[기자수첩] 정보보안의 딜레마

정보 보안에 있어서 공격하는 쪽이 막는 쪽보다 유리한 것은 당연지사다. 일 년 내내 해킹 시도를 막아도, 하루만 방어에 실패하면 허사가 되기 때문이다. 완벽한 설계나 프로그램을 만들기란 불가능에 가깝다. 이 때문에 예상치 못한 버그나 에러로 발생하는 취약점을 방어하는 적절한 보안장치가 필요하다. 그러기 위해선 취약점이 뭔지 알아야 하는데, 검증된 공인기관이 점검해준다면 도움이 될 수 있다.

한국인터넷진흥원(KISA)은 셀 수 없이 증가하는 사물인터넷의 취약점 점검을 통해 소유자에게 알려주는 것을 계획하지만, 법적 근거가 없어 실행에 옮기지 못하는 실정이다.

개인 사생활과 정보를 보호하는 정보통신망법에 따라 사전 취약점 점검을 위하더라도, 임의로 네트워크 연결 장비의 정보를 수집하지 못하게 하기 때문이다. 반면 해커들은 원하는 정보를 얻기 위해 무단으로 각종 정보를 얻어내고 있다.

개인이나 기업의 보안 의식도 개선돼야 한다. 세계적 기업들은 자신들의 취약점에 대해 알려주면 보상하는 제도인 ‘버그바운티’를 꾸준히 운영하고 있다. 취약점을 이용한 악의적 공격이 일어나기 전에 알려준 이에게 고마움을 답하는 것이다.

반면 국내 기업들은 이런 제도를 활용하는 곳이 많지 않다. 중소기업의 경우 취약점을 알게 돼도 적절한 대응이 힘들다고 토로한다. 자신들의 홈페이지나 서비스 취약점을 확인한다 해도 어떤 대응을 해야 할지 난감하다는 것이다. 공인기관의 취약점에 대한 점검이 이뤄져도 개인 사생활의 침해 없이 활용하기도 어렵다. 특정 기관이 개인 사물인터넷 취약점을 점검하는 과정에서 어쩔 수 없이, 민감한 사생활 정보를 취득할 수 있기 때문이다.

보안이 비용만 들어가는 골칫거리가 아니라, 개인의 사생활과 중요한 데이터를 보호하는 필수적 요소라는 공감대가 필요하다.