세계 최고의 수준을 자랑하는 한국의 보안 시스템, 하지만 그것을 다루는 사람의 수준은?

요즘 들어 IT 세계에서 화두가 되고 있는 아이템들이 몇 개 있다. 모바일, 클라우드, 빅데이터, 소셜 네트워크 등 다양한 아이템들이 IT 세계에서 빅 이슈로 떠오르고 있다. TV 뉴스와 신문 뉴스, 인터넷 언론 뿐 만이 아니라 블로그나 트위터, 페이스북과 같은 SNS에서까지 다양하게 이들 아이템에 대한 이슈를 찾아볼 수 있다. 삼성의 갤럭시 S 시리즈와 LG의 옵티머스 시리즈, 애플의 아이폰 시리즈와 같은 스마트폰에서부터 갤럭시 탭, 아이패드, MS 서피스 등 스마트 패드, 그리고 울트라북에 컨퍼터블 PC에 이르기까지 모바일에 대한 관심이 뜨겁다. 그리고 그런 모바일을 잘 이용하는 방법으로 클라우드 서비스가 떠오르고 있으며 클라우드 서비스의 활성화로 빅데이터에 대한 관심도 뜨거워지는 이른바 연쇄 반응이 일어나고 있는 것이 현재 IT 세계의 상황이다. 즉, 위에서 언급한 모바일, 클라우드, 빅데이터와 소셜 네트워크 등의 이야기만 들어도 IT 세계의 흐름을 얼추 다 꿰고 있을 정도가 아닐까 하는 생각이 들 정도다.

하지만 이들 IT 이슈가 되는 아이템 뒤에서 어떻게 보면 가장 중요한 요소가 숨겨져 있다고 생각이 든다. 다름아닌 보안이다. 보통 생각하기에 보안이라고 하면 세콤과 같은 보안 업체를 얘기하는 경우가 많다. 최근에는 그래도 언론에서 해킹에 대한 이야기가 많이 나오고 있으며 3.20 사이버테러와 그 전에 있었던 농협 사태, 그리고 수많은 해킹 사건들이 종종 언론에 보도됨으로 IT 세계에서의 보안 영역이 세콤과 같은 영역 외에도 많이 존재하고 있다고 알려졌지만 여전히 사람들 사이에서는 좀 생소한 영역임은 분명하다. IT 보안이라고 하면 많이들 안랩의 V3와 같은 안티 바이러스 솔루션은 알고 인터넷 뱅킹을 할 때 좀 귀찮기는 하지만 이것저것 설치하는 솔루션이 보안 솔루션이다라고 하는 정도는 알고 있어도 실제로 IT 영역에서의 보안이 얼마나 크고 중요한 영역을 차지하고 있는지에 대해서는 잘 모르는 것이 현실이다.

어쩌면 많은 사람들이 모르고 있고, 또는 인정하지 않는 사람들도 있을지 모르지만 적어도 대한민국의 보안 솔루션, 시스템의 수준은 세계적으로 상당히 높은 수준에 올라와 있다. 언론에서 V3를 비롯하여 국내 안티 바이러스 솔루션이 해외 안티 바이러스 솔루션보다 성능이 떨어진다고 소개되기도 하고 툭하면 보안 사고가 뻥뻥 터지는 바람에 대한민국의 보안 솔루션 수준은 좀 낮은 수준이 아닌가 하는 생각을 할 수도 있지만 보이는 것과 달리 해외 보안 컨퍼런스에 나가서 얘기를 하다 보면 생각보다 대한민국의 보안 시스템 수준은 높고 그 종류도 다양하다는 것을 알 수 있다. 즉, 사람들이 보통 생각하는 보안 시스템의 영역보다 더 많은 영역에서 보안 시스템들은 적용되고 있고 많은 영역에서의 대한민국 보안 시스템의 수준은 높다고 전문가들은 얘기한다. 즉, 보안이라는 것이 악성코드와 바이러스를 잡는 안티 바이러스 솔루션만 존재하는 것은 아니기 때문이다.

보안 솔루션의 영역은 다양하다. 위에서 언급했던 세콤과 같은 물리적 출입 보안 시스템이 존재하는가 하면 잘 알고 있는 안랩의 V3나 이스트소프트의 알약과 같은 안티 바이러스 솔루션도 있고 방화벽(Firewall) 시스템도 있다. 이는 사용자 PC에서 설치할 수 있는 개인용 보안 솔루션들이다. 그 외에 엔터프라이즈 영역에서는 더 많은 보안 시스템들이 존재하는데 방화벽 시스템과 IDS(Intrusion Detection System, 침입 탐지 시스템), IPS(Intrusion Protection System, 침입 방지 시스템)과 같은 보안 시스템들이 있다. 요즘 문제가 되는 악성코드에 대비하게 만들어주는 좀비PC 탐지/방지 시스템도 있고 TMS(Threat Management System, 위협 관리 시스템), LMS(Log Management System, 로그 관리 시스템), ESM(Enterprise Security Management, 통합 보안 관제 시스템)과 같은 보안 관제 솔루션들도 있다. VPN(Virtual Private Network, 가상 개인화 네트워크 시스템)도 보안 영역에 속하며 SSO(Single Sign On)나 EAM(Extranet Access Management, 권한 제어 시스템)도 보안 영역에 속한다면 속할 것이다. DRM(Digital Rights Management, 디지털 권한 관리 시스템)도 보안 영역에 속하며 그 외에도 암/복호화를 이용한 다양한 보안 솔루션들이 개인용 시스템이나 엔터프라이즈 영역에서 존재를 한다.

위에서 언급했듯 정말 수많은 보안 시스템들이 다양한 영역에서 존재하는 것을 알 수 있으며 저 보안 시스템 영역에서 대한민국 보안 시스템의 수준은 상당히 높은 수준에 올라와 있다고 알려져 있다. 한국 기업들의 보안에 대한 인식은 생각보다 높고 요구하는 수준도 상당히 높기 때문에 그에 맞추기 위해서 국내 보안 기업들은 상당히 많은 연구개발 및 커스터마이징을 진행했으며 그 결과 보안 시스템 자체의 수준은 세계 평균 수준 이상의 어떤 보안 영역에서는 최고 수준에 이르는 보안 시스템 영역을 보유하고 있을 정도다. 사람들에게 알려진 보안 영역에서는 그렇게 높은 점수를 받지 못하고 있지만 실제로 기업에서 사용하는 엔터프라이즈 레벨의 보안 영역에서는 좋은 점수를 받고 있는 것이 한국 보안 시스템의 수준이라고 할 수 있다.

이렇게 보안 시스템의 수준은 세계 평균을 넘어 평균 이상의 수준을 보여주고 있지만 시스템이 아닌 사람의 보안 인식 수준은 그렇게 높지 않은 것이 한국 사회의 문제점이라는 생각이 든다. 해커가, 혹은 바이러스가 보안 시스템의 기계적인 방어에 막혀서 더 움직일 수 없다면 얼마나 좋겠느냐마는 아쉽게도 해커의 해킹 기술은 나날히 발전하고 있으며 바이러스는 아예 자체적으로 진화하여 보안 시스템을 무력화하고 있다. 그리고 해커와 바이러스가 보안 시스템을 무력화 시키는 방법으로 택하고 있는 것이 바로 보안 시스템을 다루는 사람(그것이 개인 PC를 다루는 사용자이거나 기업의 보안 시스템을 다루는 관리자까지 다 포함하여) 자체라는 것이다. 즉, 보안 시스템 자체의 수준은 상당히 높지만 보안 시스템을 다루는 사람의 수준은 생각보다 낮다고 보면 된다.

왜 이런 이야기를 하는가 하면, 위에서 언급한 대로 대한민국의 보안 시스템 수준은 상당히 높은 수준에 올라와 있다. 하지만 이런 높은 보안 시스템의 수준만을 믿어서일까? 보안 시스템에 대한 맹신은 보안 시스템이 마치 인공지능을 갖고 알아서 다 막는다고 생각하고 있는 듯 싶어 그냥 시스템에만 다 맡겨두고 보안 시스템을 다루는 사용자들은 자기 멋대로 PC나 시스템을 사용하는 경우가 많다. 예를 들어, V3가 되었던 알약이 되었건, 아니면 노턴 안티 바이러스 등 어찌되었던 안티 바이러스를 설치했다고 해서 여기저기 사이트에 막 돌아다니면서 검증도 안된 프로그램을 다운로드 받아서 설치한다면 아무리 성능이 좋은 안티 바이러스가 실시간으로 돈다고 해도 악성코드의 위협으로부터 100% 다 막아줄 수 없다. 대부분의 경우가 토랜트를 통해서 유료 어플리케이션을 크랙한 어플리케이션이나 키 젠(유료 어플리케이션을 공짜로 쓸 수 있게 라이선스 키를 만들어주는 어플) 등을 다운로드 받는데 대부분의 이런 크랙 어플리케이션에는 악성코드가 숨어있기 마련이다. 해커들이 사람들의 공짜 사용 심리를 이용해서 악성코드를 확산하는데 이런 키 젠이나 크랙한 어플리케이션을 많이 이용하기 때문이다. 이런 상황에서 안티 바이러스가 악성코드를 확인하고 경고를 줘도 무시하고 설치한다면 안티 바이러스의 성능에 상관없이 악성코드에 PC는 감염이 될 것이다. 여러 인터넷 사이트를 돌아다니다가 악성코드에 감염되는 경우도 이런 크랙된 어플리케이션을 실행하거나 아니면 동영상이나 음악 파일 등을 실행하다가 감염되는 경우다. 즉, 이는 사용자가 주의 깊게 해당 어플리케이션이나 파일을 살펴봐야 하는데 그렇지 않고 그냥 생각 없이 실행할 때 일어나는 것으로 사용자 과실에 해당한다.

위에서 언급한 대로 사용자 과실로 인한 부분까지 보안 시스템들이 다 막지는 못한다. 물론 상당 수 사용자 과실에 대한 부분은 보안 시스템이 사전 경고 등을 통해서 막을 수는 있지만 경고를 무시하고 실행되는 것까지 막을 수 있는 보안 시스템은 거의 없다. 즉, 아무리 훌륭한 보안 시스템을 갖췄다고 하더라도 그것을 관리하는 사람이 제대로 된 보안 의식이나 개념이 없이 다룬다면 시스템으로서의 보안 솔루션은 아무런 의미가 없다는 얘기다. 보안 전문가들이 얘기하는 사람 자체가 악성코드고 바이러스다라는 말이 그대로 적용된다는 얘기다.

보안 시스템은 단순한 하드웨어와 소프트웨어만으로 구성되는 것이 아니라 그 보안 시스템을 다루는 관리자 역시 보안에 대한 개념을 갖고 해당 시스템을 관리하고 다뤄야 완벽한 보안 시스템을 갖췄다고 할 수 있다는 얘기다. 이것은 개인에게도 마찬가지로 적용된다. 앞서 얘기했던 대로 아무리 훌륭한 안티 바이러스 솔루션이나 개인 방화벽, 그 외에 개인용 보안 솔루션들을 다 갖춰놓고 있더라도 쓸데없이 공짜로 어플리케이션을 쓰겠다고 토랜트를 뒤진다던지, 혹은 공짜로 음악을 듣는다던가 비디오(특히 야동 ^^)를 본다고 여기저기 기웃거리다가 악성코드에 감염되는 경우가 허다하다. 또한 메일이나 메신져 등을 통해서 누군가로부터 전달되어 온 파일을 무작정 제대로 확인도 하지 않고 다운로드를 받거나 실행을 한다면 역시 아무리 훌륭한 보안 시스템을 갖췄다고 하더라도 결코 안전하지 않다는 얘기다.

엔터프라이즈 영역에서의 보안 시스템 관리자들이나 개인 사용자들도 보안에 대한 기본적인 개념은 갖고 있어야 한다. 확인되지 않은, 확실치 않은 파일의 다운로드나 실행은 가급적 피하는 것이 좋고, 이메일 역시 확인되지 않는 주소로 온 것이나 스팸 메일은 아예 열어보지 않는 것이 중요하다. 요즘 모바일을 통해서 피싱이나 스미싱이 많이 일어나는데 이것 역시도 쓸데없는 호기심으로 인해 검증되지 않는 링크나 파일을 열어보는 것으로 일어나는 경우가 많은데 앞서 얘기했던 대로 검증되지 않는 파일이나 링크는 지워버리는 것이 상책이다. 호기심은 기술의 발전을 가져오기도 하지만 쓸데없는(!) 호기심은 오히려 스스로를 파괴시킬 수 있는 핵폭탄으로 자리잡을 수 있다는 것을 알아야 한다. 특히 보안 분야에서는 더더욱 말이다.

이런 보안 관련 개념을 보안 시스템 관리자와 사용자에게 꾸준히 인식을 시켜주기 위해서는 꾸준한 교육이 필요하다. 이런 보안에 대한 교육은 IT 세계에서 뿐 만이 아니라 실 생활에서도 중요하기 때문에 꾸준한 교육 및 홍보가 필요한 것이 사실이다. 하지만 아쉽게도 한국의 보안 교육은 시스템에 대한 교육만 이뤄질 뿐 이런 보안 개념에 대한 교육은 거의 이뤄지지 않고 있는 것이 현실이다. 이유는 간단하다. 이러한 보안 개념 교육은 당장에 효과를 볼 수 없기 때문이다. 시스템에 대한 교육은 시스템을 다루는 부분에 대한 교육이라 빠른 시일에 효과를 볼 수 있지만 사람의 개념을 바꾸는 이런 보안 교육은 오랜 시간에 걸쳐서 이뤄져야 효과를 보기 때문에 잘 이뤄지지 않고 있는 것이 사실이다. 하지만 진짜로 필요한 보안은 다름아닌 이런 보안 교육을 통해서 사람 스스로가 보안에 대한 개념을 갖고 사람 스스로가 보안이 되어야 하는 것이 아닐까 하는 생각이 든다. 위에서 언급했듯 시스템만 암만 좋다고 하더라도 그것을 다루는 사람이 문제가 있으면 온갖 IT 위협에 대한 보안은 요원한 일이 될 수도 있기 때문이다.

이 글은 LG CNS 블로그에 기고했던 글의 원본입니다. LG CNS 블로그에는 2편으로 나눠서 블로그 문체에 맞게 수정되어서 게제되었지요. 1편과 2편을 보시면 될 듯 싶습니다. 여기에는 나누기도 귀찮아서 원본 그대로를 올려놓습니다. ^^