by논설 위원
2014.03.10 07:00:00
초보 해커에게 홈페이지를 해킹당해 고객 1200만 명의 개인정보 유출사고를 낸 KT가 그제 ‘고객의 정보를 목숨처럼 여기는 KT로 거듭 나겠습니다’라는 사과 광고를 여러 일간지에 대문짝만 하게 냈다. 이런 사과문을 하도 자주 접하다보니 이제는 진정성이 느껴지지도 않는다. 다른 곳도 아니고 국가 기간 통신망을 운영하는 KT에서 정보유출 사고가 터진다는 것은 안보에 관련된 중대 사안이다. 간단한 해킹도 못 막는 KT가 재발 방지책을 제대로 세울 수 있을지 걱정된다.
정보보호는 기업.기관. 단체가 자체 디지털 전산망의 가장 약한 고리를 기준으로 침해방지 대책을 수립하는 것이 기본이다. 다시 말해 내.외부 전산망을 통틀어 디지털 정보가 저장. 유통되는 모든 경로를 점검해 외부 침입에 가장 취약한 부분을 찾아낸 다음, 거기서 발견된 취약점이 전산망 전체에 있을 수 있다고 보고 해킹 방지책을 세우는 것이 표준화된 정보보호 실행법이다. 이 작업이 결코 쉽지 않기 때문에 정보보호를 제대로 실행하는 조직이라면 수시로 정보보호 전문가들에게 의뢰해 자체 전산망에 대한 취약성을 점검 받는다. 그런 다음 점검 결과를 토대로 정보보호 수준을 끊임없이 업그레이드해야만 해킹을 막을 수 있다.
정보통신기술(ICT) 수준이 전체 국력에 비해 불균형적으로 높은 우리나라의 경우 민간. 공공 부문을 가릴 것 없이 각 분야 업무처리에 디지털 기술이 널리 사용되고 있다. 서울의 경우 시내 각 버스 정류장에서 ‘다음에 도착할 버스는 000번’이라고 안내하며 도착시각까지 알려줄 정도다. 이처럼 ICT가 발달하면 이에 비례해 정보보호 능력도 함께 높아져야 하는데 현실은 그러지 못해 문제다.
정보보호는 암호학에 바탕을 둔 고난도 기술이다. 단기간에 습득할 수 있는 역량이 아니다. 그래서 선진국 기업들은 사내에서 정보보호 전문가를 집중 육성하며 ICT예산의 10% 이상을 정보보호에 쓴다. 우리나라에서도 KT 등 웬만한 기업에는 정보최고책임자(CIO)가 있지만 정보보호최고책임자(CISO)를 두고 있는 곳은 드물다. 정보보호의 중요성을 새롭게 인식해야 한다.