[김국배기자] 사이버 위협에 대처하기 위해선 기업들의 능동적인 보안 전략이 필요하다는 목소리가 높아지고 있다.기업들이 규제를 피하기 위한 임기응변이 아닌 정보 자산을 지키기 위한 전반적인 보호체계를 갖춰야 한다는 지적이다.
22일 관련업계와 학계에 따르면 대부분의 국내 기업들은 여전히 정부나 감독기관의 지침을 이행하는 차원에서만 보안 솔루션을 구입하고 있어 사이버 위협에 대응하는 효과가 떨어진다는 지적이 이어지고 있다.
기업의 보안 담당자들이 보안 컨설팅을 통해 자사의 보안 수준을 점검하고 그에 따라 가장 적합한 보안 솔루션과 서비스를 선택하기보다는 그저 '위에서 시키는 것'만 따르기 급급하다는 것이다. 개인정보보호법 시행으로 관련 솔루션 도입이 늘어나는 것과 같은 이유다.
한 보안업체 대표는 "기업들의 보안 솔루션 도입은 진정한 보안 투자라기보다는 법망을 피하기 위한 경우가 대부분"이라며 "그러다보니 사고를 겪어도 보안 예산이 크게 늘어나지 않는다"고 꼬집었다.
이 관계자는 또 "이렇듯 기업 상황이 수동적인 경우가 대부분이라 솔루션을 도입해 놓고도 그에 대한 관리도 뒷전이 경우가 흔하다"고 덧붙였다. 일단 도입은 했으니 급한 불은 껐다는 태도라는 것이다.
이처럼 기업들이 시장에서 스스로 판단해 보안 제품을 선택하는 일이 적다보니 특정 보안 솔루션이 유행처럼 부상하는 일도 잦다. '3·20 사이버테러' 이후 망분리 솔루션이 '만병통치약'처럼 주목을 받은 것도 같은 맥락이다.
보안업계 관계자는 "3·20 당시 피해를 입은 곳 중 망분리하지 않은 곳이 있는 건 맞지만 모든 기업이 망분리해야 하거나 망분리를 하면 무조건 안전하다는 식의 접근은 위험하다"고 경계했다. 기업에 맞는 솔루션 도입이 중요하다는 것이다.
더 큰 문제는 특정 보안 솔루션의 부상이 기업들의 정보보호 체계를 오히려 획일화시켜 해커의 먹잇감이 되는 위험을 초래할 수 있다는 점이다. 각 기업이 네트워크, 시스템, 데이터베이스(DB), 콘텐츠 단에서 취약한 부분에 한해 다양한 보안시스템을 갖추는 것이 중요하다는 뜻이다.
한 해커 출신 보안전문가는 "모든 기업의 보안 체계가 비슷비슷해지거나 똑같은 솔루션을 사용하다보면 한꺼번에 같은 피해를 입는 경우가 나올 수도 있다"며 "해커 입장에서는 하나만 뚫으면 다른 곳도 어렵지 않게 공격을 할 수 있게 된다"고 설명했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기