소 잃고 외양간 고치기식 보안 솔루션만…보안은 사치라는 인식 바꿔야
잊을 만하면 정보유출 사건이 터진다. 여행사, 쇼핑몰, 은행 등 업종을 가리지 않고 발생한다. 우리나라는 보안에 대한 공포가 꽤 높은 편인데 반해, 보안 관련 사건은 빈번하게 일어난다. 사용자의 보안 공포 수준에 기업이 절반도 따라가지 못하는 탓이다.
전문가는 보안을 솔루션으로 접근하는 방법 자체가 틀렸다고 지적한다. 솔루션은 문제가 생긴 뒤 해결하는 전형적인 ‘소 잃고 외양간 고치는’ 방식이다. 선진국에서는 보안을 ‘정책’으로 보는 것과 대조적이다. 우리나라는 보안에는 열심이지만 솔루션 중심인 탓에 사건이 터지면, 그에 맞는 땜질 처방식 솔루션을 제공하는 식에 그치고 마는 것이다.
대부분의 국내 기업들은 이런 규정만 어기지 않는 선에서 최소한의 보안시스템만 갖추고 있다. 보안에는 어마어마한 돈이 들어가기 때문이다. 이윤을 내는 것이 목적이 기업에게 보안은 사치라는 의식이 깊다. 나날이 강력해지는 해커들의 공격에도 걸리지만 않으면 된다는 식으로 운영하고 있는 셈이다.
그러나 가이드라인과 규정이 모든 것을 해결해 주지는 않는다. 보안은 자격증 시험처럼 일정 점수만 넘으면 통과되는 것이 아니다. 보안은 매일매일 돌보고 신경써야 간신히 지켜질 수 있는 살아있는 생명체다. 해커들이 살아서 숨쉬는 한 그렇다.
해외 기업들은 스스로 자체 인력을 확보해 보안을 관리한다. 이름만 대면 알만한 기업들은 보안에 많은 인원이 배치돼 있다. 기업들 스스로 보안에 대한 중요성을 인지하고 있기 때문이다. 누가 시키지 않아도 고객들을 관리하고 자사의 서비스를 미래까지 문제없이 제공하기 위해 내린 스스로를 위한 결정이다.
하지만 우리나라는 여전히 정부가 정한 일부 규정만 넘길 뿐 스스로 관리한다는 의식 자체가 부족하다. 보안 관련 지원 수만 비교해 보아도 알 수 있다.
이용자들은 끊임 없이 개인정보와 보안 문제를 염려하고 있다. 기업도 우려한다. 차이점이 있다면 보안을 어떻게 하면 더 강화할 수 있을까에 대해 고민하는 것이 아니라, 보안이 뚫렸을 때 어떤 후유증이 올까를 우려하는 것이 다르다.
웃지 못 할 일도 있다. 이번에 보안 이슈가 터진 한 기업 홍보팀 관계자는 앞서 정보유출 사건을 겪은 다른 기업에게 전화를 걸어 자문을 구했다. 이미 홍역을 겪은 기업 측에서는 “무조건 사과하고 잘못했다고 말하라”고 조언했다. 개인정보가 유출된 이후에는 손을 쓸 수 없기 때문이다.
해당 기업은 최근 보안 관련 담당자를 새로 영입해 전반적인 보안 시스템을 뜯어 고치고 있다. 생각보다 시간이 많이 걸려 내년까지 작업이 이어질 것으로 예상했다. 그동안의 허술함에 대한 방증이다.