본문 바로가기

[경제 view &] 해킹사고로 공장이 멈췄다 … 당신의 대책은

중앙일보 2011.05.02 00:04 경제 8면 지면보기






김홍선
안철수연구소 대표이사




얼마 전 중견기업 공장에서 있었던 일이다. 직원들이 출근해 준비를 마치고 공장을 가동하려던 참이었다. 그런데 갑자기 생산 라인을 통제하는 컴퓨터가 작동하지 않았다. 부랴부랴 전산요원을 호출했다. 원인은 컴퓨터 바이러스에 있었다. 여러 대의 PC가 심각하게 감염된 상태였다. 복구하는 데 상당한 시간이 걸렸다. 그날 생산 스케줄도 막대한 차질을 빚을 수밖에 없었다.



 물론 그 회사에서는 보안제품을 사용하고 있었다. 그러나 6개월이 넘도록 업데이트를 하지 않았다. 게다가 직원들은 휴식시간에 해당 PC로 인터넷을 이용하거나 게임을 즐기기도 했다. 이렇다 보니 컴퓨터는 각종 악성코드로 가득했다.



 사고 후 대책에도 문제가 있었다. 생산 라인을 멈춘 원인은 바이러스 때문이라고 보고됐다. 그러나 대책은 보안제품을 바꾸어 보겠다는 것이 전부였다. 정보기술(IT)을 잘 모르는 경영진은 더 이상 파고들지도 않았다.



 최근 사이버 침해 사고가 급증하고 있다. 사회를 떠들썩하게 만든 사건도 있지만, 조용히 덮고 지나가는 사고는 부지기수다. 정부와 기업들은 대규모 보안 사고가 터질 때마다 대대적인 보안 점검을 실시한다. 원인 분석과 재발 방지 대책이 활발하게 논의된다. 그러나 이런 과정을 수차례 반복했지만 상황은 별로 나아지는 것 같지 않다.



 안타깝게도 우리는 보안 사고의 구조적 원인을 정확히 직시하지 않는 경향이 있다. 논의는 원론적인 수준에 머물고, 대책은 구체적인 원인에 접근하지 못한다. 물론 보안은 난해한 측면이 있다. 회사마다 보안에 관한 조직 문화와 정책 방향도 다르다. 그러나 보안은 남의 일로 생각하기에는 너무나 중요하고 심각한 문제다. 주인의식이 필요하다. 누군가가 문제를 해결해 주기 기대하기보다 보안은 바로 내 문제라는 인식이 필요하다.



 보안은 태생적으로 폐쇄성을 지니고 있다. 사고가 나더라도 조직 내에서 은폐하고 왜곡하는 경향이 있다. 침해 사고가 발생하면 사고의 증거 자체를 없애버리는 경우도 적지 않다. 사고는 그 자체보다 원인 분석과 재발 방지가 더 중요하다. 문제를 덮어버릴 경우 언제든지 동일한 경로를 타고 문제가 재발할 수 있다. 보안 문제를 다루는 방식은 조직 문화에 따라서도 크게 다르다. 조직 문화가 경직돼 있고 실무자에게 과도한 책임을 물을 경우, 보안 문제는 항상 수면 밑에 숨겨지게 마련이다. 그런 조직에서 보안 업무는 기피 대상이 될 수밖에 없고 제대로 된 보안 대책도 논의되지 않는다.



 정보 보안은 조직의 최고책임자 몫이다. 정보자원을 전반적으로 통제하고 관리하는 권한을 갖고 있기 때문이다. 고객정보, 연구소의 핵심 기술, 공장을 관리하는 시스템이 모두 중요한 정보들이다. 최고경영자는 이들 정보에 대한 보안을 실무진에게 맡겨 놓고만 있어서는 안 된다.



 세계적 경영컨설팅 기업인 딜로이트의 최고경영자(CEO)를 지낸 윌리엄 G 파렛은 『위기의 CEO』라는 책에서 정보 리스크 관리의 중요성에 대해 이렇게 기술했다. “오늘날 정보는 과거보다 훨씬 멀리, 빠르게 퍼져 나간다. 따라서 기업은 10~15년 전만 해도 전혀 알 수 없었던 새로운 리스크와 위협에 노출돼 있다.”



 오늘날 기업의 사업 활동은 대부분 IT를 중심으로 구성된다. IT 기업이 아님에도 사업의 시작과 끝이 IT에서 이루어지는 경우가 허다하다. 그런 상황에서 사업 리스크로서 정보 보안의 중요성은 점점 커진다. 정보 보안은 각종 법률과 규정을 준수하는 것 이전에 사업의 생존에 관한 문제다.



 보안 문제를 조직 내부에서 진지하게 공유하고 투명하게 다룰 수 있어야 한다. 적어도 조직원 모두가 사태의 본질을 정확하게 인식하고 문제점이 빠짐없이 다 드러나야 진정한 대책이 마련될 수 있다. 그리고 그 중심에는 CEO가 있어야 한다.



김홍선 안철수연구소 대표이사
공유하기
광고 닫기