티스토리 뷰
2011년, 네덜란드의 디지 노타라는 회사가 파산을 합니다. 이 회사는 SSL 인증서를 발급하는 회산 데요. SSL 인증서는 방문하려는 사이트가 진짜인지, 아님 피싱 등을 위한 가짜인지를 가려내는 용도로 사용됩니다. 디지노타는 이 SSL 인증서 분야에서 업계 최상위를 달리던 업체였는데요. 마이크로소프트, 야후, 스카이프, 페이스북, 트위터 등 유수의 정보통신사업자는 물론 미국의 CIA, 영국의 MI6, 이스라엘의 모사드 등 세계 각국의 정보기관과 네덜란드 정부 기관도 이 회사의 인증서를 사용할 정도였죠. 그런데 이런 회사가 되레 해킹을 당하게 됩니다. 해커는 수백 건의 허위 인증서를 발급해 불법 사이트를 합법적인 사이트로 보이게 만들었는데요. 당시 구글 명의의 허위 SSL 인증서가 발급돼 이란의 지메일 사용자들이 해킹을 당하기도 했죠. 이 사건으로 고객 신뢰도와 브랜드 이미지에 큰 상처를 입은 디지 노타는 결국 파산에 이르게 된 겁니다. 이렇듯 보안은 한 기업을 파산에 이르게 할 정도로 기업 경영에 있어 중요한 요솝니다. 그런데 여러분은 보안에 얼마나 신경을 쓰고 계신가요? 혹시 보안이 성과에 직결되지 않는다며 등한시하고 있진 않나요? 오늘은 보안의 중요성과 경영 현장에 보안 DNA를 이식할 수 있는 방법에 대해 함께 알아보려고 합니다.
외국과 마찬가지로 국내의 보안사고도 꾸준히 늘어나고 있는 추셉니다. 현재에도 지속적으로 증가하고 있습니다. 굳이 통계자료가 아니더라도 여러분들은 뉴스를 통해 이름만 들으면 알만한 기업들의 개인정보 유출 사고를 접하셨을 텐데요. 이런 사고로 경영진이 교체되거나 브랜드 인지도가 하락하고, 고객이 이탈되는 사례를 쉽게 찾아볼 수 있죠. 혹자는 그럴지도 모릅니다. 우린 중소기업이기 때문에 가져갈 정보나 기술이 없다, 그래서 우리는 괜찮을 것이다라고요. 과연 진짜 그럴까요? 중소기업 연구원에 따르면 중소기업의 10%가 최근 3년간 기술유출로 인해 피해를 경험했다고 하는데요. 이로 인해 매출액이 평균 25억 원 감소했다고 합니다. 또 전체 기술유출 건의 73%가 중소기업일 정도로 보안에 취약한 모습을 보이고 있습니다.
사례를 한 번 살펴볼까요? 한 중고명품을 취급하는 인터넷 쇼핑몰에서 웹서버 보안점검을 한 번 한 적이 있는데요. 전혀 예상치도 못한 결과가 나왔습니다. 중국발 IP로부터 이 쇼핑몰은 이전부터 계속 공격을 받고 있었는데요. 쇼핑사이트로 운영이 불가능할 정도로 심각한 상태였죠. 알고 보니, 범인은 경쟁 쇼핑몰이었고, 뒤늦게나마 피해를 복구하고 보안 조치를 했지만 이미 영업 손실과 고객 이탈이 일어난 뒤였죠. 결국 기업의 크고 작음에 상관없이 보안이라는 의무는 회피할 수 없는 필수 요소라는 것을 의미하는 겁니다.
그렇다면 보안을 강화하기 위해 무엇을 어떻게 해야 할까요? 우선 사무실의 출입문과 창문 등을 통한 외부의 물리적인 침입이 있을 수 있고, 사무실 내부를 보면 PC에 있는 USB 이동식 저장장치, 외장하드 등 여러 디바이스를 통한 유출 또한 우려되는 부분이죠. 특히 이 작은 USB 이동식 저장장치 하나로 PC 하나 분의 정보를 통째로 저장할 수 있어 이를 통한 정보 유출이 늘어나고 있는 추셉니다. 실제로 모 의류업체에서는 한 임원이 수많은 데이터를 저장한 USB 이동식 저장장치를 가지고 경쟁사로 이직하는 바람에, 준비하고 있는 상품을 경쟁사에게 빼앗기고 말았습니다. 그밖에 인터넷 회선을 타고 들어오는 해킹 위협도 위험해 보이고, 임직원들이 가지고 다니는 스마트 폰 또한 걱정거리가 될 수 있겠죠? 이렇게 사무 공간을 간단하게 둘러봐도 여러 위험요소가 산재해 있고 보안조치가 필요하다는 것을 체감적으로 느낄 수 있습니다. 이런 보안 위험요소에 대해 어떤 조치 취해야 할지도 궁금하실 텐데요. 보안조치에는 크게 기술적, 물리적, 관리적 조치방안이 있습니다. 기술적 보안조치는 가장 기본적인 대책이라고 할 수 있는데요. 쉽게 시스템, 네트워크, 데이터 등을 보호하는 것으로 보안 소프트웨어와 하드웨어의 사용을 말합니다. 그밖에 물리적 보안 조치는 사무공간 등 경영 환경으로의 물리적인 침입과 자연재해 등 물리적 파괴로부터 보호하기 위한 조치를, 관리적 보안조치는 법, 제도, 규정, 교육 등 관리적인 조치 방안을 말하는데요. 이러한 기술적, 관리적, 물리적 보안조치를 경영 환경에 배치해 예방 및 보호활동을 하는 것이 바로 보안활동입니다. 몸을 보호하기 위해 옷을 입듯이, 경영 환경을 보호하기 위해서는 보안을 입어야 합니다. 여러분은 경영환경에 보안이라는 옷을 어떻게 입혀 놓았는지 한 번 살펴보시길 바랍니다. 감사합니다.