로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    사이버 공격에 대한 예방, 기본원칙 지키기

    페이지 정보

    profile_image
    작성자 김영대 법무법인 클라스 대표…
    작성일Date 21-08-11 13:34

    본문

    김영대 법무법인 클라스 대표변호사 

     

    최근 미국 대형 송유관업체인 콜로니얼 파이프라인이 랜섬웨어 공격을 받아 6일간 업무가 마비되면서, 이 업체가 공급하는 미국 남동부 일대에 주유 대란이 발생하는 등 큰 혼란을 초래하였다. 결국 이 업체는 500만 달러라는 거금을 해커(러시아 해커로 추정)에게 몸값으로 지불했다고 한다. 북한의 사이버 해킹팀은 2017년 전 세계를 강타한 '워너크라이'(WannaCry) 랜섬웨어 악성코드 공격, 폴란드 금융감독당국과 소니픽처스 엔터테인먼트에 대한 사이버 공격, 방글라데시 중앙은행 사이버 절도 등에 연계된 것으로 널리 알려져 있다.

     

    바야흐로 4차 산업혁명 시대를 맞이하여 모든 자료와 시스템이 디지털화되고 있고, 자율주행차의 등장으로 해킹 등으로 인한 피해는 더욱 커질 것으로 우려되고 있다.

     

    2011411일 북한의 농협 전산망 해킹으로 인해 농협 데이터베이스의 3분의 2가 순식간에 손괴되는 사건이 발생했다. 이 사건 수사를 진행하면서 사이버 공격의 크나큰 현실적 위험성을 피부로 느낄 수 있었다. 이러한 귀중한 경험을 통해 우리는 정보보안을 더욱 강화했고 나름의 보안원칙들을 만들어 대책을 강구함으로써 정보보호 수준을 많이 높였다. 하지만 사이버 공격의 수준은 더욱 높아져, 결국 창과 방패의 모순 논리처럼 더욱 높은 수준의 보안시스템과 보안의식을 끊임없이 요구하고 있다.

     

    2014년 발생한 신용카드 3사의 1억건 개인정보 유출사건은 그 결과는 심대했지만 출발점은 단순했다. 카드부정사용방지시스템(FDS) 구축업체 직원들이 신용카드사에 프로그램 테스트를 위한 실자료를 요청했을 때, 문제의 카드 3사는 실자료를 제공했었고 제공된 실자료의 관리에 소홀하여 결국 이 자료가 외부로 유출되었던 것이다. 그렇지만 같은 요청을 받은 다른 신용카드사에서는 실자료를 제공하더라도 그 카드사가 관리 가능한 범위내에서 테스트를 하게 하고 이를 반납하게 한다든지, 혹은 실자료를 제공하지 않는 방식으로 이 사고를 방지할 수 있었다. 실무를 하는 직원이 얼마나 정보보안을 민감하게 생각하고 철저히 관리하느냐가 중요했던 것이다. 실무직원의 사고방식과 자세에서 큰 사고를 방지하느냐 마느냐의 차이가 발생한 것이다.

     

    앞에서 본 농협 전산망 해킹사건에서도 서버 관리직원이 서버를 관리하는 노트북을 회사에서도 사용하고 집에도 가지고 가 각종 웹사이트에 접속하여 음악, 영화 등을 다운로드 받는 과정에서 악성코드에 감염된 것으로 드러났다. 그 사건에서의 핵심은 서버 관리 노트북을 어떻게 관리할 것인가가 관건이었다. 그 사건 이후 데이터 베이스 등 서버 관리 노트북은 외부 반출이 금지되었고 협력사 직원의 출입 관리가 훨씬 강화되었다.

     

    큰 사건이 벌어지고 나서 그 원인을 수사하다 보면, 그 원인이 매우 사소한 차이에서 발생한다는 사실을 알게 된다. 그래서 작은 원칙을 지키는 것이 중요한 것이다. 큰 그림에서의 대책을 세우는 것도 중요하나, 실무자 한 사람 한 사람이 정보보호 원칙을 지키고, 의심되는 요구에 응하지 않는 것이 중요하다.

     

    앞으로 사이버 공격은 더 자주 더 크게 발생할 것이다. 이에 따라 IT 기기를 일상화하는 개개인들도 기본적으로 정보보호 마인드를 갖고 철저하게 대응하는 것이 반드시 필요하다. 미래는 사이버상에서의 전쟁이 훨씬 중요하고 피해도 클 것이다. 전쟁에서 경계에 실패한 지휘관은 용서할 수 없다는 말이 있는데, 앞으로는 사이버상에서 해킹 대응에 실패한 관리 책임자는 용서할 수 없다는 말로 바뀌지 않을까 생각된다.