[책속의 이 한줄]해킹 방어법 ‘자동차 다층 안전시스템’에서 배워라

“현명한 사람은 다른 사람의 경험을 통해 배우고 바보는 자신의 경험을 통해 배운다.”

―‘리질리언트 엔터프라이즈’(요시 셰피 MIT 교수·전국경제인연합회 FKI미디어·2007년)

최근 방송사와 금융권을 강타한 해킹사건을 바라보는 의견이 분분하다. 한 가지 분명한 건 이번 사태를 위기관리 체계 전반을 되짚어보는 계기로 삼아야 한다는 점이다.

성벽을 아무리 높게 쌓아도 적을 완벽하게 막을 수는 없다. 전문가들은 점점 더 고도화되는 사이버공격을 막아내는 방패는 없다고 한다. 리스크 관리와 보안 분야의 세계적 석학 미 매사추세츠공대(MIT) 요시 셰피 교수는 저서에서 이에 대한 대응책을 명확하게 제시한다. 이는 바로 ‘사람부터 조직, 프로세스, 기술까지 다층적 균형 방어체계(Layered and Balanced Defense)를 구축하라’는 것이다.

자동차 안전시스템을 만들 때에는 운전자가 정면충돌이라는 극한 상황에서도 생존할 수 있게 반드시 두 가지 이상의 방어체계가 작동할 수 있게 한다고 한다. 먼저 자동차 앞부분이 찌그러지면서 충격에너지를 흡수한 뒤 에어백이 추가 충격을 완충하는 역할을 한다. 안전벨트는 운전자의 몸이 앞으로 쏠리는 속도를 늦춰줄 수 있는 정도로만 늘어난다. 여기에 엔진룸은 운전자가 앉는 공간 아래로 미끄러져 들어가고, 운전대는 계기판 쪽으로 무너져 들어가게 된다. 이는 ‘다층방어’의 기본이다. 이런 방어체계가 동시에 실패할 가능성은 0.5% 미만이라고 한다.

다층적 방어체계와 함께 균형도 필요하다. 정문 단속에 신경 쓰다 뒷문이 뚫리면 보안은 무용지물이 된다. 기업생태계의 범위가 넓어지면서 기업은 계열사나 관계사, 아웃소싱업체, 협력업체와 더욱 긴밀하게 연결되어 있다. 각 요소의 가장 취약한 부분이 생태계 전체에 위험 요인이 될 수 있다는 걸 인식해야 한다.

기업은 이를 막기 위해 최고보안책임자(CSO·Chief Security Officer)의 역할과 기능을 확대해야 한다. 또 다층적 균형 방어의 원칙을 바탕으로 기업생태계에서 발생할 수 있는 정보 보안 사고나 의도적인 공격에 대한 대처 능력을 길러야 한다. 이와 함께 여러 기업과 노하우를 교환하는 벤치마킹을 통해 다른 기업의 경험에서 배워야 한다. 사고에 대한 대비와 대응을 위해 취하는 일련의 조치는 전적으로 해당 기업의 몫이다. 아무도 이를 대신해주지 않는다는 것을 명심해야 한다.

유종기 한국IBM 글로벌테크놀로지서비스 실장