- 게시물 제목
- 보안 서약서? 그건 바로 휴지통으로!
[2002/02/19]
보안 서약서? 그건 바로 휴지통으로!
학교를 졸업하고 새로운 회사에 취직하게 되면 그 회사의 취업규정이나 사규를 접하게 되고, 그곳에서 제시하는 연봉 계약서에 사인을 함으로써 근무가 시작된다. 한 직장을 다닌 지 이미 오래됐다면 취직 당시 어떤 계약서에 사인을 했는지 잘 기억이 나지 않겠지만, 대부분의 회사에서는 보안 준수에 대한 서약서를 제시하고 이에 서명을 하게 한다.
일반적인 보안 준수 서약서는 '본인은 업무를 수행하는 과정에서 취득한 정보 관련 자료, 프로그램 등 일체의 내용에 대해 외부에 유출하지 않을 것임을 서약함 … 책임을 감수할 것을 서약합니다'와 비슷한 내용으로 이뤄져 있을 것이다. 하지만 입사 당시 보안 서약을 하고 난 후 시간이 지나면 보안 서약을 했다는 사실조차 까맣게 잊어버리는 경우가 허다하다.
보안 서약의 내용 또한 어떤 것을 준수해야 하는가를 정확히 명시하지 않은 경우가 많으며, 서약서를 제시하는 회사측이나 서약서에 서명하는 직원조차 그것을 왜 하는지, 또 왜 했는지, 그로 인해 발생하는 책임은 어떤 것이지를 정확히 알지 못한다. 참으로 어리석은 절차라고 생각되지만, 그래도 대부분의 회사들이 여전히 종이를 낭비하고 있다.
실제로 여러 기업을 방문해 설문조사를 실시해보면 입사한 지 얼마 되지 않는 직원은 보안서약을 했다는 사실만 알고 있고, 그에 대한 정확한 취지를 이해하고 있는 사람은 없다. 더군다나 입사한 지 오래된 사람은 그런 사실조차 모르는 경우가 많다. 즉 형식적인 보안 준수 서약을 하고 있으며, 실효성 있는 보안 교육이나 보안 준수에 대한 교육 및 홍보가 전혀 이뤄지지 않고 있는 형편이다.
필자가 근무하는 회사의 고객 지원센터에서는 얼마 전 보안 교육에 대한 설문조사를 실시한 적이 있는데, 결과를 살펴보면 보안 교육에 대한 현상황을 좀더 적나라하게 알 수 있다.
먼저 보안 교육을 받은 적이 있습니까?라는 질문에 대한 응답자 중 절반에 해당하는 49%가 받은 적이 없다고 대답했으며, 35%가 스스로 공부한다고 응답한 것으로 나타났다. 나머지는 보안 솔루션을 도입할 때 공급 업체로부터 교육을 받거나, 일부가 전문 교육 기관을 찾아 교육을 받는 것으로 나타났다.
설문조사의 대상자 중 62%가 IT 관련직에 종사한다고 응답한 것으로 볼 때, IT 관련 이외의 업종에 종사하는 사람들을 대상으로 한 보안 교육은 거의 전무하다고 봐도 과언이 아닐 것이다. 그나마 이뤄지고 있는 교육이 외부 기관에서 행해지고 있으며, 회사 현실에 맞는 내부 사용자에 대한 자체 교육이나 홍보는 전혀 이뤄지지 않고 있다고 볼 수 있다.
설문조사에서 나타난 또 한 가지 특이할 만한 사항은 50%의 응답자들이 시스템 보안에 대해 관심을 보였으며, 25% 이상이 해킹 및 바이러스 보안에 대한 교육을 가장 필요로 한다는 것이다. 전산 담당자나 사용자 모두 현실적으로 부딪히는 보안 문제에 대해 인식을 하고 있으며, 이에 대응할 수 있는 교육에 더 관심이 있다는 의미이다.
그렇다면 대부분의 응답자들의 현실적인 문제가 될 뿐 아니라 관심의 대상인 보안 관련 교육이 제대로 이뤄지지 못하고 있는 이유는 무엇일까?
그것은 정보보안에 대한 해결책을 먼 곳에서부터 해결하려고 하기 때문이다. 가장 현실적이고 가까이에 있는 문제를 접어 두고 네트워크 전체를 보호할 수 있는 침입차단 시스템이나 침입탐지 시스템을 도입한다든지, 암호화 시스템을 도입한다든지 하는 방식을 채택하는 경우가 많기 때문이다.
물론 침입차단 시스템이나 침입탐지 시스템의 도입이 전적으로 잘못됐다는 의미는 아니다. 적절한 보안 정책이 적용된 보안 솔루션들은 훌륭한 대비책이 될 수 있으며, 보안 사고를 예방, 탐지하는 데 지대한 공헌을 할 것임에 틀림이 없다. 하지만 이런 보안 솔루션들이 각각의 사용자 시스템에서 발생하는 사고라든지, 바이러스로 인한 피해, 권한이 있는 관리자나 사용자에 의한 보안 사고, 권한 없는 사용자나 침입자에 의한 정보 유출, 악성 이메일로부터의 시스템 보호 등을 수행할 수 없다는 것이다.
2001년에 세계적으로 문제를 일으킨 코드레드 웜에 대한 CERTCC-KR의 보고서에는 다음과 같은 내용이 실려있다.
서비스의 취약점을 이용한 '코드레드' 인터넷 웜이 8월 1일 오후부터 국내에 또 다시 확산되고 있다. 이는 IIS 4.0, IIS 5.0을 사용하는 윈도우 NT/2000 시스템에 영향을 주며, 침입차단시스템에서 일반적으로 열어놓고 있는 웹서비스를 통해 유포되기 때문에 많은 사이트가 공격을 당하고 있다.
이 내용에 따르면 침입차단 시스템이나 침입탐지 시스템이 썩 훌륭한 보안 도구처럼 보이지 않는다. 업무용 PC 사용자나 시스템 관리자 입장에서 본다면 개별 시스템에 대한 관심이 당