[시론-정수환] IT 사회의 위험관리

최근 국내 굴지의 금융회사에서 잇따라 발생한 대형 금융보안 사고는 IT 기술 발전에 따른 우리 사회의 위험 관리 능력에 대한 우려를 증폭시키고 있다. IT 기술이 가져다주는 효율성과 편리함의 이면에는 날카로운 위협 및 대형 위험이 공존하고 있다는 것을 다시 한번 깨닫게 해주는 계기가 되었다.

이번 사태로 다양한 금융보안 위협 및 이에 효과적으로 대응하는 방법에 대한 논의가 활발히 진행되고 있는 것은 매우 다행스러운 일이다. 이러한 논의를 통해 금융회사 CEO들의 보안 인식이 제고되고 보안 투자가 증가할 것으로 예상된다. 직접적인 피해를 입지 않은 기업들도 보안관리 인력을 확충하고 보안 투자 예산을 늘려가려는 노력이 활발해지는 것은 바람직한 현상이다.

그때뿐인 ‘재발 방지’ 다짐

그러나 대형 보안 사고에 대응하는 일련의 과정은 보안 전문가들 눈에는 매우 익숙한 모습이다. 사고가 터질 때마다 원인으로 지목돼 온 보안관리 인력 및 투자 예산 부족 문제는 이미 단골 메뉴가 되어 버린 느낌이다. 이 시점에서 우리는 과거의 사례들을 차분히 되짚어 볼 필요가 있다. 사고를 당한 기관 및 기업은 물론 같은 업종에 속한 기업들도 비슷한 유형의 사고를 막기 위해 보안 인력을 확충하고 보안 투자를 늘려가겠다고 공언한다. 하지만 시간이 흐르고 나면 유사한 대형 보안 사고는 재발하고 철저한 보안 대책을 마련하겠다는 공언이 레코드판처럼 재현된다.

과연 보안 인력을 확충하고 보안에 대한 투자를 늘리는 것만으로 유사 사건 재발을 확실히 막을 수 있을 것인가? 이 질문에 그렇다고 자신 있게 대답할 보안 전문가는 많지 않을 것이다. 문제의 본질은 늘어나는 보안 인력 및 보안 투자를 활용하고 관리하는 시스템의 부재이기 때문이다. 우리 사회는 IT 기술 활용에는 선진적이지만 반대급부적인 위험관리 시스템 구축은 매우 후진적인 형태를 띠고 있기 때문이다.

이제 우리 사회의 인프라를 형성하고 있는 공공기관, 기업 등의 최고 책임자는 물론 정부도 IT 기반 사회의 위험관리 인프라 구축에 관심을 기울여야 한다. 재정상의 위험을 관리하기 위해 여러 가지 제도적 장치와 시스템이 도입된 것과 마찬가지로 보안상의 위험을 관리하기 위해 필요한 제도와 시스템 구축에 많은 노력이 필요한 시점이다. 위험관리 인프라 구축을 통해 각 기관, 기업들이 개인 보안 책임자나 외주 보안 기업의 도덕성에 의존하는 현재의 보안관리 시스템을 전면 개편해야 한다. 체계적인 국가 위험관리 인프라를 설계하고 실현 방안을 마련할 대책반을 구성하고 체계적인 논의를 시작해야 한다.

보안 인프라 구축해야

위험관리 시스템은 단계별로 다음과 같은 기능들이 포함돼 있어야 한다. 첫째, 사전 예방 기능이 강화돼야 한다. 내부 직원의 공모 등을 포함해 발생 가능한 모든 위험을 분석하고 예방하는 기능을 갖춰야 한다. 둘째, 사전 징후 탐지 기능이 있어야 한다. 사고가 발생하기 직전에 나타나는 징후를 탐지하는 기능은 대형 사고를 사전에 차단하기 위해 꼭 필요한 기능으로 매우 정교한 설계가 필요하다. 셋째, 사고 발생 시 신속한 대응 기능이며 마지막으로 사후 복구 기능이다. 이러한 기능을 갖춘 위험관리 시스템의 표준 모델을 정립하고 시스템이 제대로 동작하는지를 쉽게 판단할 수 있는 보안지수(등급) 개발을 통해 신용 등급과 마찬가지로 각 기관, 기업들의 보안 등급을 일반 국민들이 알 수 있도록 해야 한다.

이제 우리는 정보사회 실현에 선진적으로 대처해 온 우리나라의 저력을 살려 IT 위험관리 분야에서도 최고 선진국이 되기 위한 노력을 게을리하지 말아야 한다. 최근 발생한 대형 보안 사고들이 IT 선진사회 이미지를 지켜나가기 위해서는 위험관리 인프라 구축이 필수라는 인식이 확산되는 계기로 작동하기를 기대해 본다.

정수환 숭실대 교수 정보통신전자공학부