 생각은 해서는 안 됐었다.

지난 1월, 국내 경제 인구 대부분의 개인정보와 금융정보가 유출되는 대형 사고가 발생했다. 그러나 사고 규모와 달리 유출되는 과정은 너무나 초라했다. 단지 USB 하나에 모든 것을 담아갔으니 말이다. 세계 최고 수준의 보안 기술력을 갖췄으면서 가장 원시적인(?) 방법으로 인해 그 모든 것이 무력화되는 일을 겪고 나니 제법 황당하다.

카드사 고객정보 유출사고를 일으킨 용역직원은 청문회에서 “보안 규정이 허술한 곳만을 노렸다”고 진술했다. 즉, 유출된 카드사들이 보유한 보안 솔루션의 기능이 부족한 것은 아니었다. 제대로 된 보안 규정이 적용됐으면 발생하지 않았을 거란 이야기다.

우리나라는 효율성을 중시하는 나머지 담당자에게 너무 많은 권한을 준다. 비록 직급이 사원이나 대리에 불과한 직원이더라도 실무자라면, 임원급은 되어야 볼 수 있는 자료나 관리자 계정을 발급해주곤 한다. 그렇게 해서 실무자가 일 처리를 하는데 아무런 제약이 없게끔 해주는 것이다. 외부자였던 용역직원이 카드사의 중요한 자산인 고객정보를 손에 넣을 수 있었던 이유도 여기에 있었다.

또 다른 문제로 우리나라는 보안에 대해 너무나 과도한 불감증이 있다는 점을 지적할 수 있다. 이미 많은 보안 전문가들도 이에 대해 입을 모으고 있지만, 정작 보안을 위한 노력들을 진행하는 곳은 그리 많이 찾아보기 어렵다. 실제로 보안은 투자한 만큼 바로 효과를 볼 수 있는 분야가 아니기 때문에, 효율성을 중시하는 경영진의 입장에서는 보안 투자를 비용으로 인식하기 때문에 정확하게 하기 보다는 최소한으로 하려는 경향이 많다.

최근 들어 보안 사고를 인재(人災)로 보는 시각들이 많아졌다. 보안 기술력에 대한 의심보다 보안 정책을 집행하는 사람들이 문제가 있다는 것을 인지하기 시작한 것이다. 그러나 단순히 사람만의 문제라고 보기도 어렵다. 한 두 사람만 그러는 것이 아니라 많은 사람들이 비슷하게 그러냐는 질문에 대해선 마땅한 답이 떠오르지 않기 때문이다. 어쩌면 이런 문제가 우리 사회가 갖고 있는 문화 또는 민족성 때문일지도 모른다는 생각을 해보기도 한다.

허술한 외양간을 지어놓으면 어떻고, 든든한 외양간을 지어놓으면 또 어떤가. 문을 제대로 잠그지 않고 관리도 제대로 하지 않는다면 외양간의 든든함 여부는 아무런 소용이 없지 않은가.