얼마 전 인터넷뱅킹을 이용해 거액을 인출한 사건이 발생해 국내 보안 및 인증서비스 관련업계를 긴장케 했다. 경찰청 사이버 범죄수사대는 모 은행 인터넷뱅킹 서버에서 계좌번호 비밀번호 등 개인정보를 빼내 7천여만원을 인출한 혐의로 인터넷뱅킹 서비스 프로그램을 개발하는 외주업체 직원들을 구속했다. 이들은 해당 은행의 인증시스템 구축 때 알아낸 은행의 내부 네트워크 정보를 이용한 것으로 밝혀졌다. 내부 관리자의 정보 노출,본인 확인 절차 없이 허술하게 관리되는 인증서 등 기업들의 낮은 보안의식이 근본 원인이다. 기업내 전산정보시스템 해킹의 약 80%가 내부자 소행이라는 통계가 있다. 기업의 네트워크 보안정책인 방화벽과 IDS(침입 차단 시스템)를 통과하고 나면 더 이상의 차단장치가 없기 때문에 내부 해킹에 대비할 대책이 없는 것이다. 특히 IT관련 업무는 해당 분야의 전문인력에 의뢰하는 아웃소싱 형태로 진행되는 경우가 많아 내부보안 문제가 더욱 중요하다. 일반적으로 시스템 보안은 기업의 전산실 운영자가 맡고 있는데,인원부족과 독립적인 팀 구성의 어려움으로 인해 보안업무는 늘 뒷전으로 밀리는 경우가 많다. 특히 기술적 분야에 치중해서 보안문제를 다루고 있어 시스템 운영자를 포함한 임직원의 보안의식 고취와 내부 보안관리에 대한 대책이 허술하다. 외주업체에 시스템 구축 및 보수의 업무를 위탁하는 경우 반드시 작업 지시자의 감독하에 이뤄져야 하며,외주업체 직원들에게 시스템에 접근할 수 있는 아이디와 패스워드가 노출돼서는 안된다. 불가피하게 노출됐을 때는 곧바로 아이디와 패스워드를 바꿔야 하며,외주업체 직원들이 업무와 관련해서 진행한 내용은 향후 검토자료로 활용할 수 있도록 디렉토리에 저장해 둬야 한다. 이같은 업무지침은 시스템 엔지니어라면 반드시 지켜야 하는 '기본'이다. 문제는 이런 기본 수칙을 너무나 소홀하게 생각한다는 점이다. 세계적인 보안업체 미국 베리사인사는 직원 교육 때조차 작업담당자가 아이디와 패스워드를 입력하려면 시선을 다른 곳으로 돌리도록 하는 등 보안원칙을 지키고 있다. 반면 국내에선 작업중 아이디와 패스워드를 입력할 때 입력하는 사람은 물론 지켜보는 이들도 보안에 그다지 신경을 쓰지 않아 아이디와 패스워드를 알아내는 것이 그리 어렵지 않다. 이런 상황에 대비하기 위해선 보안에 대한 작은 예의를 지킬 수 있도록 배려하는 것이 필요하다. 특히 상대가 아이디와 패스워드를 입력할 때 시선을 다른 곳으로 돌린다면 더욱 신뢰할 수 있는 관계로 발전할 수 있다. 내부자 해킹을 방지할 수 있는 보안용 제품들이 잇따라 나오고 있다. 이런 제품을 채택하면 내부자 보안에 취약한 개인용 PC와 서버에 대해 인증받지 않은 사용자 접근을 원천적으로 봉쇄하기 때문에 내부자를 단속하는데 효과적이다. 더불어 회사 내의 보안정책을 어떻게 수립할 것이며,어떤 식으로 관리 교육 감사하는 것이 바람직한지에 대한 지침이 있어야 한다. 보안체계를 아무리 잘 갖추었다고 해도 '완벽'이란 있을 수 없다. 따라서 보안은 지속적으로 관리하는 것이 무엇보다 중요하다. 이를 위해 세계적인 보안평가 지침 'SAS70'수준의 보안감사(Security Audits)를 도입,기업의 보안수준을 진단해 볼 필요가 있다. 이 감사의 목적은 물리적 보안 시스템에 대한 점검도 있지만,기업정보와 자원을 어떻게 다뤄야 하는지와 기업의 보안수칙,비밀번호 강화수단,시스템 점검 등 기업 내부 보안에 대한 대책을 수립하는 데 초점이 맞추어져 있다. 9·11 테러 이후 기업의 보안의식과 보안관련 기술이 향상됐다. 하지만 기업들은 외부 침입자에 대항하는 물리적 보안인 IDS,안티 바이러스 프로그램 설치,방화벽 구축,암호화 등 기술적 분야에만 더 신경을 쓰는 듯한 인상이다. 기술적 보안 못지 않게 시급한 것은 내부 보안에 대한 점검이며,높은 보안의식을 가질 수 있도록 다양한 지원정책이 뒤따라야 한다. -------------------------------------------------------------- ◇이 글의 내용은 한경의 편집방향과 일치하지 않을 수도 있습니다.