[보안포럼]전성학 "보안시스템 1% 구멍만 있으면 소용 없어"

[아시아경제 채지용 기자] 전성학 현대카드·캐피탈 최고보안책임자(CSO)는 3일 아시아경제신문이 개최한 '금융IT포럼'에서 "보안은 임직원의 보안의식에서부터 시작된다"며 "보안시스템을 아무리 잘 갖춰도 1% 구멍만 있으면 소용이 없다"고 강조했다.

"해커들은 어렵게 만든 보안시스템을 뚫으려고 노력하지 않고 열려 있는 구멍, 취약한 부분을 찾는데 대부분의 시간을 할애하는 만큼 예외가 없도록 하는게 중요하다"는 것이 그의 설명이다.

특히 그는 비밀번호 관리의 중요성을 역설했다.해커들이 가장 먼저 패스워드를 노리는 가운데 직원들이 어려운 패스워드를 잘 쓰려 하지 않는다는 지적이다. 전 CSO는 "쉬운 암호가 밖에서 뚫려 안으로까지 연결되는 사고가 잦다"며 "허술한 포털사이트를 이용하거나 무료 프로그램, 동영상 등을 다운로드 받을 때 사용하는 쉬운 패스워드를 업무에서까지 사용하면 안된다"고 말했다.

전 CSO는 또 급속히 보급되고 있는 스마트폰, 클라우드 기반 오피스 환경, NFC 등과 같은 새로운 기술 확산과 더불어 생겨나고 있는 새로운 보안 위협에 대한 우려도 표명했다.

아울러 전 CSO는 APT(Advanced Persistent Threat)라는 새로운 공격 유형을 최근 주목해야 할 보안위협 중 하나로 꼽았다. APT는 스팸메일이나 다운로드 등의 경로를 통해 사용자 PC에 악성코드를 감염시키기 위한 환경을 만들고, PC에 악성코드가 감염될 때까지 오랜 기간을 기다린 후 원하는 목표가 달성됐을 때 정보유출을 감행하는 기법이다.

전 CSO는 “이 기법은 네트워크 해킹보다 단순하면서도 대응하기 복잡하고 어렵다”며 “네트워크 해킹은 네트워크단을 통제하면 되지만 개인 PC를 목표로 할 경우에는 모든 사용자에 대해 통제하는 것은 훨씬 더 어려워진다”고 설명했다.

아울러 온라인을 통한 정보유출뿐 아니라 내부직원에 의한 출력문서 또는 파일의 유출사고도 문제점으로 지적됐다. 개인정보보호법이 시행되면서 외부 협력업체에 제공된 개인정보의 유출 책임까지도 정보 제공업체에서 지도록 하고 있기 때문에 오프라인을 통한 정보의 유출까지 철저히 대비해야 한다는 것이다.

채지용 기자 jiyongchae@