Information

이지시큐 정보센터

절대 뚫리지 않을 자, 나에게 돌을 던져라

THE DARK SIDE OF ISMS
작성자
이지시큐
작성일
2020-12-02 20:40
조회
202
이랜드 랜섬웨어 사고에 대처하는 우리들의 자세

글의 시작에 앞서, 필자가 이랜드와 이해관계자로서 이랜드를 대변하고자 본 글을 기고하는 것이 아니며, 이랜드와는 어떠한 사전 조율 없이 본인의 양심에 따라 스스로 결정하여 정보보호 전문가로서 객관적인 입장과 태도로 말하고자 하는 것임을 명백히 밝힘.

뉴스 매체마다 핫이슈다. 보안 관련 종사자들은 모르는 사람이 없고 저마다 [카더라 정보통]에서 수집된 불확실한 정보를 공유하고 퍼나른다. 바로 며칠 전 이랜드가 당한 랜섬웨어 감염 사고 때문이다.

자타공인 보안인인 우리들은 랜섬웨어가 [누가] 감염되었나가 아니라 [왜], [어떻게] 감염되었으며, 반면교사로 삼아 우리는 어떻게 예방할 것인가를 최우선적으로 생각해야만 한다. 랜섬웨어 피해를 입은 기업은 가십거리가 되거나 심지어 [보안을 게을리했다]라는 지극히 비논리적인 인과관계로 추정된 추측성 비난을 받을 일이 절대로 아니다.

우리는 피해자와 가해자를 명확히 인식할 필요가 있다. 이용자는 항상 피해자고 기업이나 기관은 항상 가해자라는 프레임을 가져서는 안 된다. 개인정보를 수집하여 정보주체에게 효용과 부가가치를 제공하는 기업과 기관들은 선관주의의무를 다하며 법적 준거성을 따르는데 충실할 의무가 있는 것이지 절대 피해자가 될 수 없는 것은 아니다. 특히 랜섬웨어와 같은 극도로 계산되고 사회공학적인 공격 방법으로 취약점을 파고드는 해킹 행위는 기업과 개인 누구나 언제든지, 심지어 알고도 피해자가 될 수 있다. 눈을 맑게 뜨고 무엇이 핵심인지 현명한 태도로 이번 사건을 바라봐야 한다.

정보보호는 보안 위험을 관리하는 것이지 위험 소멸 상태로 만들고 유지하는 것이 아니다. 본인이 여러차례 강조해왔던 것처럼 ISMS인증을 취득했다고 해서 100점짜리 무결한 보안 수준에 올라 있는 것도 아니며 이용자들로 하여금 그렇게 오해하도록 홍보, 이용해서도 안 된다.

이랜드는 이미 ISMS가 법적 의무가 되던 수년전부터 선제적으로 ISMS인증을 취득하여 매년 꾸준히 유지하면서 보안 수준을 높여 왔고 계열사 마다 별도의 인증을 취득하고 있다. 총 3개의 계열사가 현재 유효한 인증을 보유, 유지하고 있고 추가로 1개의 계열사가 자발적으로 인증을 준비중이다. 물론 이랜드가 대기업이라 하더라도, 단언컨대, 당사 이지시큐가 보유한 100여 고객사 중에서 객관적으로도 상위 정보보호 관리 수준에 위치한다. 이랜드가 매년 ISMS인증 심사에서 받는 결함보고서의 요구사항 수준만 봐도 가늠할 수 있다. 심사원들은 이미 이랜드에서 초급수준의 결함을 발견해 낼 수 없기에 다소 과하거나 ISMS인증 기준을 매우 엄격하게 적용한 결함을 낸다. 이것은 사실이며 이지시큐의 수장으로서 명예를 걸고 말할 수 있다.

이번 사건에서 이랜드가 피해를 최소화할 수 있었던 이유는 대다수의 기업, 기관이 사용자 편의성에 반하기 때문에 도입을 꺼리는 보안 솔루션인 DRM을 오래전부터 도입하여 사용하고 있기 때문이다. ISMS 컨설팅 전문가로서 본인의 경험치에 따르면 ISMS인증 기관 중 DRM을 채택하는 기관은 전체 중 10% 미만이다. 이랜드는 정보보호 정책에 따라 대표이사까지 예외처리없이 전사 직원에게 DRM을 적용하고 있는 것으로 알고 있다.

기업 또는 기관이 관리적, 기술적 취약점을 지속적으로 발견하기 위해 노력하고 자원을 들여 꾸준히 개선해 나가는 것은 정보통신망법 개인정보보호법에서 요구하기에 당연한 것이 아니라 박수 받아 마땅한 일이다. 학생이 공부를 열심히 하는 것은 당연한 게 아니라 칭찬받을 일인 것과 같다. 학생이 공부를 열심히 하는 중에 잘 모르는 것이 있고 한두 번의 실수를 했다고 해서 지탄받을 일이 아닌 것도 마찬가지다. 수년간, 매년, 매일, 매순간 정보보호를 위해 자원을 투입하고 전사적으로 마음을 다해 관리하였음에도 불의의 보안 사고를 입은 동료를 나무라고 싶은 사람이 있다면 필자를 먼저 비난하길 바란다.

영화 ‘말레나’를 보면 죽은 줄 알았던 남편이 살아서 돌아오자 아름다운 말레나를 시기 질투하고 괴롭히던 사람들이 호의적인 태도로 돌변하면서 끝난다. 나는 비단 이랜드뿐 아니라 이용자의 개인정보보호를 위해 최선을 다해 노력하는 기업과 기관들이 도움이 필요할 때 기꺼이 그들의 편에 서서 살아 돌아온 남편이 될 것이다. 또한 반대로 개인정보와 정보보호를 하찮이 여기는 세력과 계속하여 투쟁할 것이다.

나아가 법적인 의무 대상도 아닌데 자발적으로 ISMS인증을 취득하는 기업이나 기관들에게는 인증심사 수수료를 면제해 줄 것을 필자는 강력히 주장한다. 왜냐하면 ISMS인증 의무 대상임에도 불구하고 경제적 논리만을 생각해 인증 취득 유지 비용보다 저렴한 과태료를 내고 개인정보주체인 이용자들을 무시하는 처사를 하고 있는 부류를 생각할 때, 그 반대의 훌륭한 인식을 갖고 행동하는 자에게는 보상을 줘야 마땅하다. 그것이 역차별이 없는 공정한 정보보호 지향 사회이기 때문이다.
error: Content is protected !!