Home > 전체기사

영국 국방부의 실수, 정보보안의 참 가치를 역설적으로 드러내다

  |  입력 : 2021-09-25 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
탈레반의 아프간 점령이 발생했을 때 영국군은 뼈아픈 실수를 저질렀다. 그 실수 때문에 앞으로 벌어질 일들은 참혹할 수 있다. 정보보안이 가상의 현실이나 컴퓨터 장비에만 집중해서는 안 된다는 것이 다시 한 번 강조되고 있다.

[보안뉴스 문가용 기자] 2021년 9월 20일, 영국의 국방부는 기본적인 부분에서 실수를 저질렀다. 아프가니스탄에서 영국군의 통역사로 일하던 사람 수백 명의 이메일 주소를 한꺼번에 주소창에 적어 넣고 발송한 것이다. 대부분이 탈레반의 수도 장악을 기점으로 목숨을 부지하기 위해 피신해 있던 사람들이었다.

[이미지 = utoimage]


그리고 얼마가 지난 시점에서 영국 국방부는 다시 한 번 이 통역사들과 관련된 사고가 발생했다. 데이터 침해 사고였다. 하필이면 아프가니스탄 통역사들의 이메일 주소가 같이 유출됐다. 그러면서 9월 20일의 실수가 더 복잡한 문제로 발전했다. 이 두 사건은 데이터 프라이버시 침해 사고로 묘사하기에는 지나치게 중대한 일이다. 사람의 목숨이 실제로 위협을 받게 되었기 때문이다.

정보보안은 정보의 기밀성, 무결성, 가용성을 보호하는 데 집중하는 분야다. 사이버 보안은 정보보안의 하위 분야로 디지털 정보의 기밀성, 무결성, 가용성을 보호하는 데 집중하는 분야다. 개인과 사업체의 이메일 주소는 ‘개인 식별 정보’에 포함된다. 그러므로 개인 식별 정보 보호 규정을 보유하고 있는 나라의 모든 조직들은 이메일 주소의 기밀성을 보호해야 할 의무를 가지고 있다. 영국 국방부의 경우 이 기본적인 부분에서 의무를 다하지 못했다. 심지어 일부는 이메일 주소와 사진이 같이 노출되었다고 하니 실수라고 하기에는 너무나 치명적이다.

보안 업계 내부에서만 강조되는 것 같아 안타깝지만, 사이버 보안은 컴퓨터 시스템과 데이터만 보호하는 분야가 아니다. 손으로 만질 수 없는 그런 가상의 가치들만을 어루만지는 분야가 아니라는 것이다. 사이버 보안과 정보보안 모두 ‘사람을 보호하는’ 분야다. 정보보호든 컴퓨터 시스템이든 우리가 보호하지 못하는 순간 사람의 목숨이 위태로워진다. 영국 국방부의 실수가 수많은 아프간 통역병들의 목숨을 위태롭게 한 것처럼 말이다. 게다가 탈레반의 지난 행적들을 봤을 때 위험한 건 통역병들만이 아니다. 그 가족들도 전부 숨어야 한다.

데이터 프라이버시 강화는 단순 ‘모범 사례’ 혹은 ‘권장할 만한 업무 수행 능력’ 정도로 그쳐서는 안 된다. 가장 기본적인 표준이 되어야 한다. 보안관제에는 사람이 필요하고, 프로세스가 필요하며, 기술이 필요하다. 이 삼박자가 잘 맞아 떨어져야 한다. 어느 것 하나 무시했다가는 보안 관제의 효과와 효율이 크게 떨어질 수 있다.

사람에게는 교육과 훈련의 기회를 투자해야 하는데, 이 때 중요한 건 ‘왜’를 납득시키는 것이다. 보안 교육은 대부분의 경우 ‘뭘 해야 하는가’에 집중한다. 그리고 ‘왜’에 대해서 설명하는 논리는 딱 하나다. ‘안 할 경우 데이터가 도난당하거나 벌금을 내게 되니까.’ 이런 논리로는 억지로 따라하게 만들 수는 있어도 공감을 사지는 못한다. 데이터 보호가 사람의 목숨과 관련되어 있다는 걸 인지시켜야 한다.

프로세스의 경우 명확하고 체제가 굳건해야 하며, 무엇보다 그 프로세스에 참여하는 모든 사람들이 프로세스 유지를 위해 규정을 잘 지켜야 한다. 기술은 프로세스에 따라 움직이는 사람들이 실수하지 않도록 하고 최악의 상황이 발생하지 않도록 막는 데 초점이 맞춰져 있어야 한다.

이 세 가지가 합쳐져야 보안관제는 정보의 기밀성과 가용성, 진본성을 제대로 지킬 수 있게 된다. 그리고 정보가 제대로 지켜질 때 우리는 사람의 목숨을 지키기 위한 기본을 다 할 수 있게 된다. 영국 국방부가 사과는 하겠지만, 그 사과가 생명을 구할 수 있겠는가. 정보 보안은 사과로 마무리 되어서는 안 된다. 지킴으로서 존재 가치를 드러내야 한다.

글 : 맥신 홀트(Maxine Holt), Omdia
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)