보안 사고의 근본 원인은 컴퓨터가 아닌 인재(人災)란 지적이 나왔다.

윤대진 SK 인포섹 수석 컨설턴트는 17일 "보안 시스템은 외부 침입 방어에 한계가 있다"며 "이상 징후에 대한 최종 판단까지 컴퓨터가 할 수는 없다, 결국 사람이 중요하다"고 말했다.

SK C&C와 SK 인포섹의 최근 10년간 주요 기업 보안 사고에 따르면 해킹 사건의 유형이 다양해지고,사고 발생 주기는 점점 짧아지는 추세다. 대신 해킹 공격 기간은 길어졌다. 짧으면 하루 단위에서 길게는 3년부터 10년까지 잠재했다 공격하는 식이다.

이는 최근 공격 형태 대부분이 지능형지속위협(APT) 공격 형태로 이뤄지기 때문이다. APT 공격은 해커가 악성코드를 심은 이메일 등을 보내 사용자가 이를 열게 되면 PC가 감염되는 형태다. 이렇게 감염된 좀비 PC가 증가하면서 서버가 파괴되고 해커는 내부 시스템에 잠복한 악성코드들을 이용해 데이터베이스 정보를 빼내게 된다.

이밖에 내부자 과실로 인한 피해 사례도 급증하고 있다.

윤 컨설턴트는 "꼼꼼한 보안 담당자와 전사 차원의 보안 경각심이 있다면 대규모 사고를 막을 수 있다"면서 "최근 터진 모 회사 고객 정보 유출 사건에서 담당자가 홈페이지 해킹 침입 여부를 몰랐다는 사실이 이를 입증한다"고 설명했다.

또 "보안 사고를 막으려면 보안 부서뿐 아니라 타 부서의 공조가 필요하다"면서 "말단 직원부터 회사 CEO까지 문제 의식을 기울여야 한다"고 말했다.

이를 위해 회사 자산 가운데 보안 인프라가 취약한 자산의 우선 순위를 정해야 한다. 중요 자산은 건물, 홈페이지, 종이 문서, 비밀번호 등 형태와 종류는 다양하다.

자산 우선순위를 설정했으면 문제 사항을 고치기 위한 수행 주기와 대안 방안, 직무 분장표 기록을 체계적으로 마련해야 한다. 보안 부서와 담당자뿐 아니라 전사적인 차원의 매뉴얼과 행동 요령도 꼼꼼히 인수인계돼야 한다. 예를 들어 외부 고객 출입 상태를 철저하게 점검하고, 회사 내 종이 문서 파쇄 수칙을 공지하는 식이다.

윤 컨설턴트는 "회사의 보안 정책을 CEO가 최종 의사결정하게 할 것을 제안한다"면서 "보안 사고가 터지면 매출 타격뿐 아니라 회사가 문을 닫을 수도 있기 때문"이라고 조언했다.

/장윤희기자 unique@