망 분리 의무화, 해킹 예방의 시작일 뿐

오세호
시트릭스시스템스코리아
지사장

올 2월 국내 포털 중 하나가 회원 3500만 명의 개인정보 유출 사태와 관련한 집단소송에서 패소했다. 만약 개인정보가 유출된 회원 모두에게 위자료를 지급하게 되는 상황을 가정한다면 잠재적 위험 비용은 7조원에 달한다. 기업의 존폐까지 결정할 수 있는 참으로 중대한 사안이다. 해킹사고로 인한 개인정보 유출로 진행한 국내 집단소송에서 피해배상 판결이 난 것은 이번이 처음이다. 이전까지는 기업에서 어느 정도 보안 장비나 기술 설비만 갖춰놓으면 기업의 책임은 없다는 입장이었다. 이번 판결을 계기로 ‘개인정보 유출에 대한 기업의 책임’이 더욱 무거워지게 됐다.

　 많은 경우 기업에서 개인정보 유출 사고는 개인정보 취급자의 PC에 인터넷을 통해 접근한 해커가 심어놓은 악성코드에 의해 이뤄진다. 해커는 시스템 관리자의 아이디(ID)와 패스워드를 가로채 중요한 정보를 빼가거나 시스템을 마비시켜 장애를 초래하는 등의 사이버 범죄에 악용한다. 혹은 직원들이 의도적이거나 실수로 정보가 담긴 파일을 외부로 내보내는 경우도 있다. 이런 경우 기업 내 PC와 외부 인터넷으로 연결되는 PC를 분리한다면 개인정보 유출을 사전에 방지할 수 있다.

　정부가 지난해 8월 업무망과 인터넷망을 분리하도록 하는 내용의 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’을 개정하고 망 분리 조치를 의무화한 것은 갈수록 늘어가는 정보 유출 사고와 사이버 범죄 피해를 막기 위한 방책이다. 이에 따라 기업과 공공기관을 중심으로 다양한 망 분리 프로젝트가 진행 중이다. 하지만 오로지 망 분리 의무화에만 급급해 숙제하듯이 망 분리 자체에만 신경을 쓴다면 더 큰 그림을 보지 못하는 경우가 발생한다. 예를 들어 가장 단순히 인터넷망과 업무망을 분리하는 방법은 아예 네트워크가 다른 두 대의 PC를 만들고 사람이 PC를 옮겨가며 작업하는 것이다. 하지만 이렇게 되면 하드웨어와 네트워크를 중복 투자하는 문제가 있고 두 PC 간 연결하는 방법이 없는 것도 아니므로 근본적인 보안 방법이라고는 하기 어렵다. 또한 작업할 때마다 PC를 바꿔야 하므로 생산성 면에서도 비효율적이다.

　따라서 망 분리도 보안과 비즈니스 혁신 등 기업 정보기술(IT) 전략의 전체적인 맥락을 고려해 고민해야 한다. 하드웨어를 따로 두는 방식이 아니라 소프트웨어적으로 해결할 수 있는 방법이 바로 가상화 기술이다. 기존 직원 PC를 그대로 사용하면서 가상 데스크톱을 따로 만들어 업무용과 개인용으로 활용할 수 있도록 하는 것이다. 가상 데스크톱 관리 권한이 중앙에 있으므로 보안에 더 철저하게 대비할 수 있고 유지 보수가 쉽다. 신규 인원이 생겼을 때 관리자가 새로운 데스크톱을 생성해 업무 프로그램을 쓸 수 있도록 설정해 두고 사용자에게 계정만 제공하면 바로 업무에 사용할 수 있다. 정보 유출 방지, 업무 간 인수인계 시 데이터 유실 방지, 협업 환경 강화 등 전반적으로 조직의 근무 환경을 개선하면서 자연스럽게 망 분리 효과까지 얻을 수 있는 셈이다.

오세호 시트릭스시스템스코리아 지사장