[보안뉴스 문정후 기자] 요즘 같은 세상에 데이터 침해 한 번이면 사업에 막대한 피해가 생길 수 있다. 얼마 전 트위터 내부 고발자가 등장해 여론을 조성한 뒤 트위터에 대한 불신 여론은 팽창하는 중이다. 몇 년 전만 해도 데이터 침해 사고에 대해 고객들은 너그러운 편이었다. 사과문만 잘 쓰면 용서가 되는 분위기였다. 하지만 이제는 데이터 유출의 소문만 나도 성난 벌 떼처럼 들고 일어난다. 점점 데이터 침해에 기업들이 벌벌 떨 수밖에 없는 방향으로 흘러가고 있다. 이런 때 기업들은 어떻게 스스로를 보호해야 할까?

[이미지 = utoimage]
전 트위터 근무자의 내부 고발
트위터 내부 고발 사건이 제일 크게 시사하는 건 “해킹 사고가 없어도 데이터 침해 수준의 타격을 입는 게 가능하다”는 것이다. 전 트위터 보안 책임자였던 피터 자트코(Peiter Zatko)는 “트위터의 데이터 및 프라이버시 보호 수준이 형편 없다”는 주장을 하며 여러 매체의 헤드라인을 차지했다. 보안을 주제로 한 발언이, 보안 사고가 일어난 것과 같은 효과를 가지며 일파만파 퍼졌다.
물론 주장만 있던 것은 아니었다. 그는 200페이지에 달하는 보고서를 작성해 의회에 제출했다. 트위터가 어떤 식으로 얼마나 잘못하고 있는지를 드러내는 근거들이 그 안에 가득한 것으로 알려져 있다. 특히 트위터라는 플랫폼에 있는 민감한 정보와, 트위터의 중앙 제어 시스템에 일반 직원들이 아무렇게 접근할 수 있었다는 주장이 그에게서 나오면서 사용자들의 성토는 더욱 커졌다.
진실 여부 판정은 아직 나지 않았지만
고발만으로도 큰 파급 효과가 나타나는 건 왜일까? 보안 침해 혹은 데이터 침해 주장이 나왔을 경우, 진위여부가 크게 중요한 위치를 차지하지 않기 때문이다. 이미 대중의 여론은 ‘그 기업의 보안은 엉망’이라고 판결을 내린다. “A라는 기업에서 정보가 유출된 것 같다”고 말하는 순간 그 기업은 유죄 판결을 받는 것이나 다름이 없다. 사람들은 정보 유출 주장을 대단히 쉽게 믿어버리는 습성을 언젠가부터 갖게 되었다.
그도 그럴 것이 타겟(Target), 어도비(Adobe), 야후(Yahoo) 등 그 동안 소비자들의 신뢰를 한껏 받아 왔던 사기업들에서 너무 많은 데이터 침해 사고를 일으켰다. 심지어 대부분이 해커가 뛰어나서 당한 게 아니라, 보안에 대해 해이해서 나타난 결과들이었다. 이런 식의 사건에서 기업은 항상 유죄라는 게 소비자들에게 각인이 된 것으로 생각된다. 매체들은 침해 의혹은 대대적으로 보도하는데, ‘사실 그게 아니었다’는 건 잘 내지 않기도 한다.
고객들은 왜 프라이버시에 그토록 민감할까?
기업들이 어마어마한 양의 개인정보를 수집한다는 건 잘 알려진 사실이다. 그리고 그 수집이라는 것을 그냥 얌전히 하는 게 아니라 소비자들을 집요하게 쫓아다니면서 한다는 것도 여러 차례 적발된 적이 있다. 우리가 어느 사이트에서 뭘 하고 뭘 사는지를 추적하면서 자신들의 이윤을 극대화 한다고 하니 소비자들로서는 거부감이 들 수밖에 없다. 서비스 향상을 위해 어느 정도 정보를 가져가는 건 괜찮은데, 그렇게까지 일거수일투족을 감시할 필요까지는 없지 않느냐는 것이다.
여기다가 해커들도 기승을 부리며 우리의 ‘사이버 일상’을 위협하고 있다. 아이덴티티 정보를 훔치고, 피싱을 하고, 랜섬웨어를 흩뿌리니 갈수록 보안에 예민하게 될 수밖에 없다. 기업은 우릴 감시하고, 해커들은 우리를 매일처럼 속일 생각만 하니 계속 둔감한 상태로 있는다는 게 더 이상하다. 심지어 기업이나 해커나 사실 하는 짓은 똑같다고 생각하는 소비자들도 늘어나고 있다.
기업이 스스로를 보호하려면 : 투명성
데이터 침해에 대해 이렇게 시장이 민감하게 반응할 때 기업이 취할 수 있는 가장 안전한 노선은 데이터 관리에 관한 현황을 투명하게 공개하는 것이다. 대다수 기업들은 보안과 프라이버시 문제에 대해 터놓고 이야기하는 것을 극도로 꺼린다. 왜냐하면 보안을 위한 바람직한 실천 사항을 꼼꼼하게 지키지 못하고 있는 게 현실이기 때문이다. 하지만 세상에 있는 거의 모든 기업들의 사정이 비슷하다. 제일 먼저 앞으로 나서 있는 그대로 자신들의 상황을 알리고 노력의 모습을 보여주면 신뢰를 얻을 수 있다.
하지만 투명한 태도를 유지한다고 해서 무조건 신뢰로 이어지는 건 아니다. 지켜야 할 몇 가지가 있는데, 이는 다음과 같다.
1) 구체적이고 지킬 수 있는 계획을 먼저 마련하라.
2) 가장 먼저 사업의 핵심이 되는 데이터와, 가장 큰 리스크가 되는 부분들에 집중하라.
3) 단기 목표와 장기 목표를 모두 설정하라. 고객들은 물론 내부의 직원들까지도 수긍할 만한 것이어야 한다.
4) 보안 점검을 대대적으로, 주기적으로 하라. 보통 보안 점검은 임원진들만이 비밀 리에 진행하는 것이 보통이지만, 일반 직원들까지도 참여하도록 하는 게 좋다. 그래야 보안에 대해 입으로만 떠든 게 아니라는 걸 납득시킬 수 있다.
5) 인증서를 획득하라.
6) 외부 감사자들을 활용하라. 물론 회사 입장에서 내키지 않겠지만, 이를 통해 소비자와의 보안 강화 약속을 지킬 의지가 있음을 확연히 보여줄 수 있게 된다.
끝나려면 멀었다
위협이라는 것도 그렇고, 소비자들의 기대라는 것도 그렇고, 어느 것 하나 가만히 있는 것은 없다. 모두 빠르게 변한다. 그러므로 그 때 그 때 보안 계획도 제대로 변경시켜 적응해야 한다. 적응에는 돈이 들기 마련인데, 그 어느 기업도 IT와 보안 담당 부서에 무제한 예산을 허락하지는 않는다. 그러니 최대한 저렴하게 변화에 적응하는 게 관건이다. 몇 가지 참고할 만한 내용을 정리하면 다음과 같다.
1) 혼자서 감당하는 보안은 이제 그만 : 보안의 모든 문제를 한두 사람이나 한 부서가 떠안을 수는 없다. 그런 시대는 지났다. 기본적인 부분은 차라리 외주를 줘서 해결하고, ‘회사 상황에 맞는 보안’을 내부 팀이 도맡는 게 효과적이다.
2) 비용 절감은 세부적으로 하는 게 아니다 : 예산이 한정적일 때 대부분 보안 팀들은 벤더사로부터 높은 할인율을 끌어내는 데 집중한다. 잘 되지 않으면 팀원들의 불 타는 야근으로 신기술을 대체하려는 곳들도 대단히 많다. 이는 불만을 쌓이게 하는 결과를 낳는다. 비용 절감이라는 건 보다 큰 그림에서 기획되고 실행되어야 한다. 예를 들어 보안과 프라이버시를 충분히 강화시킴으로써 보다 저렴한 보험 상품에 가입할 수 있게 되는 것처럼 말이다.
3) 데이터는 되도록 조금만 저장 : 기업이라면 데이터 욕심을 내는 게 당연하다. 뭐든지 저장하고 싶고, 뭐든지 가지고 있고 싶다. 하지만 이렇게 데이터를 영원히 가지고 있으려 하면 저장소 비용도 늘어나고, 이제는 각종 벌금과 법적 리스크까지 짊어져야 한다. 데이터를 줄이는 게 여러 면에서 이득이라는 걸 이해시켜야 한다.
트위터 내부자 고발 사건으로 인해 우리는 공식적으로 확인되지 않은 소식만으로도 기업이 큰 타격을 입을 수 있다는 사실을 실시간으로 보고 있다. 데이터 유출에 대한 소비자들의 민감한 태도 역시 우리는 익히 알고 있었다. 이런 때에 뭘 더 기다리겠는가? 보안을 실질적으로 강화하고, 그러한 내용을 소비자들에게 투명하게 공개해야 한다. 조금이라도 늑장을 부리면 트위터가 받고 있는 화살을 당신의 회사가 받을 수도 있다.
글 : 스티븐 맨리(Stephen Manley), CTO, Druva
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>