● 사이버 보안 강조하는 선진국
美 매년 10월, 韓 7월 '정보보호의 달' 지정
정부·국민·기업에 보안 중요성 일깨워
● 사이버 보안 사고 100% 막는 건 불가능
영향 최소화 위해 탄성회복력 극대화
개인정보보호도 글로벌 관점서 접근을
미국은 매년 10월을 사이버 보안 인식의 달로 지정해 다양한 이벤트로 자국민과 기업에 사이버 보안의 중요성을 일깨우고 이에 대한 인식을 높여 사이버 보안에 대한 국가 리질리언스(resilience)를 강화하는 목적으로 활용하고 있다.
주요 테마로는 '책임 공유(Our Shared Responsibility)'를 내세우며 사이버 보안에 대해서 정부·국민·기업 모두의 공통적인 관심과 책임이 반드시 필요함을 강조하고 있다.
물론 우리나라도 지난 2012년부터 매년 7월을 '정보보호의 달'로 지정하고 7월 둘째 수요일을 '정보보호의 날'로 기념하고 있다. 이는 2009년 7월 해커에 의해 감염된 좀비PC 11만대가 정부기관을 비롯한 22개 인터넷사이트를 공격해 전산망이 마비됐던 '7·7 DDoS 공격'에 대한 경각심을 일깨우자는 뼈아픈 배경에서 선정된 것이다.
왜 우리나라를 포함한 글로벌 선진국들이 이러한 사이버 보안과 관련해 많은 관심과 특히 인식 향상을 위해 애쓰고 있는 것일까. 사이버보안은 이제 특정 부문의 문제가 아닌 국가·기업 전반의 문제로 분명히 인식되고 있으며 이의 해결을 위해서는 단순히 기술적인 대응만이 아닌 국민과 조직 구성원의 사이버 보안 인식 향상이 필수불가결하다는 결론에 이르렀기 때문일 것이다.
기술적으로는 국가 또는 기업의 울타리 안에서만 사이버 보안을 강화하면 된다는 전통적인 이론이 더는 그 효과성을 잃었다. 현재의 사이버 세상에서는 비경계화(De-perimeterization)라는 개념하에서 사이버 보안이 고려돼야 한다는 것이다.
이러한 비경계화라는 개념은 유럽 기반의 주요 기업 사이버 보안 최고책임자(CISO)들의 자발적인 모임으로 2004년 시작된 제리코포럼에서 주도적으로 다뤄졌던 개념으로 현재의 사이버 환경에 적합한 보안 모델로 인식되고 있다.
최근 방한한 전략컨설팅회사 맥킨지의 도미닉 바턴 회장은 국내 일간지와의 인터뷰에서 리질리언스에 대해 언급했다. 이 인터뷰에서 리질리언스라는 단어를 탄성 회복력이라고 번역했는데 필자 또한 사이버 보안에서도 이러한 리질리언스가 매우 중요하다고 생각한다. 이제 사이버 보안 영역에서 사고는 100% 방지할 수 있다고 말하는 것이 매우 어렵다는 게 보안 전문가 대다수의 공통된 의견이다.
이러한 상황에서는 이제 100% 방지라는 성취하기 어려운 목표보다는 사고가 일어나도 이것의 영향력을 최소로 하고 기존의 형태·시스템·프로세스로 얼마나 신속하게 되돌아가는가 하는 능력, 즉 리질리언스가 더욱 중요한 환경이라고 말할 수 있다.
또한 사이버 보안에서 간과하지 말아야 할 부분이 개인정보보호다. 개인정보보호에 있어 1995년 제정된 유럽연합(EU)의 정보보호법(Data Protection Directive·DPD)은 개인정보보호 법률에 있어 역사적인 성취를 이뤘다고 평가되는 법률이다.
최근 우리나라 기업들이 유럽 국가의 개인정보를 유럽 이외 지역에서도 다룰 수 있도록 하기 위해 범정부 차원의 태스크포스팀(TFT)이 꾸려졌다. EU의 범주에 대응해 우리나라 기업의 비즈니스 활동을 개인정보보호의 규제 측면에서도 일치시키기 위한 정부와 기업들의 합심된 행동이라고 이해할 수 있다.
이제 사이버 보안은 정부 또는 기업 특정 부서만의 책임이 아닌 조직 구성원 전체, 나아가서는 국민 모두가 관심과 책임을 가지고 살펴봐야 하는 주제로 분명하게 대두됐다.
김상우 EY한영 디렉터