[기자수첩]보안 사고, 人材 없어 발생한 人災 -정유현 미래산업부 기자

지난해 발생한 사이버 테러에 이어 올해 1월 발생한 카드사 정보 유출까지. 방식은 달랐지만 결국 보안시스템의 문제가 아닌 ‘인재(人災)’였다.

다양한 암호화 솔루션이나 해킹 방어시스템을 구축해도 사고를 미리 감지해내거나 지속적으로 관리할 수 있는 사람이 부족한 것이 국내 기업 보안의 한계이기 때문이다. 사고가 아무리 발생해도 아직까지도 기업에서 보안은 장기적인 투자 대상이 아닌 단기간 발생하는 비용으로 보고 있다.

한 기업의 보안 관리자는 “더 많은 인력과 투자를 통해 시스템을 안전하게 지키고 싶은 욕심이 있어도 최고경영자(CEO)가 보안을 중요하게 생각하지 않으면 할당되는 예산이 적을 수밖에 없다”고 설명했다.

대부분의 기업은 해킹이나 개인정보 유출 사건이 발생하면 보안에 대한 투자를 늘렸다가 사고가 잠잠해지면 줄였다. 특히 국내에서는 감독기관이 보안시스템에 대한 기준을 정해주고 그 기준에 부합하면 사고가 발생해도 처벌을 면할 수 있어 사람을 투입해 관리하는 것은 더욱 뒷전이었다.

지난달 발생한 카드사 정보 유출 대란도 적당한 관리가 불러온 ‘접근 권한을 가진 내부자’ 제어 실패의 대표적인 사례다. 미국 연방수사국(FBI) 보고서에 따르면 보안 사고의 80%는 내부자에 의한 것이다. 내부자 위협이 큰 문제가 된다고 아무리 강조해도 편리함을 위해 외주 업체 직원에게 과도한 권한을 부여했다. 그 결과 사상 초유의 개인정보 유출 사고를 불러왔다.

업계는 적극적인 투자가 인재를 보안업계로 불러들이고 고급인력이 양성된다고 강조한다. 다양한 솔루션을 아무리 구축해도 관리할 수 있는 인재가 필요하다고 목소리를 높이고 있다.

카드 대란을 계기로 정부는 진정성 있는 보안산업 및 전문가 육성을 위한 투자를 하는 장기적인 정책을 마련해야 한다. 기업은 조직의 보안 프로세스를 시스템이 아닌 사람 중심으로 재정립하는 것이 필요하다. 지금처럼 사고가 터지면 갑작스레 ‘헤쳐 모여’ 식으로 대응한다면 갈수록 커져가는 보안사고의 위협을 막아낼 수 없다. 보안도 결국 사람에게 답이 있다.