한수원의 정보유출 사건은 정보보안의식 저하와 내부 통제의 약화가 불러온 사건이다. 한수원 공격은 사회 불안을 가중시켰다는 점에서 공격 목적이 어느 정도 성공한 것 같다. 이번 사이버공격은 해커의 경제적 이득 또는 정보절취 차원을 넘어 국민 생활을 위협하는 국가안보 차원으로 진화한 사례이다.
이번 사태를 통해 정보보안의 교훈을 냉철하게 살펴보자. 정보보안은 정보보안의식, 정보보안의식을 구체화시킨 경영관리체계 구축과 운영, 정보보안기술 등 3개의 축으로 확립된다. 이 중에서 하나라도 문제가 생기면 정보보안은 무너질 수밖에 없다. 한수원 정보유출사고는 저하된 정보보안의식, 정보보안관리의 느슨한 운영 등이 원인이다. 한수원은 직원의 정보보안의식 개선, 정보보안 관리 강화, 사이버예방강화 등 운영 개선과 근본적인 정보보안 책임문화를 확립해야 한다.
국내의 열악한 보안환경을 감안하면 한수원은 비교적 우수한 보안 인프라를 갖추고 있는 것이 사실이다. 언론 보도에 따르면 한수원에 대한 국정원의 정보보안관리실태평가는 정보보안 조직 및 예산, 전자우편 보안 분야 등은 정보보안 활동 기반을 마련했다는 점에서 '양호' 등급을 받았다. 그러나 사이버 예방활동, 정보통신기반시설 보호 등은 낙제점으로 평가했다고 한다. 한수원은 전반적인 보안 수준이 양호하다는 평가를 받았지만 보안관리실태평가에서 지적된 취약점에 대한 소홀한 개선과 대비가 사고의 원인인 것으로 보인다. 보안시스템이 아무리 우수하더라도 발견된 취약점을 개선하지 않는다면 보안의 문제가 발생할 수밖에 없다.
정부는 이번 사이버공격을 한수원만의 문제가 아닌 범국가적인 사이버안보 확립 차원에서 접근하여야 하며 적극적인 사이버보안활동을 전개해나가야 한다. 또한 공공기관의 열악한 조직ㆍ인력ㆍ예산 등을 적극 지원하는 것과 동시에 엄격한 평가를 통해 문제점을 개선할 수 있도록 보안평가제도 등의 보안관리체계를 고도화하고 더욱 강화하여야 하겠다.
최명길 중앙대 경영학과 교수
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>