HOME 오피니언 칼럼
정보보호 기본은 기밀성 무결성 가용성의 유지류원호의 정보보안 이야기
류원호 국민대학교 법무대학원 겸임교수 | 승인 2021.01.12 16:11

[여성소비자신문]코로나19가 우리나라뿐만 아니라 전 세계적인 경기침체 영향을 주고 있는 환경에서 어쩔 수 없이 재택근무를 하는 대부분의 기업들이 사이버 위협 증가에 따른 보안대책에 어려움을 호소하고 있다.

보안통제를 위해 보안 솔루션을 일괄적으로 설치하여 통제하는 방법도 있으나 개개인에게 보안이 강화된 회사 단말기를 지급할 수 없는 상황에서 업무의 영역과 사생활 영역을 구분해 통제하기란 어려운 과제이다.

비대면 사회의 급변하는 보안환경 속에서 재택근무와 화상회의 및 원격수업의 진행으로 지난 1년간 기업과 학생들 모두가 적응하기 힘든 상황이었을 것이다. 비대면 상황에서 다양한 보안사고와 장애 발생도 있었지만 실제로 원격 화상수업에 외부 비인가 인원이 침입하여 등장하는 사례까지 발생한 바 있으며, 비대면 사회의 신종 범죄까지 나타난 바 있다.

보안 기업들은 지난 1년간의 교훈으로 새롭게 발생할 사이버 위협에 대응하기 위한 특별한 방안이 연구되어야 한다.

과거 기업들의 정보보호 활동이 외부로부터 네트워크에 침입하는 것을 막는 것에 치중했었다면, 코로나19로 인한 비대면 사회에서 발생된 기업의 원격 재택근무 환경에서는 침입자 차단과 함께 분산된 사무실 특성에 맞는 활용과 예방을 동시에 구현하는 새롭고 획기적인 보안정책과 솔루션이 출시되어야 한다고 본다.

기업의 실무자들에게 아무리 좋은 솔루션이나 정책이 갖춰져 있다고 하더라도 보안의 중요한 관점이며 정보보호의 3대 요소인 ‘기밀성(Confidentiality)’, ‘무결성(Integrity)’, ‘가용성(Availability)’을 준수하지 않는 희박한 보안의식이 있다면 그 기업의 미래는 결코 밝지 않을 것이다.

이처럼 보안의 3대 요소(기밀성, 무결성, 가용성)는 정보보호 개론에서 중요하게 강조되고 있으며 정보보호 관련 시험에 항상 출제되기도 하는 중요한 요소이다.

첫째, 기밀성이란 인가되거나 허가받은 사람만 시스템이나 정보에 액세스할 수 있다는 것이다. 포털 접속 시 본인만 알고 있는 아이디와 비밀번호가 다른 사람에게 노출된다면 기밀성이 없어지는 것으로 본인의 집 현관문 비밀번호를 본인과 가족만 알고 보호되어야 하는 것과 같다.        

이메일로 문서를 주고받는 과정에서 송신자와 수신자만 내용을 봐야 하는데 중간에 제3자가 가로채지 못하도록 예방하고 조치하는 것이 중요하며 본인과 본인이 허락한 유저만 접근하도록 통제하는 것이 기밀성이다.
 
기밀성을 가장 많이 위협하는 것은 훔쳐보기나 해킹으로 이를 예방하기 위해서는 주기적인 비밀번호 변경은 필수다. 따라서 스마트폰 화면 잠금 패턴도 출입문 도어락 비밀번호도 수시로 변경해야 하며 자신의 생년월일이나 휴대전화번호 등과 같은 취약한 비밀번호를 사용하지 않도록 하여 정보가 공개되지 않게 주위 해야 한다.

둘째, 무결성은 데이터나 네트워크 보안에서 보호되어야 할 정보가 허가받은 사람만이 서버나 정보에 접근하거나 정보를 수정할 수 있어야 한다는 것이다. 네트워크를 통해 소통되는 정보가 누군가에 의해 변조되고 변경되거나 추가되지 않도록 보호대책을 필수적으로 강구하야 하는 것이 무결성의 유지이다.

요즘은 인터넷을 통해 소통과 거래와 업무가 이뤄지며 모든 것들이 영상이나 문자, 그림 등으로 구성되고 있으나 보이는 화면을 그대로 믿을 수 없는 상황이 되었으며, 이미 보이스피싱 사기를 준비한 범죄자들은 대상목표에게 가짜 정부기관 홈페이지도 만들어 보여주는 세상이다. 그러므로 문서나 사진 등 육안으로 보이는 것들이 조작된 것이 아닌지 여부에 대해 항상 의심을 가지며 일일이 확인해야 한다.

무결성을 위협하는 공격 중 정보의 변경이 있다. 예를 들어 물품대금으로 1억원을 은행계좌에 입금해달라는 요청서를 제3자가 중간에 개입하여 10억원을 다른 계좌에 보내도록 문서를 조작했다면 무결성을 훼손된 것을 인지하지 못한 직원은 10억원을 송금처리 했을 것이다. 인가되지 않은 공격자가 흔적 없이 정보를 무단으로 변경시켜도 정보의 사용자는 변경된 데이터가 사실인 것으로 알게 되는 것이 큰 문제이다.

또한 신분을 위장하거나 정보 데이터를 위장하여 사실인 것처럼 하는 것과 기업의 상사와 직원이 정보를 송수신 하는 메시지를 중간에 갈취하여 재전송하여 중복주문이나 중복 송금하도록 할 수도 있는 등을 고려하여 매사 결점이 없도록 해야 한다. 

셋째, 가용성이 중요하다. 즉 정보를 액세스할 수 있는 사람이 언제 어디서든 원할 때 정보에 액세스할 수 있어야 한다. 과거의 사례들을 보면 악의적인 공격자에 의해 좀비PC를 이용해 서버가 감당할 수 없는 양의 트래픽을 유발시켜 서버를 마비시키는 DDoS(서비스 거부공격) 공격을 가해 서비스 제공이 방해되는 경우도 있었다. 결국 사용자는 즉시 확인해야 할 포털의 정보나 금융거래가 안 되는 가용성을 침해당한 것이다.

예를 들어 정부 기관에서 미래를 대비한 획기적인 비밀 계획문서를 작성하여 최종 결재권자의 결재를 득한 후 인가된 필수의 최소인원만 취급하도록 보안을 유지하기 위해 비밀보관소에 보관했지만 긴급 상황이 발생했을 때 활용하고자 비밀을 열람하려 했으나 보관소 잠금장치가 누군가에 의해 훼손되어 비밀문서를 볼 수가 없다면 완벽한 비밀 계획은 사용하지 못하는 폐지와도 같다.

아무리 많은 부동산을 보유하고 있는 재벌가라 하더라도 급한 상황에서 당장 현금을 사용해야 하지만 부동산자산을 긴급하게 처분하여 현금화하지 못한다면 재벌이라도 소용없는 것이다. 따라서 이러한 보안 취약에 대비한 자산관리 방법이 생겨나듯 보안으로 보호되고 있는 데이터라도 쓸 때 긴급하고 적절하게 써야 하는 가용성도 중요하게 강조되고 있다. 

앞에서 강조한 보안의 3대 요소 외에도 인증 규격 국제표준화기구(ISO:International Organization For Standardization) 등에서 추가되어 국제적으로 강조되고 있는 요소는 진정성(Authenticity), 책임성(Accountability), 부인방지(Non-repudiation), 신뢰성(Reliability)이 있다. 
‘진정성’이란 서명이나 인증 등을 통해 이용자가 틀림없이 맞는다는 것과 정보의 데이터가 변조되지 않았다는 것을 말한다. 이는 지문인증과 해시 등과 같은 암호기술이 포함된다.

‘책임성’은 시스템의 로그와 같은 기록을 추적하고 추구하며 변조되지 않고 유지된다는 장치를 말한다. ‘부인방지’는 입력한 데이터나 발생한 현상이 없었던 것으로 되지 않도록 하는 것이며, ‘신뢰성’은 정보시스템 처리가 적정하며 문제없이 작동되는 구성을 말한다.

지난해 8월부터 데이터 3법이 시행되면서 앞으로 데이터를 활용한 다양한 사업이 확장될 것으로 예상되고 있다. 이에 따라 각 보안업계도 보다 더 앞서 나가기 위한 연구에 매진하고 있다. 그러나  향후 이 같은 보안의 3대원칙 등 국제적으로 요구되는 기준에 부합되어 허점이 없도록 구현되는 솔루션이 출시되어 사용자 입장에서는 복잡하지 않고 활용이 편리하면서 보안이 강화되어 정보보호를 할 수 있게 되기를 바란다.

이제는 데이터를 통해 수없이 많은 정보를 저장하고 분류하며 유통하는 빅데이터 기술의 정보산업화 시대가 됐다. 따라서 허점 투성이인 보안 솔루션을 개발해야 할 뿐만 아니라 우수한 제품처럼 포장해 현혹해 판매하거나 당장 돈벌이만 하는 기업은 없어져야 한다.

또한 세계적으로 각광받는 특단의 솔루션이 출시되어 앞으로는 인터넷 사기나 악성코드 편집, 피싱, 스미싱 등 다양한 사이버 범죄 행위의 시도 자체가 불가능해지도록 모든 시스템과 제도를 개선해야 한다. 그리고 보안을 침해하는 행위가 발생했을 때는 즉시 차단되어 코로나19로 인해 모두가 어려운 요즘 보안의 침해로 인한 피해자가 발생되지 않기를 바란다.
 

류원호 국민대학교 법무대학원 겸임교수  rwh1127@hanmail.net

<저작권자 © 여성소비자신문, 무단 전재 및 재배포 금지>

icon인기기사
여백
여백
Back to Top