[2001-03-26]지난해 야후, 아마존 등 세계 유수의 사이트가 해킹이나 바이러스에 의해 피해를 입은 사례는 국내에서도 정보보호에 대한 인식확산과 보안의 중요성이 강조되는 계기로 작용했다.
인터넷은 기업의 자료를 상호 연결시켜 시간과 공간의 제약을 없앴다는 잇점과 함께 악의적이고 고의적인 침입과 불법적인 사용 가능성에 그대로 노출됐다는 것을 의미한다.
특히 전자상거래 등 e-비즈니스를 수행하는 기업이나 국가의 주요 정책을 결정하는 공공기관은 각종 네트워크를 통한 위협으로부터 정보의 안전성을 확보하는 것이 무엇보다 중요하다.
이에 따라 인터넷 업계를 중심으로 정보안에 대한 관심이 높아가고 있다. 특히 오는 7월 정보통신기반보호법이 본격적으로 발효되면 국가 중요 전산시설에 보안시스템을 의무적으로 갖춰야하고 또한 정기적으로 이를 점검해야만 한다.
그러나 좋은 시스템을 도입했다고 보안문제가 모두 해결되는 것은 아니다. 해당 조직에 가장 적합한 보안정책이 수립되고 적절한 시스템 구축과 사후관리가 뒤따라야 정보보안이 성공적으로 이뤄졌다고 말할 수 있다.
최근 들어서는 국내 기업들도 보안시스템을 도입하는 관행이 과거에 비해 많이 체계화되어 가고 있다. 최고경영자(CEO)나 정보담당임원(CIO)이 나서서 정보보안 컨설팅을 의뢰하거나 자사에 맞는 솔루션을 파악하는 모습도 종종 볼 수 있다.
그러나 보안시스템은 한번 구축했다고 해서 보안의 모든 것이 완성됐고, 해킹과 각종 보안사고의 안전 지대가 됐다고 생각하는 것은 잘못이다.
시스템 도입은 기업 보안의 출발점일 뿐이다. 단편적인 솔루션 하나를 설치해 놓고 보안 전체로 인식해서는 안된다. 보안시스템을 구축했다는 것은 보안을 위한 준비작업에 불과하다.
보안시스템 구축은 현상진단에서부터 로드맵(Roadmap) 작성, 솔루션 구축, 교육, 모니터링 등 전체의 과정(Lifecycle Security)이 통합적으로 관리되어야 한다.
현상파상악을 통해 해결해야 할 우선순위를 결정하고, 예산, 자원을 포함한 보안 정책을 수립하는 작업이 보안업체와 제품을 선정하는 일과 병행되어야 한다. 또 시스템 구축후에는 각종 보안사고에 대비해 정기적인 시스템 점검, 사고가 발생했을 때 원인을 분석하고 대처하는 일까지 지속적인 관리가 필요하다.
이와 함께 회사의 정보와 자산을 지키는 첨병인 보안담당자에 대한 교육과 투자는 언제 발생할 지 모르는 큰 손실로부터 회사를 지켜내기 위한 최소한의 투자이다. 이러한 일련의 과정중 어느 한가지라도 도외시 되면 진정한 의미의 보안시스템이 구축되었다고 보기 어렵다.
CEO나 CIO는 보안시스템 도입 여부와 보안솔루션 업체 선정에부터 보안정책을 지속적으로 점검하고 시스템이 제대로 운영되는지를 살펴야 한다.
보안은 국방과 비슷한 개념이다. 군사학에서는 작전에 실패한 지휘관은 용서할 수 있지만 경계에 실패한 지휘관은 용서할 수 없다고 말한다. 경계란 적의 침투를 감시하고 대처하는 일이다. 바이러스나 해커의 침투를 막기 위해서는 보안정책과 시스템을 점검하는 과정을 게을리 해서는 안되는 것이다.
보안업계는 올해가 국내 보안 산업의 실질적인 원년이 될 것으로 전망하고 있다.
지난해가 보안의 중요성에 대해 모두가 공감할 수 있는 해였다면 올해는 실제로 보안시스템을 구축하는 한 해가 될 것이라는 것이다.
이에 못지않게 조직의 최고의사 결정권자들의 보안의식도 한단계 제고되는 원년이 되었으면 한다. 자사 보안시스템이 제대로 운영되고 있는지 지속적인 관심과 관리를 기대한다.
정용섭 데이타게이트 인터내셔널 사장