[CEO칼럼]안으로부터의 정보방역

컴퓨터 바이러스를 비롯한 각종 유해 프로그램들도 컴퓨터 기술의 발전과 함께 꾸준히 변화하고 진화한다. 컴퓨터 바이러스도 컴퓨터 입장에서 보면 하나의 프로그램이기 때문에 프로그램 실행의 기반이 되는 PC환경과 OS(운영체제)의 발달에 맞춰 끊임없이 새롭게 개발된다. 최근 전 세계를 감염시켜버린 클레즈 웜 (I-Worm.Win32.Klez) 시리즈, 그리고 지난해 9월에 처음 발생한 이래 아직까지도 꾸준히 발견되는 님다(Win32.Nimda) 바이러스로 인해 많은 전산관리자들이 아직까지도 골치를 앓고 있다.

지난해 7월, 처음 코드레드(CodeRed)웜이 발견된 이후 백신 개발자들은 향후 나타날 유해 프로그램의 유형과 방향성에 대해 크게 우려하기 시작했다. 이전까지는 컴퓨터 바이러스 등 유해 프로그램은 일정한 동향이나 또는 크게 벗어나지 않는 범위에서 기술적 발전이 이루어졌으므로 큰 어려움 없이 기술적 대처가 가능했으나, 최근 발생된 바이러스를 보면 이제는 우리가 상상할 수 있는 모든 종류의 유해 프로그램이 출현할 수 있다고 느껴지고 있기 때문이다.

현실에서는 컴퓨터 상에서 발견될 수 있는 모든 유해 프로그램을 완벽하게 차단할 수 있는 솔루션은 없다. 더구나 기업에 정보보호 시스템을 구축하더라도 피해를 입는 사례가 발견될 뿐만 아니라, 바이러스 제작기술을 비롯하여, 시스템을 침입/공격하는 기술은 날로 향상되어 미래의 정보보호는 더욱 불안한 상황이다.

다소 과장된 표현을 빌리면 현재까지는 강력한 유해 프로그램을 만들기 위한 기술적 시험 무대에 지나지 않으며, 앞으로는 지금까지 축적된 기술을 집약해서 본격적인 공격적인 기능을 가진 유해 프로그램을 제작될 것은 자명한 일이다.

사정이 이러다 보니 기업이나 기관 등 대규모 네트워크 환경을 운용하고 있는 사업장은 정보보호를 위한 최선책을 찾고, 나아가 어떤 솔루션을 도입해야 가장 효과적인 방역 시스템을 구현할 수 있을지 고민하게 되는 것은 당연한 일이다.

그러나 절대로 간과해서는 안될 중요한 사실이 있다. 정보보호 제품의 도입으로 방역 시스템을 구축하여 관리하는 것은 어디까지나 조직 외부의 시스템에 의한 수동적인 방역일 뿐이다. 이런 고민과 함께 반드시 병행돼야 할 조치가 바로 바로 "관리적 관점에서의 정보보호 정책"이다.

정보보호 제품을 사는 것이 기술적 관점에서의 정보보호 정책이라면, 조직 구성원으로 하여금 정보보호의 필요성을 느끼고 이를 위한 조치를 수행할 수 있게끔 교육하고 규칙을 만드는 것은 관리적 정보보호 정책이다. 보안제품을 사들여 방역 시스템을 만드는 것은 어디까지나 조직 외부에 의존하는 수동적인 방역이 될 수 밖에 없다.

그러나 내 재산을 다른 사람에게 전적으로 맡길 수 없듯이, 정보보호를 위한 모든 조치를 외부에 의존하는 것은 위험하다. 외부로부터의 침입 가능성과 내부에서의 유출 가능성 모두를 막아야 하기 때문이다.

과거에도 끊임 없이 사람들 입에 오르내린 얘기지만 유해 프로그램 제작자, 유포자에 대한 법적 구속력을 강화하는 따위의 정부차원의 정책적 조치와, 정보보호 솔루션 개발 업체의 진보된 기술연구, 개발과 함께 이제는 PC 사용자를 포함한 조직 내부에서의 관리적 관점에서의 정보보호 정책이 수립되고 시행되어야만 한다.

사이버 세상이 현실 세계를 투영한 가상의 공간이라는 점을 감안하면 현실 세계의 법과 경찰이 모든 범죄를 예방할 수 없듯이 사이버 세상에서도 같은 원리가 적용될 것임을 인식해야만 한다.