2008년 2월 28일 목요일

기사 스크랩 - [기자수첩]숭례문 방화사건으로 바라본 기업보안 현실 (보안뉴스, 2008-2-19)

[기자수첩]숭례문 방화사건으로 바라본 기업보안 현실
[입력날짜: 2008-02-19]





형식적이고 이벤트성으로 끝나는 국내 기업 보안의 현실






1395년 조선 태조 4년에 짓기 시작해 태조 7년인 1398년에 완공된 숭례문. 현존 서울에 남아있는 목조 건물중 가장 오래된 건축물로 지난 1962년 12월 국보 제1호로 지정된 바 있다.




하지만 우리는 지난 10일 소중한 우리의 문화유산인 숭례문을 한줌 재로 불태웠다. 방화의 범인은 사회에 불만을 품은 한 노인이었고 우리는 그를 막지 못했다.




또한 화재당일 문화재청과 소방기관은 허둥지둥대며 제대로된 화재 진화를 하지 못했다. 분명히 조기진화할 수 있는 상황이었음에도 불구하고 안일한 대처로 삽시간에 국보1호를 잿더미로 만들어 버렸다. 그리고 우리는 또 복원 이야기를 꺼내고 있다. 화재로 숭례문이 내려 앉고 난 후에 총동원된 정밀 진단기들이 더욱 한숨을 자아내게 한다.




숭례문 화재사건은 우리의 보안현실과 너무도 닮은꼴이라는 생각이 든다. 그 몇가지를 들어보자.




1. 보안, 뭐 대충 형식적으로 하면 되잖아.

숭례문은 야간에 경비원없이 무인경비시스템만 작동되고 있었다. 70대 노인은 사전답사를 통해 야간에 경비가 없다는 것을 알고 유유히 신나와 라이타를 이용해 불을 지르고 달아났다.



기업들은 몇가지 보안장비들만 구축한 후 “뭐 애들이 알아서 잘 해주겠지”라고 믿고 있는다. 그리고 보안담당자도 두지 않고 전산실이나 네트워크 담당자들에게 보안업무를 분담시킨다. 당연히 보안업무가 제대로 이루어질 리 없다. 전산 시스템 직원들에게 있어 보안은 귀찮고 부가적인 업무일 뿐이다.




2. 싼 것만 찾는다.

숭례문 보안 경비를 담당하는 기관은 서울 중구청이다. 중구청은 숭례문 개방후 무인경비시스템 3사를 돌며 공짜 보안을 맡겨왔다. 무인경비업체들은 국보1호를 자신들이 맡고 있다는 광고효과 때문에 서로 하겠다고 나선 것이다. 결국 야간경비도 두지않고 돈도 들이지 않은채 보안을 하려고 했던 것이다. 국보1호를 방치했다고 봐야 한다.



기업들이 보안솔루션을 도입하는데 있어 여전히 고려하는 것은 싼 가격조건이다. 보안전문인력 채용에 있어서도 돈 든다고 꺼려한다. 보안관제나 보안컨설팅을 받을 때도 형식적이다. 정책상 해야하니까 그냥 싼 값에 받으려고 한다. 당연히 질떨어지는 값싼 관제나 컨설팅서비스가 돌아갈 뿐이다.




3. 항상 소잃고 외양간 고친다.

숭례문 화재가 난 후에 화재 감식에는 최첨단 장비들이 동원된다. 모든 수사력을 동원해 CCTV 자료를 확보하고 방화범을 검거한다. 이런 집중력을 화재전 평소에 10%만 사용했더라면 어땠을까.




기업들도 핵심 정보가 유출된 후 수백억원대의 핵심기술이 유출됐다며 호들갑을 떤다. 물론 기술을 유출한 범인들에 대한 죄는 당연히 물어야 하지만 과연 피해를 당한 기업들이 전방위적인 보안에 대한 노력을 기울였을까 생각해보지 않을 수 없다. 항상 당한 뒤에 정신을 차리는 것이 보안이다.




4. 소잃고 외양간 고치는 것도 제대로 안한다.

숭례문이 방화로 무너져 내린지 하루만에 숭례문 복원 계획이 나오는가 하면 얼마의 비용이 들면 복원이 가능하다는 이야기가 나왔다. 아무리 생각해도 앞뒤가 바뀐것 같다. 우선 왜 이런 어처구니 없는 일이 발생했으며 전국의 문화재 보안시스템에 문제가 없었는지를 살펴봐야 한다. 또 관련 보안메뉴얼 제작, 소방기관과 문화재청의 협력 매뉴얼을 만드는 것이 선행돼야 하지 않을까. 보안대책없이 복원만 생각한다면 반드시 방화 혹은 다른 형태의 문화재 유실 사고가 틀림없이 발생할 것이다.




기업도 마찬가지다. 보안사고가 발생할 때만 항상 반짝한다. 너무도 이벤트적이다. 제대로 된 대책을 세우지 못하고 잘못된 부분을 시정하지않기 때문에 항상 뚫렸던 기업은 또 뚫린다. 예를 들어 정보가 유출됐다고 DRM만 덜렁 도입한다. 바이러스·웜 때문에 회사 PC 전체가 다운됐다고 통합PC보안 솔루션만 들여놓으면 다 되는줄 알고 있다. 그리고 나서 나중에 또 다른 문제가 터지면 또 임시방편으로 막기에 급급하다. 소중한 소(정보·자산·고객)를 잃고도 제대로 방지대책을 세우지 않고 있는 것이다.




5. 보안은 시스템 관리가 아니라 사람 관리인데

숭례문은 최첨단 무인경비시스템으로 야간경비를 지키고 있었다. 하지만 사회에 불만을 품은 노인 한명도 제대로 방어하지 못했다. 이러한 사건은 사회병리적 현상으로 봐야 한다. 사회의 부조리들이 양산해낸 소외층은 항상 이러한 위험한 상황을 만들어낼 소지가 있다. 즉 1차적인 책임은 사회 부조리를 만들어낸 정부에 있다고 봐야 한다. 국민들이 믿고 신뢰할 수 있는 정책이나 정치 그리고 행정이 제대로 이루어지지 않았다고 봐야 한다.




이는 기업에서도 마찬가지다. 엔씨소프트 정보보안팀 김휘강 팀장은 “최고의 보안은 인사보안”이라고 말하고 있다. 기업 구성원들이 자신이 다니는 회사를 사랑하지 않는다면, 자기가 하고 있는 일을 사랑하지 않는다면 정보유출은 어떠한 솔루션으로도 막을 수 없다는 것이다. 이러한 애사심을 가지도록 만들어주는 주체는 바로 회사 경영진이 돼야 한다. 돈벌이에만 급급할 것이 아니라 애사심이 직원들 마음속에서 우러나도록 한다면 내부자에 의한 정보유출은 상당부분 줄어들 것이다.

[길민권 기자(reporter21@boannews.com)]




<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>