[시론] 정보보안 강화 과제..韓仁九 <KAIST 테크노경영대학원 교수>

'1·25 인터넷 대란'의 원인은 신종 웜바이러스인 것으로 분석되고 있다. 전세계적인 공격이 이루어졌으나 미국 일본 등에 비해 유독 우리나라의 피해가 큰 것으로 나타나 정보시스템 보안수준의 취약성을 드러냈다. 그런가 하면 현금카드를 위조해서 고객 예금을 빼내고,폰뱅킹을 통한 불법인출사건이 발생해 전자금융 전반에 대한 불안감이 확산되고 있다. 바이러스 및 카드 위조에 의한 컴퓨터범죄는 오래 전부터 발생해 왔는데,앞으로 더 큰 사고를 유발할 수 있는 위협요인이다. 이번 인터넷대란을 계기로 기술적인 조치가 제시되고 있는 바,정보시스템에 대한 종합적·근본적인 대책을 수립해 정보보안을 선진국 수준으로 높여야 하겠다. 사람은 건강하게 살기 위해 보통 1년에 한번 정기검진을 받아 위협요소를 파악하고 취약점을 분석해 이를 극복하기 위한 건강대책을 수립한다. 정보시스템의 건강검진에 해당되는 것이 '위험분석'인데 다음의 4단계가 있다. 첫째,보호해야 할 정보자산을 규명한다. 정보자산엔 인터넷을 포함한 전산망 하드웨어 소프트웨어 데이터 전산인력 등이 있는데,이들의 가치를 파악한다. 둘째,정보자산에 대한 위협요소를 파악한다. 이번 인터넷대란의 경우 바이러스가 위협요소였으며,카드위조의 경우에는 내부 및 외부 컴퓨터범죄자들이 위협요소였다. 이밖에도 홍수 화재 등 자연재해,적대국가 내지 경쟁자,해커,하드웨어적 결함,소프트웨어의 에러 등이 위협요인이 될 수 있다. 셋째,이러한 위협요소의 발생을 예방하고 적발하는 정보시스템 내부통제의 취약점을 분석한다. 정보자산의 가치,위협요인 및 통제의 취약점이 분석되면 위협요소의 발생확률,통제의 실패확률,위협이 실현됐을 때의 손실을 곱해 기대손실을 구한다. 넷째,허용할 수 있는 수준으로 기대손실을 낮추기 위해 통제의 취약점을 보완하기 위한 보안대책을 수립,실행한다. 현재 우리나라의 기대손실은 선진국수준의 허용가능손실에 비해 훨씬 크다는 것이 이번 사고에서 입증됐다. 정부는 우선 국가차원에서 국가전산망에 대한 '위험분석'을 실시,국가정보자원의 가치를 파악해야 한다. 그리고 보안통제 취약점을 진단한 뒤 선진국수준의 보안수준을 달성하기 위한 장단기 계획을 세워 시행해야 한다. 보안수준을 높이기 위해서는 정보보안정책에 최우선순위를 부여,예산을 충분히 지원한다. 보안에 강한 영국에서는 '10% 원칙'에 의해 정보시스템비용의 10%를 정보시스템보안 및 감사체계에 투자해 왔다. 우리도 정보관련 예산 및 자원의 10%를 보안·감사체계에 투자한다는 원칙으로 접근했으면 한다. 전산망의 주요부분을 맡고 있는 통신회사와 경제인프라 금융을 맡고 있는 금융회사들은 위험분석을 통해 보안수준을 글로벌기준에 맞도록 높여 나가야 한다. 정부 통신회사 금융회사 및 국가적 영향이 큰 조직들은 매년,그리고 일반기업 및 조직들은 2년에 한번씩 위험분석을 실시해 보안대책을 수정 보완해 나가야 할 것이다. 이러한 정기 감사 외에도 새로운 위협요인이 발생하거나 취약점이 발견되면 즉시 보완할 수 있는 체계를 갖추어야 한다. 위험분석을 체계적으로 실시해 보안수준을 높이는 효율적 방안은 '정보시스템 감사체계를 확립'하는 것이다. 각 조직은 정보시스템 감사기준을 제정하고 감사인력 및 조직을 확충해야 한다. 그리고 정보시스템에 대한 감사를 실시해서 문제점을 보완해 나가는 상시감사체계를 운영함으로써 조직 및 국가적 정보보안수준을 지속적으로 제고시켜 나가야 할 것이다. 대학과 연구소에서도 정보시스템보안 및 감사에 관한 연구가 활발하게 이루어질 수 있도록 정부 기업의 지원과 관심이 증대돼야 하고,경영정보학과와 전산분야 학과에서는 관련 과목 증설 및 인재양성에 더 많은 비중을 둬야 할 것이다. 1·25 인터넷대란을 정보보안 수준 강화 계기로 삼지 않으면 더 큰 재해가 닥칠 것이다. ighan@kgsm.kaist.ac.kr -------------------------------------------------------------- ◇이 글의 내용은 한경의 편집방향과 일치하지 않을 수도 있습니다.