업무에 사용한 개인 e메일 빈틈이었는데...정부는 해킹 단속만 강화

개인과 업무 경계 모호한 기업들 '보안 구조적 빈틈'

늑장 신고보다 기업 문화 개선, 보안에 대한 인식 강화부터 먼저 챙겨야

 

국내 최대 보안기업인 ‘SK쉴더스’ 해킹 사건의 주범은 개인 메일 계정에 업무 자료를 보관해 해커의 침입 통로로 사용됐다는 점이다. 보안업계는 정부의 이번 해킹 종합 대책에 앞서 업무와 개인을 명확하게 분리하는 기업 문화 정립과 보안에 대한 인식 강화부터 먼저 챙길 필요가 있다는 의견을 내 놓고 있다. 

23일 보안업계 관계자는 정부의 해킹 방지 대책을 놓고 "SK쉴더스 해킹의 경우 기술적으로 보안이 뚫려 기업 내부 자료들이 유출됐다기 보다 관리 체계, 기업 문화에 대한 문제가 사고를 키웠다"며 "업무와 개인 경계를 명확히 구분짓는 것이 가장 중요하다"고 말했다.

SK쉴더스는 초기 대응도 문제가 됐다. 사건 초기엔 다크웹(일반 검색 엔진으로 찾을 수 없는 웹사이트)에 올라온 자료가 내부망과 분리된 허니팟(미끼)에서 만든 가짜 데이터라고 설명했지만, 이후 ‘실제 자료 일부 유출’로 확인됐기 때문이다. 

전문가들은 업무와 개인 계정이 명확하게 구분되지 않은 상황에서 SK쉴더스가 현황 파악을 하는데 어려움을 겪었을 것으로 보고 있다. 업무에 개인 계정 사용을 방치하다 보니 경고 신호도 놓칠 수 밖에 없었다는 얘기다. 국내 기업 상당수가 SK쉴더스와 비슷하게 업무와 개인 계정을 구분하지 않고 있어 비슷한 상황이 재차 일어날 수 있다고도 지적한다.

정부는 해킹 종합 대책을 발표하며 해킹 정황만으로 기업을 조사할 수 있도록 관련 법을 재정비 하겠다고 밝혔다. 단순 서류만 제출하면 되던 보안인증제도(ISMS)는 현장 중심 심사로 바꿨다. 이 외 징벌적 과징금을 상향하는 등 기업들 스스로 보안에 집중 투자하도록 유도하겠다고도 했다. 

보안업계는 정책 실효성을 높이려면 ISMS에 정보 유출의 통로가 될 수 있는 외부 이메일과 개인 이메일 사용을 금지하는 조항을 담아야 한다고 주장한다. 클라우드 저장소, 외부 앱 권한을 원천 차단하는 등 구체적 통제 항목을 지정하고 이를 관리 감독할 필요가 있다는 얘기다.

실질적으로 국가·산업의 ‘외부 사회간접자본(SOC)’ 역할을 하는 보안관리업체에 대해선 상시 감독제를 명문화 할 필요가 있다는 제언도 나온다. 핵심성과지표(KPI) 도입이 필요하다는 의견도 있다. 정부 대책이 실제 해킹 사고와 피해를 얼마나 줄였는지 가늠할 지표를 만들어 진화하는 해킹을 막을 수 있도록 관련 제도도 KPI를 중심으로 진화시켜야 한다는 주장이다.