CEO의 보안 인식이 조직의 보안 수준

영화나 소설을 보면 정보나 물건을 탈취하기 위해 잠입하는 장면이 종종 등장한다. 당연한 얘기지만 정문을 공략하는 경우는 거의 없고, 감시의 사각 지대인 빌딩 공간의 허점을 악용하거나 내부인을 매수하는 방법을 구사한다.

사이버 공간에서도 마찬가지다. 해커는 구태여 철통 같은 네트워크 정면을 뚫지 않는다. 그 조직의 가장 취약한 홈페이지나 PC를 점거하는 우회 침투 공격을 취한다. 최근에는 특정 웹 사이트에 들어가기만 해도 악성코드에 감염될 수 있다. 온갖 화려한 웹과 소프트웨어 기술이 사용되는 대가로 우리 PC는 더 많은 위험에 노출돼 있다.

이제 바이러스로 대표되던 악성코드는 완전히 다른 모습으로 변했다. 과거에 자기 과시를 위해 불특정 다수에게 보내던 바이러스는 낭만적으로 느껴질 정도다. 오늘날 악성코드는 사이버 범죄를 위해 치밀하게 설계되며 특정 목적을 염두에 두고 해커가 직접 제작한다.

온 나라를 떠들썩하게 했던 7·7 디도스(DDoS) 대란만 해도 해커가 일반인의 PC를 자신들의 무기로 탈취한 행위다. 마치 아무 죄 없는 민항기가 탈취돼 세계무역센터 빌딩에 충돌한 9·11 테러처럼 7·7 디도스 공격도 해커에 의해 조종된 PC가 4일간 사이버 테러를 감행했다.

주목할 것은 해커가 정보기술(IT) 인프라를 공격하는 데 필요한 정보를 IT 인프라를 통하지 않고도 얻을 수 있다는 사실이다. 이를테면 조직의 내부 정보를 통해 보안에 취약할 것 같은 특정 PC와 사용자를 미리 파악하는 것이다. 그렇다면 이런 고급 정보는 어디에서 얻는가? 대부분 내부자에 의해 유출된다. 가령 어느 임원이 무심코 친구나 선후배에게 알려준 회사의 조직도가 바로 사이버 공격의 시발점이 될 수 있는 것이다. 정보 보안이 IT 부서만의 문제가 아니라는 점을 시사하는 대목이다.

정보보안 정책은 예외 없이 적용되느냐가 중요하다. “어느 대기업에 정문을 통해 들어가려면 무척 까다로웠는데 고위급 임원과 같은 차를 타고 들어가니 무사 통과하더라”는 경험담을 들은 적이 있다. 이는 감히 보안 정책을 들이댈 수 없는 조직 문화 때문이다. 아무리 보안 정책을 잘 만들었더라도 예외가 많이 발생하면 그 정책의 실효성은 떨어진다.

맬컴 글래드웰의 저서 『아웃라이어』에는 괌에서 사고가 난 국내 항공사의 이야기가 나온다. 2명의 조종사를 배치하는 것은 서로를 견제해 바른 결정을 하게 하려는 취지다. 그러나 후배가 선배의 의견에 감히 이견을 달 수 없는 문화에서는 그 취지대로 실행되기 어려우며, 괌 사고의 원인 중 하나도 그것이었다고 이 책은 지적한다.

IT 기술을 통한 정보의 활발한 소통은 조직의 경쟁력을 위해 당연하다. 그러나 보안에 관해서는 투명하게 소통이 되지 않는 경향이 있다. 추상과 같은 규율과 명령이 과도하면 문제를 덮고 은폐하게 된다. 따라서 각자 노출된 문제점을 솔직하게 논의하고 예외 없이 준행할 수 있어야 한다.

그런 점에서 보안의 실행력을 좌우하는 것은 최고 책임자의 리더십이다. 윌리엄 파렛은 『위기의 CEO』에서 “CEO와의 대화 속에서 보안이라는 단어가 반복되는 것은 놀라운 일이 아니다. 기업의 총체적인 리스크 관리와 정보 보안은 CEO의 몫”이라고 설명한다. 보안은 회사의 자원을 종합적으로 동원하고 관리하는 CEO가 주도해 종합적으로 제시하고 관리해야 한다. 최고 책임자의 보안 인식은 그 조직의 보안 수준에 막대한 영향을 준다.

사이버 공격이 입체적으로 전개되는 상황에서 정보 보안은 IT 부서만의 업무도 아니며, IT만의 문제도 아니다. 조직 문화, 임직원의 인식, 조직 외부와의 정보 채널, 업무의 효율성과 관련이 있다. 정보가 조직의 자원과 융합되는 총체적인 관점으로 정보 보안을 바라보는 인식이 절실하다.

김홍선 안철수연구소 대표이사