김홍선 안철수硏 사장 "지키지 않는 보안정책, 무용지물"

[구윤희기자] "세분화된 보안 정책 수립하고 이를 충실히 지키는 것이 가장 중요하다."

김홍선 안철수연구소 사장은 26일 여의도에서 열린 '금융IT 보안 서밋 2011'에서 보안이 중요하다는 정도의 추상적인 생각에서 벗어나 각 기업에 맞는 구체적인 정책을 수립해 지켜나가는 것이 중요하다고 역설했다.

김홍선 사장은 "다들 보안이 중요하다고 말은 하지만 정작 무엇부터 시작해야 하는지에 대해선 구체적인 고민이 없다"면서 "패스워드 정책조차 제대로 갖춰져 있지 않은 상황부터 바꿔 나가야 한다"고 지적했다.

◆세분화된 보안 정책에 '시간축' 개념까지 포함해야

그는 "다차원적인 위협이 증가하는 최근 상황은 보안 솔루션 몇개를 구입해서 해결할 수 있는 수준이 아니다"라며 "기업 내부 보안 시스템에서 어떤 부분이 문제이고 이를 막기 위한 대응책이 무엇인지 일일이 고민해야 한다"고 말했다.

10년, 20년 전과는 비교할 수 없을만큼 진화한 해커와 악성코드는 각 기업 인프라의 허점을 노리기 때문에 체계적인 보안 정책을 수립하고 실천하는 것이 그 어떤 솔루션 구입보다 중요하다는 뜻이다.

그는 "아주 폐쇄적인 기업에서조차 고객과 소통을 위해 홈페이지나 커뮤니티를 운영하게 된다"면서 "해커는 그런 부분까지 파악해 공략하기 때문에 기업 네트워크나 시스템 요소를 세분화해서 하나하나 대응해야 하는 시점"이라고 거듭 말했다.

특히 최근에는 '시간축' 개념을 보안에서 반드시 고려해야 한다고 조언했다. 지난 3·4 디도스 공격에서 알 수 있듯 악성코드 실행 시점이 방어 태세에 따라 유동적으로 조정되는 수준에 이르렀기 때문에 백신 업데이트나 실시간 모니터링 등을 보안 정책 중요 요소로 포함시켜야 한다는 것이다.

김홍선 사장은 "최근의 공격 양상은 매우 빠르고 순간적으로 변한다"면서 "하드웨어 파괴 명령이 내일로 예정됐다가도 지금 당장 파괴로 바뀔 수 있으며 이를 예방하려면 꾸준히 관찰하고 빠르게 대응하는 것 밖엔 방법이 없다"면서 보안에 '시간' 개념이 중요해지고 있음을 시사했다.

◆CEO, 보안 사고에 책임 추궁보다는 대안 고민에 힘 실어야

김홍선 사장은 최근 끊임없이 이어지고 있는 보안 사고의 고리를 끊기 위해선 기업 CEO들이 변화해야 한다고 역설했다. 각 기업 CEO가 보안 사고를 '충분히 일어날 수 있는 일'이라고 인식하는 문화가 필요하다는 것.

그는 "보안 사고가 생겼을 때 이를 덮어두면 절대 안 된다. 한번 뚫린 곳으로 다시 공격이 일어나기 때문"이라면서 "담당자들은 포맷 등의 방법으로 문책을 피하려는 경향이 있지만 이는 더 큰 사고가 발생할 여지를 남기는 것"이라고 꼬집었다.

문제가 생겼을 때 신속하게 문제를 공유하고 파악·분석해 다 함께 방어하도록 유도해야 하며, 이를 위해선 보안 사고가 한 담당자의 실수가 아닌, 언제든 일어날 수 있는 일이라고 받아들이는 CEO의 의식개선이 절대적이라는 뜻이다.

이어 "정보보안이라는 분야가 조직의 존재가치와 직결된다는 점을 CEO가 인식해 명확한 가이드라인을 만들고 예외없이 적용해야 한다"면서 "결국 책임은 CEO에게 있다는 점을 상기하고 보안에 대한 조직 문화를 만들어 가야 하는 것"이라고 당부했다.