보안의 목적
인터넷은 전 세계를 연결하고 있고, 우리의 일상과 산업 전반에 깊숙이 들어와 있다. 스마트폰으로 금융 거래를 하고, 클라우드에 기업 데이터를 저장하며, 공공 시스템은 온라인을 통해 사회 기반을 움직인다. 이처럼 디지털 세계가 확장될수록 ‘보안(Security)’의 중요성은 더욱 커질 수밖에 없다. 유선을 넘어 무선으로 그리고 인공지능 AI 등장과 활용 등으로 언제 어디서든 보다 다양한 데이터를 다루고 이용할 수 있을 만큼 그 연결이 강해지고 넓어진 현재에 이르러서는 보안은 떼고 싶어도 뗄 수 없는 관계에 이르렀다.
실제로 이러한 변화를 반영한 듯 보안을 단순히 ‘해킹을 막기 위한 기술’ 정도로 인식했던 과거와 달리 오늘날의 보안은 훨씬 더 광범위하고 복합적인 개념을 포함하고 있다. 단순하게 위협의 차단이라는 범위에 한정된 것이 아니라 정보를 안전하게 관리하고 보호하여, 서비스가 안전하고도 지속적으로 운영될 수 있도록 하는 한편, 예상치 못한 위협으로 사고가 발생한 경우에도 빠르게 회복하여 비즈니스가 지속 될 수 있도록 만드는 것으로 그 목적이 확장되어 있기 때문이다.
보안이 필요한 세 가지 핵심 이유
그렇다면 이러한 변화 속에서 보안이 필요한 핵심적 이유 세가지는 무엇일까? 필자는 보안이 필요한 3가지 이유를 “개인 정보 보호”, “기업 자산 보호”, “국가 안보 및 사회 안전 보호” 에 있다고 말하고 싶다.
정보보안의 3요소라고 불리우는 CIA는 뒤에 따로 후술 하겠지만 아무런 배경 없이 정보보안의 3요소를 이야기 하기에는 다소 연관성이 약하게 느껴질 수 있고, 어떠한 배경에서 정보보안의 3요소가 필요하게 된 것인지 명확하게 느껴지지 않을 수 있기 때문이다.
따라서 정보보안의 3요소를 살펴보기에 앞서 필자가 이야기하고자 하는 보안이 필요한 핵심 이유 세가지 “개인 정보 보호”, “기업 자산 보호”, “국가 안보 및 사회 안전 보호”를 먼저 살펴보자.
1. 개인 정보 보호
보안이 필요한 가장 대표적인 이유 중 하나는 바로 개인정보를 보호하기 위해서다.
우리는 하루에도 수많은 온라인 활동을 하며, 자연스럽게 자신의 개인정보를 이곳저곳에 입력하고 맡긴다. 이름, 생년월일, 전화번호, 주소, 신용카드 번호, 로그인 계정과 비밀번호 등, 이 모든 것들이 지금 이 순간에도 다양한 웹사이트와 서비스에 저장되고 있다.
문제는, 우리가 그 정보가 어디에, 어떻게 저장되고 관리되는지 정확히 알지 못한다는 데 있다. 더구나 그 정보가 유출되었을 때는 단순한 ‘불쾌함’이나 ‘불편함’이 아니라, 금전적인 피해는 물론이고 사회적인 신뢰 상실이나 법적 책임으로까지 번질 수 있다는 데 있다.
① 개인정보는 왜 중요한가?
요컨데 개인정보는 디지털 사회에서 ‘나’를 구성하는 요소이자, 온라인 공간에서 ‘내'가 '나’임을 증명하는 정보이자 수단이다. 오프라인에서 주민등록증이나 운전면허증이 신분을 대신해주듯, 디지털 세계에서는 내 이름, 생일, 연락처, 계좌번호 같은 정보가 나를 대신해 나의 권리를 행사한다. 그렇기 때문에 이 정보들이 누군가에게 노출되면, 나는 전혀 알지 못하는 상황에서 내 이름으로 무엇인가가 벌어질 수 있는 상태에 놓이게 된다.
특히 다음과 같은 피해는 누구에게나 일어날 수 있으며, 그 결과는 결코 가볍지 않다.
| 피해 유형 | 설명 |
|---|---|
| 금전적 피해 | 신용카드 번호나 계좌 정보가 유출되어 부정 결제가 발생하거나, 개인정보를 이용한 금융사기가 발생할 수 있다. |
| 사생활 침해 | 사진, 위치 정보, 메시지 내역 등이 유출되면서 개인의 프라이버시가 침해되고, 심리적 불안이나 위협을 느끼게 되는 경우가 있다. |
| 명의 도용 | 주민등록번호, 연락처 등의 조합이 타인에 의해 사용되어 대출, 계좌 개설, 가입 신청 등 나도 모르는 활동이 이루어진다. |
| 신뢰도 하락 | 기업이나 기관이 개인정보를 유출했을 경우, 전체 브랜드 이미지나 공공 신뢰가 무너질 수 있다. 사용자 입장에서도 SNS 계정 해킹 등으로 사회적 이미지에 타격을 받을 수 있다. |
② 개인정보는 어떻게 유출될까?
그렇다면 이렇게 중요한 개인정보는 어떻게 유출 되고 있을까? 개인정보 유출은 아래와 같이 매우 다양한 경로를 통해 발생하고 있으며, 우리 일상 속에서도 그 위험은 조용히 스며들어 있다.
| 유출 경로 | 설명 |
|---|---|
| 웹사이트 해킹 | 기업, 쇼핑몰, 공공기관 등에서 보관 중인 DB가 외부 공격에 의해 유출되는 방식 |
| 피시 메시지/사이트 | 가짜 로그인 페이지나 링크를 보내 사용자가 직접 정보를 입력하게 유도 |
| 악성코드 및 앱 | 스마트폰에 설치된 앱이나 문서 안의 악성코드가 사용자의 기기 정보를 몰래 수집 |
| 내부자 유출 | 정보에 접근할 수 있는 내부 직원이 실수나 고의로 정보를 외부에 유출 |
| 불법 유통 | 이미 유출된 개인정보가 다크웹이나 불법 거래망을 통해 재판매되거나 범죄에 악용됨 |
이처럼 정보는 의외로 쉽게, 때로는 우리가 전혀 인지하지 못하는 사이에 유출되곤 한다. 그리고 유출된 정보는 단순히 ‘빠져나갔다’에서 끝나는 것이 아니라, 그 이후에 현실적인 피해로 이어진다는 점이 더욱 위험하다. 무엇보다 디지털 세상에 있어서 한 번 유출된 정보는 완전한 삭제가 어렵다는 것에서 그 위험성을 높게 평가하고 인식해야 할 필요가 있다.
③ 실제 피해 사례
그러면 실제로 이러한 개인정보 유출로 인한 피해 사례들은 무엇이 있는지 간단하게 3가지 정도만 살펴보자.
| 항목 | 카드 3사 개인정보 유출 사건 (2014) | 모바일 청첩장 스미싱 피해 (2023) | 공공기관 해킹 개인정보 유출 (2024) |
|---|---|---|---|
| 사건 개요 | 2014년, KB국민카드, NH농협카드, 롯데카드 등 국내 주요 카드사에서 총 1억 건 이상의 고객 정보가 유출되는 초유의 사고가 발생했다. 이 숫자는 당시 대한민국 경제활동 인구의 약 75%에 해당하며, 사망자 및 중복 포함을 감안해도 방대한 수준이었다. | 경남 사천에서 50대 A씨가 문자로 받은 모바일 청첩장 링크를 무심코 클릭한 뒤, 휴대폰에 악성 앱이 설치되면서 개인정보가 유출되는 사건이 발생했다. | 2024년 7월, 한국고용정보원이 운영하는 워크넷, 그리고 한국장학재단 홈페이지가 해킹 공격을 받아 총 26만여 명의 개인정보가 외부로 유출되었다. |
| 유출된 정보 | 이름, 주민등록번호, 연락처, 주소 등 기본 정보뿐 아니라, 연봉, 결혼 여부, 카드 사용 내역, 신용등급, 신용한도 등의 민감한 금융 정보도 포함되었다. | A씨의 기기 정보 및 본인 인증 정보가 해커에게 넘어갔고, 이를 바탕으로 타인의 명의로 대출 실행이 가능해졌다. | 구직자의 이력서 정보, 학력, 취업 희망 조건, 장학금 수령 내역, 그리고 학자금 대출 잔액, 계좌 정보 등의 민감한 금융 정보까지 포함되었다. |
| 피해 사례 | - 금융 사기: 유출된 정보를 기반으로 한 대출 사기, 신용카드 부정 사용 등의 범죄가 실제로 발생해 다수의 피해자가 생겨났다. - 불법 마케팅: 약 8,050만 건에 달하는 정보가 대부중개업자 등 제3자에게 넘어가 불법 텔레마케팅에 악용되었다. |
- 대출 사기: 해커는 유출된 정보를 이용해 알뜰폰을 개통하고, 그 명의로 인터넷 은행에서 약 6,970만 원의 대출을 실행했다. 피해자는 대출 사실을 전혀 모르고 있다가, 뒤늦게 금전 손실을 확인하게 되었다. | - 사생활 침해: 이력서와 학사 정보가 유출되며, 구직자들의 사적인 경력과 조건이 외부에 노출되었다. - 금융 사기 우려: 학자금 대출 관련 정보가 포함되어 있어, 이를 이용한 사기, 사칭, 대출 실행 등의 범죄 가능성이 제기되었다. |
| 후속 조치 | 사건 이후 카드사 CEO들이 줄줄이 사퇴했고, 대한민국은 개인정보보호법을 개정하며 제도적 보완에 나서게 되었다. | 현재 해당 사건에 대해 경찰이 수사를 진행 중이며, 정부는 유사 스미싱 수법에 대한 경고를 내리고, 출처가 불분명한 메시지나 링크는 절대 클릭하지 말 것을 당부하고 있다. | 개인정보보호위원회는 해당 기관에 대해 보안 대책 강화를 명령하고, 공공기관을 대상으로 하는 집중 개인정보보호 실태 점검을 진행 중이다. |
④ 사회적 대응 – GDPR의 등장
이처럼 개인정보 유출로 인한 피해가 국내외에서 반복되면서, 전 세계적으로도 개인정보 보호에 대한 경각심이 높아졌다. 특히 유럽연합(EU)은 이 문제를 강력하게 인식하고, 2018년 GDPR(General Data Protection Regulation)을 시행하게 된다. 이 GDPR은 사용자의 개인정보에 대한 권리 보장과 기업의 책임 명확화를 핵심으로 하는 세계적 개인정보보호 기준으로, 이후 대한민국을 포함한 여러 나라들이 이 기준을 반영하며,
자국의 개인정보보호법을 개정하거나 새로운 기준을 수립하는 흐름으로 이어지기도 하었다.
| GDPR 주요 내용 | 설명 |
|---|---|
| 정보주체 권리 | 사용자(정보주체)는 자신의 정보 열람, 정정, 삭제, 처리 중지 등을 요청할 수 있다. |
| 명시적 동의 | 기업은 정보를 수집하기 전에 반드시 사용자의 사전 동의를 받아야 하며, 그 목적 외의 활용은 금지된다. |
| 신속한 유출 통보 | 유출 사고가 발생하면 72시간 이내에 정보주체 및 감독기관에 신고해야 한다. |
| 강력한 처벌 규정 | 위반 시 전 세계 매출의 4% 또는 2천만 유로 중 높은 금액을 벌금으로 부과할 수 있다. |
| 글로벌 적용 범위 | EU 시민의 개인정보를 다루는 모든 국가의 기업·기관에 적용됨 |
정리해보자면 개인정보는 단지 내가 누구인지 식별해주는 수단을 넘어서, 이제는 나의 전반적인 활동 및 기록이자, 권리이며, 나의 자산을 통제할 수 있는 근거이자 열쇠다. 따라서 그 정보가 내 손을 떠나는 순간, 나라는 존재 자체가 타인의 손에 들어갈 수 있는 시대에 살고 있다.
그렇기에 개인정보 보호는 더 이상 기술적인 문제가 아니라, 현대인의 기본 생존 수단 중 하나라고 할 수 있고, 보안의 시작은 바로 이 ‘정보의 보호’에서부터 출발한다.
2. 기업 자산 보호
앞서 개인정보 보호가 개인의 안전과 직결되는 문제라면, 기업에게 있어 보안의 핵심은 단연 ‘자산 보호’에 있다. 여기서 말하는 자산은 단순히 금전이나 장비만을 의미하는 것이 아니다. 기업의 자산에는 중요한 경영 전략, 기술자료, 고객 정보, 내부 시스템, 브랜드 이미지까지 포함된다. 이 모든 것이 보호되지 않는다면, 단 한 번의 사고로도 기업은 신뢰를 잃고 시장에서 퇴출당할 수 있는 위험에 놓이게 된다.
① 기업 자산은 왜 보호되어야 하는가?
기업의 자산은 눈에 보이는 장비나 서버 외에도, 매출로 직결되는 기밀 정보, 시스템 구성, 고객 DB, 인적 조직, 신뢰도와 같은 비가시적인 자원들이 매우 많다. 이 자산들이 외부로 유출되거나 파괴되면, 단지 일부 파일이 사라지는 것이 아니라 기업 전체의 존립 기반이 흔들릴 수 있다.
기업 자산 유출로 인한 피해 유형은 다음과 같이 정리해볼 수 있다:
| 피해 유형 | 설명 |
|---|---|
| 매출 손실 | 기술 도면, 설계 자료, 견적서 등이 유출되면 경쟁업체에게 시장을 빼앗기거나 가격 경쟁에서 밀릴 수 있음 |
| 브랜드 실추 | 해킹이나 사고 발생 후 정보가 유출되면 소비자 불신으로 이어져 기업 이미지가 훼손됨 |
| 영업 비밀 노출 | 내부 전략, 계약 조건, 고객사 명단 등이 유출되면 기업의 사업 모델 자체가 위협받음 |
| 내부 시스템 마비 | 랜섬웨어 공격이나 시스템 침입으로 서버나 업무 시스템이 마비되면 전사적인 업무가 중단됨 |
이러한 피해는 단순한 비용 손실 이상의 영향을 미치며, 특히 중소기업이나 스타트업의 경우 단 한 번의 침해로도 회복이 어려운 타격을 받을 수 있다.
② 기업 자산은 어떻게 유출될까?
기업 자산이 유출되는 방식은 외부 해킹만큼이나 내부 부주의 또는 의도적인 행위를 통해 발생하는 경우가 많다. 특히 협력사, 외주 개발자, 퇴사자, 또는 보안 정책 미비로 인해 정보가 허술하게 다뤄지는 상황이 의외로 많다.
| 유출 경로 | 설명 |
|---|---|
| 외부 해킹 | 시스템 또는 네트워크의 취약점을 통해 기업 내부망에 침투하여 파일을 유출 |
| 랜섬웨어 감염 | 이메일 첨부파일 또는 웹사이트 접속을 통해 내부 파일이 암호화되어 금전 요구 |
| 내부자 유출 | 임직원 또는 퇴직자가 정보를 무단으로 반출하거나, 외부에 제공 |
| 협력사/외주 인력 | 외부 개발자나 하청 업체가 접근한 시스템에서 정보 유출 발생 |
| 보안 설정 미비 | 파일 서버, 공유 폴더 등에 적절한 접근권한 관리가 안 되어 누구나 접근 가능 |
특히 요즘처럼 업무 환경이 클라우드 중심으로 바뀌고, 재택근무나 협업툴을 통해 외부에서 접근하는 일이 많아지면서, 자산 보호는 단지 ‘내부에만 신경 쓴다고 끝나는 문제’가 아니라는 점을 강조할 필요가 있다.
③ 실제 피해 사례
그렇다면 기업 자산이 피해를 입은 사례들은 무엇이 있는지 앞서와 마찬가지로 3가지 정도만 살펴보자.
| 항목 | [국내] 한수원 문서 유출 (2014) | [해외] TSMC 랜섬웨어 공격 (2023) | [국내] A기업 영업비밀 유출 (비공개) |
|---|---|---|---|
| 사건 개요 | 한국수력원자력 내부 자료와 원전 도면 등이 외부로 유출되었으며, SNS를 통해 일부 문서가 공개됨. 북한 해커 조직이 배후라는 의혹이 제기됨. | 세계 최대 파운드리 업체 중 하나인 TSMC가 랜섬웨어 공격을 받아, 고객 정보와 내부 기술 정보 유출 위기에 직면함. | 중견 제조업체 A사의 퇴사자가 사내 프로젝트 자료와 거래처 정보를 개인 이메일로 반출하고, 경쟁사에 이직하며 이를 활용함. |
| 유출/피해 정보 | 원전 운영 매뉴얼, 원자로 냉각계통 설계도면, 임직원 정보 등 핵심 기술과 인적 자산 포함 | 최대 7TB 분량의 내부 데이터 탈취 주장, 고객사 관련 정보 포함 | 제품 개발 일정, 프로젝트 문서, 거래처 정보 등 사업 전략 관련 핵심 자료 |
| 피해 양상 | - 국가 기반 시설 보안 우려 확산 - 해외 보도 확산으로 기술 신뢰도 타격 |
- 시스템 일시 중단 - 고객사(애플 등)와 계약에 영향 우려 - 공격자 7천만 달러 요구 |
- 경쟁사 시장 선점 - 고객사 이탈로 매출 감소 - 경쟁사와의 법적 분쟁 발생 |
| 후속 조치 | - 원자력 시설 보안 강화 - 외부 접근 차단 - 국정원·경찰 합동 수사 - 사이버 안보 시스템 개편 |
- 시스템 격리 및 복구 - 글로벌 보안 투자 확대 |
- 퇴사자 계정 정지 - 자산 반납 절차 강화 - USB 차단 솔루션 도입 - 관리적 보안 체계 재정비 |
④ 기업 자산 보호를 위한 사회적 대응과 기준
이처럼 기업 자산에 대한 침해 사례가 늘어나면서, 국가 및 산업 차원에서도 이를 제도적으로 보호하려는 움직임이 이어지고 있다. 국내에서는 정보통신망법, 산업기술보호법, 영업비밀 보호법 등을 통해 기업의 기술자료 및 경영정보 보호를 법제화하고 있으며, 정보보호 관리체계(ISMS), 국가 핵심기술 지정 제도 등을 통해
특정 산업군에 대해서는 보안 인증을 받도록 요구하고 있다.
| 제도/정책 | 주요 내용 |
|---|---|
| ISMS 인증 | 기업이 개인정보 및 정보자산을 어떻게 보호하는지 관리 수준을 평가하여 인증 부여 |
| 국가 핵심기술 보호 | 반도체, 방위산업 등 특정 기술은 정부 등록 및 유출 방지 의무 부여 |
| 퇴직자 자산 반납 절차 권고 | 퇴사 전 보안 장비, USB, 문서 등의 반납을 체계적으로 관리하도록 가이드 제공 |
| 산업보안 교육 의무화 | 보안 취약점은 사람에게서 생기는 경우가 많기 때문에 연 1회 이상 전사 교육 권장 |
정리하면, 기업의 자산은 단지 서버에 저장된 문서나 숫자의 형태를 가진 데이터 조각이 아니고 기업이 시장에서 살아남기 위해 쌓아온 노하우이자, 신뢰이며, 경쟁력이다. 그러한 자산이 한순간의 해킹이나 실수로 유출되어 경쟁사에게 넘어가거나, 랜섬웨어로 암호화되어 사용할 수 없게 되는 순간, 그 피해는 단지 '비용' 수준을 넘어 기업의 존재 자체를 흔드는 위기로 이어질 수 있다.
그래서 기업 자산 보호는 더 이상 기술 부서나 보안팀만의 과제가 아니다. 조직 전체가 ‘무엇이 자산인지’를 알고, ‘그것을 어떻게 지켜야 하는지’를 공감하고 실행하는 문화가 필요한 이유다.
3. 국가 안보 및 사회 안전 보호
앞서 개인정보 보호와 기업 자산 보호가 개인과 민간 중심에서 보안의 중요성을 보여주었다면, 이번에는 그 범위를 더 넓혀 국가 전체와 사회 안전 차원에서 보안이 왜 필요한가에 대해 살펴보려 한다.
요즘 우리가 살아가는 사회를 떠올려 보면, 전력 공급, 상수도 시스템, 교통 제어 센터, 방송 통신, 금융 결제, 병원과 응급 대응 시스템까지 거의 모든 기반 서비스들이 컴퓨터와 네트워크를 기반으로 운영되고 있다. 즉, 이러한 사회 기반 시스템이 해킹이나 사이버 공격으로 마비될 경우, 그것은 단순한 서비스 장애를 넘어 국가의 기능 자체가 정지되거나, 국민의 생명과 안전이 위협받는 상황으로 발전할 수 있다는 것을 뜻하며, 따라서 사회의 기반을 이루는 이 시스템들 역시 디지털로 연결된 보안 대상이 된다.
① 왜 국가와 사회를 위한 보안이 필요한가?
한 국가가 안정적으로 운영되기 위해서는 정치, 행정, 경제, 국방, 사회 기반 시설 등 다양한 요소들이 동시에 잘 돌아가야 한다. 이 요소들은 과거에는 대부분 물리적이고 오프라인 중심이었다면, 지금은 대부분 디지털화되어 인터넷 또는 내부망을 기반으로 작동한다. 따라서 디지털 시스템이 공격당하거나 마비되면, 단순히 한 부서의 문제가 아니라 국가 전체의 신뢰와 안보, 시민의 생명과 안전에 영향을 줄 수 있다.
대표적인 위협 요소와 그로 인해 발생할 수 있는 피해는 다음과 같다:
| 위협 요소 | 설명 |
|---|---|
| 사회 기반 시설 공격 | 전력망, 상하수도, 철도, 항공 관제 등 국가 인프라를 제어하는 시스템이 해킹될 경우, 실제 물리적인 피해가 발생할 수 있음 |
| 정부·군사 정보 유출 | 국가 기밀이나 군사 작전 정보가 타국 또는 해커 집단에 넘어갈 경우, 전략적 우위가 사라지고 국제 외교 문제로 번질 수 있음 |
| 공공 서비스 마비 | 주민센터, 의료기관, 재난망 등 공공기관이 공격을 받아 서비스가 중단될 경우, 국민의 생명과 재산 보호에 차질이 생김 |
| 허위 정보 확산 (사이버 심리전) | SNS, 포털을 통한 허위 정보 유포나 여론 조작은 사회적 혼란과 분열을 조장할 수 있음 |
실제로 이러한 위협과 리스크 등이 예상되기에 “정보통신기반 보호법” 에 주요정보통신기반시설 등을 지정하고 취약점을 평가하는 등의 가이드와 지침이 마련되어 있는 것이다.
② 실제 피해 사례
그렇다면 이번엔 국가 및 사회 안전이 위협 받은 사례에는 어떠한 것들이 있는지 한 번 살펴보자.
| 항목 | [국외] 우크라이나 전력망 해킹 (2015) | [국외] 콜로니얼 파이프라인 랜섬웨어 공격 (2021) | [국내] 국방부/공공기관 정보 유출 시도 (복수 사례) |
|---|---|---|---|
| 사건 개요 | 2015년, 러시아 해커로 추정되는 그룹이 우크라이나 전력회사의 시스템을 해킹하여 30만 명에 달하는 시민들이 몇 시간 동안 정전을 겪는 일이 발생했다. 공격자는 전력 제어 시스템에 침투해 직접 전원을 차단했고, 복구를 방해하기 위해 악성코드로 제어 서버를 마비시켰다. | 미국 동부 주요 석유 공급망을 담당하는 콜로니얼 파이프라인사가 랜섬웨어에 감염되어 총 6일간 운영이 중단되었고, 미국 동부 지역의 유가가 급등하는 경제 혼란이 발생했다. | 최근 수년간 대한민국 국방부, 방위사업청, 공공기관 홈페이지 등이 북한 또는 제3국의 해커 조직으로부터 반복적으로 공격을 받은 사례가 보고되고 있다. |
| 피해 양상 | 단순한 IT 시스템 피해를 넘어서, 실제 물리적 전력 공급이 차단되었고 병원, 교통, 행정 서비스에 광범위한 영향을 끼쳤다. 이후 이 사건은 ‘사이버전이 실제 전쟁의 무기가 될 수 있다’는 경각심을 전 세계에 심어주게 되었다. | 휘발유 공급 부족으로 인해 주유소에 긴 줄이 생기고, 일부 지역은 주유가 제한되었으며 바이든 대통령이 직접 대응을 지시할 정도로 국가 비상사태에 준하는 상황으로 확대되었다. | 일부 정보는 실제 유출되었으며, 훈련 일정, 인력 배치, 국방 전략 관련 문서가 대상이 되었다는 분석도 있다. 또한 공공기관의 로그인 페이지 위조, 악성코드 메일 배포 등 **APT(지능형 지속 공격)**도 증가하고 있다. |
| 사회적 반응 / 후속 조치 | 이 사건은 사이버 공격이 실질적인 군사 무기가 될 수 있다는 점에서 전 세계에 강한 경각심을 주었고, 국가 차원의 사이버 방어력 강화를 요구하는 계기가 되었다. | 미국은 이후 ‘사이버 보안을 국가 안보 핵심 의제로 격상’했고, 공공-민간 협력 기반의 보안 프레임워크 강화를 추진하게 되었다. | 이들 사건은 국민에게 불안을 유발했고, 공공기관의 보안 수준과 대응체계에 대한 비판으로 이어졌다. |
정리해서 이처럼 보안은 더 이상 개인이나 기업만의 문제가 아니다. 국가 단위의 생존 문제이며, 사회 전체의 기반을 지키는 안정 장치로 작동해야 한다. 한 번의 공격으로 교통이 마비되고, 병원이 정전되며, 가짜 뉴스가 퍼지고 국방 문서가 해외로 넘어가는 사태는 더 이상 먼 미래의 이야기가 아니다.
우리는 이제 물리적 전쟁만큼이나 사이버 전쟁이 국가 안보의 핵심 축이라는 사실을 인식해야 하며, 공공기관은 물론 시민 개개인까지도 보안의 한 축으로서 인식하고 역할을 다해야 하는 시대에 살고 있는 것이다.
지금까지 “개인 정보 보호”, “기업 자산 보호”, “국가 안보 및 사회 안전 보호”라는 보안이 필요한 세 가지 핵심 이유를 살펴보았는데, 이 세 가지 핵심 이유에서는 모두 공통적 지향점을 가지고 있다. 그것은 바로 글의 시작에서 언급했던 보안의 목표, 즉 정보를 안전하게 관리하고 보호하여, 서비스가 안전하게 제공되고, 또 지속적으로 운영될 수 있도록 만드는 것이다.
정보를 안전하게 관리하고 보호하여, 서비스가 안전하고도 지속적으로 운영될 수 있도록 하는 한편, 예상치 못한 위협으로 사고가 발생한 경우에도 빠르게 회복하여 비즈니스가 지속 될 수 있도록 만드는 것으로 그 목적이 확장되어 있기 때문이다.
거듭 언급하지만, 이제 보안은 단순히 외부의 침입을 막는 것에 그치지 않고 예상치 못한 위협으로 사고가 발생했을 때에도 빠르게 회복하고 업무와 비즈니스가 멈추지 않고 계속 이어질 수 있도록 하는 것 그 자체가 보안이 궁극적으로 지향하는 목표로 인지하고 준비하고 또 대처해 나아가야 할 필요가 있다.
따라서 우리는 이제 ‘무엇을 지킬 것인가’를 넘어 ‘어떻게 지킬 것인가’, 그리고 ‘지키기 위한 핵심 원칙은 무엇인가’를 생각해 볼 필요가 있다. 이에 다음 내용에서는 이러한 목적을 실현하기 위한 정보보안의 핵심 원칙, 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability),즉 CIA 3요소를 중심으로 보안의 구조적 기초를 이해해보는 시간을 가져보고자 한다.
다음 내용
Kinesis
토론하기