현대 사회에서 모든 것은 연결되고 있고, 그 중심에는 IT로 대변되는 기술이 복잡하게 얽혀 있다. 심지어 앞으로 이 연결은 더 가속화되고 고도화될 것으로 보인다.
이런 IT환경은 사람의 손에 의해 관리되고 운영되고 있지만, 복잡해지는 환경 속에서 충분하게 리스크 관리가 되고 있다고 장담하기는 힘들다.
2003년 1.25 인터넷 대란으로 불리는 사고에서 보듯 충분하게 관리되지 않을 경우 한 순간에 그 ‘연결’은 깨질 수 있다는 사실을 이미 경험했다.
최근에는 이 연결성이 IoT를 기반으로 우리 생활 깊숙이 파고들고 있다. 이러한 흐름은 막을 수 없기도 하고 굳이 새로운 변화를 막을 필요도 없을 것이다.
다만, IT기술을 통한 연결성이 점점 일상의 삶과 생활에 밀접해 지면서 그로 인한 부작용을 고려하지 않을 수 없다.
정보보호 측면에서도 부작용을 최소화 할 수 있는 방법을 고민하고 해결해야 안전하고 신뢰할 수 있는 사회를 구축하는데 도움이 될 수 있을 것이다.
가장 큰 리스크 중에 하나는 인프라에 대형 장애가 발생하게 되는 상황이다. 중요도와 발생 가능성을 고려해서 수시 또는 정기적인 점검의 대상과 깊이를 판단해야 하며, 중요한 시설이나 시스템에 대해서는 보수적으로 계획을 세워 적극적인 사전 대응이 필요한 분야라고 할 수 있다.
또한 해킹 등을 포함한 정보보호 문제로 인해 연결이 끊어지거나 의도치 않은 방향으로 작동되지 않도록 주기적인 점검과 모의해킹, 취약점 분석을 통해 사전 예방활동을 적극적으로 수행해야 한다.
이미 보안담당자들은 보안시스템의 기능을 활용해 무분별한 접근을 통제하고 침해사고를 탐지하기 위해 많은 노력을 기울이고 있지만, 일상적인 업무의 틀 속에서 느슨해진 틈을 타고 문제가 발생할 수 있다.
개인정보 유출로 인한 리스크도 생각해야 한다.
최근 많은 서비스들이 사용자의 개인정보를 활용해 개인 맞춤 서비스를 제공하는데 집중하고 있다. 이는 보안관점에서 볼 때 서비스를 제공하는 곳으로 이용자의 개인정보가 집약되기에 이에 대한 충분한 보안 리스크 관리가 필수적이다.
과거 개인정보 유출사건들이 관리자의 부주의나 내부직원의 고의적인 유출 등으로 발생했고 최근에는 APT공격 등 외부공격에 의해 발생하고 있다.
개인정보 보호관점에서 활용중인 개인정보가 의도와 반해 유출된 사실도 중요하지만 유출된 개인정보를 공격자가 2차 공격 또는 추가적인 공격에 활용할 수 있는지에 대해서도 고민하고 활용하는 것이 필요하다.
이러한 리스크는 모두 ‘연결’되어 있어서 발생할 수 있는 문제들이다. 연결된 모든 것들이 우리의 삶을 풍요롭게 하는데 도움이 될 수 도 있지만 부작용도 동시에 가지고 있다는 사실을 간과해선 안 된다.
그런 측면에서 '연결'되는 모든 것들은 이러한 리스크를 감안해 설계해야 하고, 고려하지 않고 활용중인 서비스와 기기에 대해서는 리스크 식별을 통해 감내할 수 있을 정도로 낮추는 노력을 기울여야 한다.
완벽하게 ‘연결’사회의 적들을 해소하기는 쉽지 않다고 해도 더 큰 리스크를 줄이기 위해 지금부터라도 ‘적’들에게 관심을 가져야 하고 필요한 자원의 할당이 더욱 더 필요한 시기다.
-현, 브로콜리 CISO/CPO
-현, 보안전략연구소 소장(Founder)
-보안전문업체, 포털사이트, e커머스, 핀테크 기업에서 근무
-ISMS, PIMS, ISO27001 인증심사원
★정보보안 대표 미디어 데일리시큐!★