[이코노미스트 박세진 기자] 국내에서 대형 보안 사고가 반복되고 있다. 예스24·SK텔레콤·롯데카드·쿠팡 등 대형 기업들이 잇따라 해킹과 정보 유출 피해를 겪었다. 사고가 발생할 때마다 기업은 사과문을 내고 정부는 조사와 점검에 착수한다. 시장은 잠시 술렁인다. 하지만 시간이 지나면 비슷한 사고는 다시 반복된다.

보안 업계에서는 이 같은 상황을 두고 단순한 개별 기업의 실수나 특정 해킹 기술의 문제로 보기 어렵다는 시각이 나온다. 반복되는 사고의 배경에는 한국 보안이 오랫동안 형성해 온 구조적 문제가 자리 잡고 있다는 지적이다.

인증이 목표가 된 보안

한국의 정보보안 체계는 오랫동안 규제와 인증 중심 구조 속에서 발전해 왔다. 대표적인 제도가 ISMS-P(정보보호 및 개인정보보호 관리 체계) 인증이다. 일정 규모 이상의 ▲플랫폼 ▲금융사 ▲통신사들은 대부분 이 인증을 보유하고 있다. 기업이 기본적인 정보보호 관리 체계를 갖추도록 요구하는 제도다.

문제는 이 같은 인증이 보안 활동의 수단이 아니라 목표처럼 작동하는 경우가 적지 않다는 점이다.

김용대 카이스트(KAIST) 교수는 한국 보안이 오랫동안 컴플라이언스 중심으로 운영돼 온 구조를 핵심 문제로 지목한다. 인증 제도 자체는 최소한의 보안 수준을 확보하는 데 의미가 있지만, 현장에서는 인증을 통과하는 일이 하나의 성과 지표처럼 작동하면서 실제 보안 활동이 형식화되는 경우가 적지 않다는 것이다.

보안은 시험처럼 한 번 평가받고 끝나는 문제가 아니다. 시스템을 이해하고 취약점을 지속적으로 발견해 수정하는 지속적인 운영 과정이어야 한다는 설명이다.

보안 기업 한 관계자는 “인증 심사를 앞둔 시기에만 집중적으로 점검이 이뤄지고 이후 관리가 느슨해지는 경우도 적지 않다”며 “컴플라이언스 중심 보안의 한계가 반복적인 사고로 이어지고 있다”고 지적했다.

대형 침해 사고가 발생하면 기업들은 흔히 “고도화된 공격”을 언급한다. 공격 기술이 점점 정교해지는 것은 사실이다. 하지만 실제 사고 사례를 살펴보면 상황은 조금 다르다. 상당수 침해 사고는 이미 알려진 취약점이나 관리되지 않은 시스템에서 시작되는 경우가 많다는 것이 전문가들의 분석이다.

김용대 교수 역시 많은 사고의 출발점이 기본적인 시스템 관리 문제라고 설명한다. ▲어떤 시스템이 운영되고 있는지 ▲어떤 소프트웨어가 사용되고 있는지 ▲어떤 서비스가 외부 인터넷에 노출돼 있는지 같은 기본적인 정보조차 조직 내부에서 명확히 파악하지 못한 채 운영되는 경우가 적지 않다는 것이다.

이 같은 문제는 보안 업계에서 흔히 ‘자산 가시성’(Asset Visibility) 문제로 불린다.

김 교수는 “공격 기술 자체보다 더 큰 문제는 조직 내부에서 자신들이 어떤 시스템을 운영하는지 정확히 모르는 경우가 많다는 점”이라며 “패치 관리나 시스템 자산 관리 같은 기본적인 보안 운영이 제대로 작동하지 않는 조직이 생각보다 많다”고 말했다.

결국 많은 사고의 근본 원인은 첨단 공격 기술이라기보다 기본적인 관리 부실이라는 것이다.

완벽한 보안은 없다…핵심은 대응 능력

보안 전문가들은 완벽한 보안이라는 개념 자체가 현실적으로 존재하기 어렵다고 본다. 디지털 시스템이 복잡해질수록 예상하지 못한 취약점과 새로운 공격 방식은 계속 등장하기 때문이다.

이 때문에 최근 글로벌 보안 업계에서는 사고를 완전히 막는 것보다 사고 이후 대응 능력을 강화하는 접근법이 강조되고 있다. 침해가 발생할 가능성을 전제로 대응 체계를 설계하는 이른바 ‘침해 가정’(Assume Breach) 전략이다.

보안의 목표 역시 모든 문제를 사전에 제거하는 것이 아니라 문제를 얼마나 빠르게 발견하고 대응할 수 있는지에 맞춰져야 한다는 설명이다.

국내 한 보안 컨설팅 업체 대표는 “사고 자체를 완전히 없애는 것은 현실적으로 어렵다”며 “중요한 것은 침해를 얼마나 빨리 탐지하고 피해를 최소화할 수 있는 대응 체계를 갖추느냐”라고 말했다.

보안 생태계를 약하게 만드는 또 다른 요인으로는 사고 이후의 커뮤니케이션 방식이 지목된다.

국내 기업들은 보안 사고가 발생해도 구체적인 내용을 공개하기보다 “시스템 점검” “일부 서비스 장애” 같은 표현으로 상황을 축소해 공지하는 경우가 많다.

하지만 전문가들은 이러한 관행이 장기적으로 보안 생태계 전체의 대응 능력을 약화할 수 있다고 지적한다. 사고와 취약점에 대한 정보가 일정 수준 공유돼야 다른 조직들도 같은 문제를 미리 인식하고 대비할 수 있기 때문이다.

글로벌 보안 커뮤니티에서는 취약점을 발견한 연구자가 기업에 알리고, 수정 이후 이를 공개하는 ‘책임 있는 취약점 공개’(Responsible Disclosure) 문화가 비교적 활성화돼 있다.

반면 국내에서는 사고 내용을 적극적으로 공개할 유인과 문화가 충분히 형성되지 않았다는 평가가 많다.

전문가들은 한국 보안 문제를 단기간에 해결할 수 있는 기술적 문제로 보기 어렵다고 말한다. 기업은 인증 중심 보안에서 벗어나 실제 운영 중심의 보안 체계를 강화해야 하고, 정부 역시 규제 중심 정책에서 보안 생태계 중심 정책으로 접근 방식을 넓힐 필요가 있다는 지적이다.

학계와 연구자 역할도 중요하다. 취약점 연구와 보안 기술 개발이 꾸준히 이어지고, 발견된 취약점이 빠르게 수정되는 구조가 만들어져야 한다는 것이다.

김 교수는 “결국 보안은 어느 한 주체가 단기간에 해결할 수 있는 문제가 아니라 기업과 국가, 연구자가 함께 긴 호흡으로 개선해야 하는 과정”라며 “민간과 정부, 학계 모두 우선순위가 높은 문제부터 해결하고, 장기적인 관점에서 점점 더 안전한 인프라를 만들어 가는 노력이 필요하다”고 조언했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지