김승주 고려대 정보보호대학원 교수
2005년 미국 중앙정보국(CIA) 비밀 요원인 밸러리 플레임 윌슨의 신분을 측근이 노출했다는 이유로 조지 부시 대통령은 조사를 받았으며, 국무장관 시절 사설(私設) 이메일 계정으로 국가 기밀을 주고받았던 힐러리 클린턴은 이 일이 실수였다고 해명했음에도 불구하고 결국 대선에서 떨어지는 주요 이유로 작용했다.
사람들은 ‘보안’이라고 하면 흔히 컴퓨터 바이러스, 해킹, 디도스(DDoS) 공격과 같이 외부의 위협들에 의한 피해를 떠올린다. 그러나 가장 큰 보안 위협은 내부에 있다. 특히 그중에서도 ‘최고책임자’(Chief)라는 의미를 담은 C레벨 직책의 임원진(CEO, CFO, CIO 등)에 의한 정보 유출은 치명적이다.
최근 보안업체 웹센스 시큐리티랩스가 실시한 조사에 따르면 대부분의 정보 유출 사고는 인가된 사용자에 의해 발생한다고 한다. 조사 내용을 살펴보면 내부 직원에 의한 정보 유출 발생 비율은 50%나 됐으며, 이 중 CEO 혹은 임직원들에 의한 기밀 정보 유출도 20%에 달했다.
C레벨 임직원들에 의한 정보 유출이 특히 더 심각한 이유는 이들이 이미 내부 데이터베이스 시스템으로의 접근 권한, 그것도 최고 수준의 권한을 합법적으로 보유하고 있기 때문이다. 그렇기 때문에 이들은 내부의 각종 보안 시스템을 정상적으로 통과해 은밀한 정보에 손쉽게 접근할 수 있으며, 혹 중요 기밀 정보들이 암호화돼 있다손 치더라도 이를 해독할 수 있는 키에 접근할 수 있을 확률이 매우 높다. 더욱 문제가 되는 것은 임직원들이 일반적으로 직원들의 보안 의식에는 신경을 곤두세우는 반면 본인들에겐 매우 너그럽다는 사실이다.
‘포네몬 리포트 2016’ 보고서에 따르면 외부 해킹으로 인한 보안 사고는 전체의 9.7%에 불과하며, 의도를 가진 내부자에 의한 사고가 21.8%, 우발적으로 발생한 내부자 보안 사고는 64.9%를 차지한다고 한다. 특히 의도를 가진 내부자는 비정상적인 행위를 통해 사고를 일으키는데, 이때 특권과 권한을 남용하며 의도적인 비행을 정당화한다고 한다.
최고 책임자에 의한 정보 유출 사고는 우리나라 정부나 정치권도 예외가 아니다. 국회 정보위원회에서는 특성상 비밀을 유지해야 할 내용이 많아 다뤄진 내용들을 여야 간사가 대표로 언론에 브리핑해야 함에도 불구하고 개별 의원들이 개인적 공명심이나 특정한 목적을 위해 언론에 흘리는 경우가 비일비재하다. 오죽하면 모 정당의 원내대표가 “해외에서는 국회 정보위원이 누구인지조차 이름을 공개하지 않을 정도로 비밀을 유지한다. 우리는 어떻게 1급 정보가 유출될 수 있느냐”며 탄식을 했겠는가.
또한 ‘최순실 국정 농단 사건’ 관련 검찰 발표에 따르면 박근혜 대통령은 취임 전 인수위원회 시절인 2013년 1월부터 올 4월까지 총 180개의 문서를 측근을 통해 외부에 유출했으며, 그중 47건의 문건은 ‘공무상 비밀’에 해당하는 것들로 정부 출범 초기 인사안은 물론 대통령 본인의 일정이나 외교·안보 현안, 국토교통부의 부동산 종합대책과 세부 계획 등이 줄줄이 담겨 있었다고 한다.
청와대는 통신망을 업무용과 인터넷으로 분리해 외부 침입과 내부 정보 유출을 차단하는 망 분리 체제를 갖췄으며, 이외에도 문서 암호화 솔루션, 자료 유출 방지 솔루션, 보안 USB 등 각종 최첨단 보안장치를 갖추고 있었음에도 비밀이 새나간 것이다.
저명한 보안 전문가이자 베스트셀러 작가이기도 한 브루스 슈나이어의 명언 중에 “보안이라는 사슬은 이를 구성하고 있는 수많은 고리들 중 가장 약한 고리만큼만 안전하다”라는 말이 있다. 이는 정책에서부터 기술, 그것을 운영하는 사람에 이르기까지 한 조직의 보안을 구성하는 요소들은 수없이 많은데, 이 구성 요소들은 모두가 똑같이 중요하며 예외가 없다는 뜻이다.
‘나는 CEO니까 괜찮아’, ‘그 사람은 믿을 수 있으니까 괜찮아’, ‘설마 그러겠어?’라는 마음가짐은 보안의 가장 큰 적이다.
2016-11-25 31면
