컴퓨터 교육 프로그램에 초청받아 강의를 할 때마다 피교육자와 교육자 사이에 상당한 거리감이 있다는 사실을 느끼게 된다. 같은 장소에 함께 모여있지만 강사가 말하려는 것과 피교육자가 원하는 내용이 일치하지 않는 경우가 많기 때문이다. 얼마 전 필자는 기업체 전산 관리자를 대상으로 정보보호 교육을 한 적이 있었다. 정보보호를 위해 개인이 취해야 할 일과 마인드에 초점을 맞춰 강의를 했다. 그런데 질문을 받으면서 필자의 의도가 완전히 빗나갔음을 느껴야 했다. 교육의 의도는 '정보보호를 위해 나는 무엇을 해야만 하나'였는데 전산담당자들은 '정보보호 제품(솔루션)이 나를 위해 무엇을 해 줄 수 있나'였다. 최근 전 세계에 피해를 입힌 '코드레드 웜'이나 '님다 바이러스'로 인해 전산 관리자는 매우 어려움을 겪고 있다. 모든 유해 프로그램을 완벽하게 차단할 수 있는 솔루션이 없는 현실에서 정보보호 시스템을 구축하더라도 피해를 입는 사례가 많은데다,바이러스 제작기술이 날로 향상되고 있어 미래 역시 불안한 상황이기 때문이다. 컴퓨터 바이러스로 인한 큰 피해는 해마다 5∼6차례 정도 발생한다. 크지는 않지만 재산 손실을 보게 되는 경우는 셀 수 없이 많다. 사정이 이러다 보니 정보보호를 위한 최선책을 찾게 되는 것은 당연한 일이고,어떤 솔루션을 구입해야 효과가 클지 고민하지 않을 수 없다. 그러나 이런 고민과 함께 반드시 병행돼야 하는 조치는 바로 '관리적 관점에서의 정보보호 정책'이다. 정보보호 제품을 사는 것이 기술적 관점에서의 정보보호 정책이라면,조직 구성원으로 하여금 정보보호의 필요성과 이를 위한 조치를 수행할 수 있도록 교육하고 규칙을 만드는 것은 관리적 정보보호 정책이다. 보안제품을 사들여 방역 시스템을 만드는 것은 어디까지나 조직 외부에 의존하는 수동적인 방역이 될 수밖에 없다. 그러나 내 재산을 다른 사람에게 전적으로 맡길 수 없듯이,정보보호를 위한 모든 조치를 외부에 의존하는 것은 위험하다. 외부로부터의 침입 가능성과 내부에서의 유출 가능성 모두를 막아야 하기 때문이다. 정보보호 정책을 시행하고 있는 두 기업의 예를 들어보자. A기업은 1년 전까지 한번도 정보 침해 사례가 없었다. 하지만 정보보호의 중요성을 인식,시스템을 구축했으며 설치 후 1년 간 침해 사례가 발생하지 않았다. B기업은 1년 전까지 연평균 5건의 정보 침해 사례가 있어 이를 막기 위해 시스템을 설치했다. 이후 1년 간 평균 5번이던 침해 건수가 2건으로 줄었다. A기업이 B기업보다 효과적 시스템을 구축했다고 생각하기 쉽지만,실제로는 B기업이 보다 안전하게 보안체계를 운영하고 있다. 단 한건도 침해사례가 발생하지 않은 이유는 기업의 정보화 인프라가 외부에서 유용하지 않을 정도로 가용성이 떨어졌거나,침해가 있었음에도 발견하지 못할 만큼 시스템이 허술했다고 볼 수 있기 때문이다. 지난 7월 코드레드가 발견된 후 백신 개발자들은 앞으로 나타날 유해 프로그램에 대해 매우 우려하기 시작했다. 이전까지 유해 프로그램은 일정한 범위에서 기술 발전이 이루어졌기 때문에 큰 어려움 없이 대응할 수 있었지만,코드레드나 님다의 경우 우리가 상상할 수 있는 모든 종류의 유해 프로그램을 통합했다고 할 만큼 위력적이었다. 지금까지 나타난 바이러스들은 강력한 유해 프로그램을 만들기 위한 기술적 시험에 지나지 않는다. 앞으로 축적된 기술을 바탕으로 미국 테러사건 못지않게 심각한 '사이버 테러'가 일어날 수 있다는 전망도 나오고 있다. 유해 프로그램 제작·유포자에 대한 처벌을 강화하는 정부 정책 및 정보보안 업체의 연구·개발 역량 확대와 함께 이제 PC 사용자를 포함한 조직 내부에서의 관리적 정보보호 정책이 수립되고 시행돼야만 한다. 사이버 세상이 현실 세계를 투영한 가상 공간이라는 점을 감안하면 현실 세계의 법과 경찰이 모든 범죄를 예방할 수 없듯 사이버 세상에서도 같은 원리가 적용된다는 사실을 인식해야 한다. sckwon@hauri.co.kr ............................................................... ◇ 이 글의 내용은 한경의 편집방향과 일치하지 않을 수도 있습니다.