한 조직, 기관의 보안을 공고히 하는 데 가장 필요한 요소는 무엇일까? 다양한 답변이 도출될 수 있다. 사이버 공격을 실시간으로 탐지하고 막아낼 수 있는 최첨단 보안 체계, 보안 시스템을 익숙하게 사용할 수 있는 보안 전문가, 능력 있는 전문가들로 구성된 이들이 제시하는 보안 솔루션 등 수많은 요소가 보안의 품질에 영향을 미친다. 하지만 대다수의 보안 전문가들이 보안의 최우선 순위로 꼽는 것은 단연 사람이다.

기술적으로 완벽에 가까운 보안 시스템이 마련되어 있고 수많은 보안 전문가들과 인공지능(AI) 시스템이 사이버 공격을 대비하고 있어도 조직 내부 사람의 부주의한 클릭 한 번, 안일한 문서 유출 한 번이면 공들여 쌓은 보안 시스템이 순식간에 무용지물이 되는 경우가 많다. 이에 보안 시스템의 핵심이라고 할 수 있는 관리적 보안의 중요성에 대해 살펴본다.

기밀 문건 유출의 대부분은 내부자의 손에서

2023년 4월 8일, 미군의 우크라이나 전쟁과 각국에 대한 첩보 관련 기밀 문건이 인터넷에서 유출되는 사건이 발생했다. 텔레그램과 디스코드 서버, 각종 소셜 미디어를 통해 급속하게 퍼진 기밀 문건은 인쇄된 파일을 촬영한 사진과 소수의 스캔본이었다.

이 문건 안에는 우크라이나 전쟁에 대한 미군의 정보, 이란과 북한의 미사일 프로그램은 물론 한국, 영국, 이스라엘, 캐나다 등 동맹국과 관련된 첩보 내용이 담겨 있었다. 문건 일부에는 국가 최고위 장관급 인사를 감청한 기록까지 고스란히 적혀 있어 논란이 되었다.

유출된 문건이 다수의 대중에게 퍼지고 문건의 존재가 실제로 밝혀지자 미국은 발빠르게 수사를 시작했고 21세의 매사추세츠주 주방위군 공군 일등병 한 명을 유출범으로 특정하고 체포했다. 공군 정보부 소속의 범인은 기밀 정보에 접근할 수 있는 권한이 있었고 기밀 문건이 최초로 유출된 디스코드 대화방의 운영자였다.

이는 세계 최강 대국 미국의 군대 보안 체계가 21세의 일등병 한 명의 일탈에 속수무책으로 뚫려버린 사건이었다. 허술한 미국의 보안 시스템에 비난의 목소리가 커졌지만 과거에도 이와 유사한 사건은 꽤 자주 일어났다.

2013년 미국 국가안보국 요원이었던 인물이 미국의 무차별 통신 감청을 세상에 고발해 엄청난 파장이 일어난 바 있으며 2009년에는 미 육군 정보병과 이병 한 명이 이라크 바그다드에서 아프간 헬기 학살 영상을 비롯, 미군의 여러 기밀을 유출해 35년형을 선고받기도 했다. 가장 최근에는 트럼프 전 대통령이 기밀 문건 유출로 기소돼 법정 공방을 앞두고 있다.

한국 역시 기밀 정보 유출에서 자유롭지는 않다. 2022년 4월, 육군 특전사 소속 현역 장교가 북한의 공작원에게 비트코인을 받고 군사 기밀을 유출한 사건이 있었다. 인터넷 도박으로 빚에 시달리던 범인에게 북한 해커가 접근해 정보 유출을 부추긴 사건이었다.

2023년에는 해병대의 하사 한 명이 사채업자에게 부대원의 개인정보를 넘기기도 했다. 이런 기밀 유출은 비단 군에서만 일어나는 사건도 아니다. 고등학교에서 내부 관계자에 의해 시험지가 유출되는 사건은 꽤 자주 언론에 보도되며 통신사나 게임사 등 고객의 개인정보를 보관하는 기업에서 내부 관계자의 실수나 부적절한 의도에 따라 정보가 유출되는 사례도 적지 않다.

관리적 보안이란?

앞에서 예로 등 기밀 정보, 문건 유출 사건들의 공통점은 정보 유출에 특별한 기술이 사용되거나 사이버 공격이 시도되지 않았다는 것이다. 도청이나 해킹, AI를 비롯한 첨단 사이버 기술이 사용되지 않았으며 외부에서 고도의 기술이나 프로그램을 이용해 침입한 것도 아니다. 모두 내부 인사들의 부주의나 의도에 의해 정보가 유출된 사례다.

이처럼 보안에 있어 가장 위험한 것은 사람이다. 첨단 사이버 공격 기술의 발전과 함께 보안 기술 역시 고도화되면서 외부로부터의 공격은 대부분 빠르게 대응할 수 있으며 문제가 발생해도 피해를 최소할 수 있는 안전장치들도 마련되어 있다. 하지만 조직의 내부 인원이 작정하고 보안 시스템을 망가뜨리거나 기밀 정보를 유출하려 한다면 이를 모두 막아내기란 사실상 불가능하다. 그래서 필요한 것이 바로 관리적 보안이다.

관리적 보안이란 물리적, 기술적 보안을 체계적으로 수행하기 위한 정보 보호 체계 및 절차, 감시 조직, 사고 대책 등의 정보 보호 활동을 말한다. 작게는 조직의 보안 정책과 보안 지침, 보안 절차, 정보 보호 교육 등을 말하며, 크게는 조직 내부 인원들의 정보 보호에 대한 인식을 제고하는 모든 활동을 의미하기도 한다.

관리적 보안을 기술적 보안과 따로 떨어뜨려 놓고 생각하는 이들도 많지만 관리적 보안과 기술적 보안은 연계되어 함께 조성해야 할 필수 요소라고 할 수 있다. 아무리 기술이 발전하고 보안 체계가 완벽해진다고 해도 보안 시스템에서는 기술적인 한계가 발생할 수밖에 없다. 그리고 이러한 한계로 발생하는 보안 구멍을 메꿔주는 역할을 하는 것이 관리적 보안이라고 할 수 있다.

관리적 보안은 조직 구성원들의 보안 의식에도 큰 영향을 미친다. 체계적인 보안 정책과 지침이 마련되어 있는 조직은 정보 보호에 대한 책임 소재가 명확해지고 이로 인해 정보 보안에 대한 동기 부여를 이끌어 낼 수 있다. 더불어 관리적 보안은 리스크 관리 차원에서도 반드시 필요하다.

대다수의 국가에서는 일정 규모 이상의 조직, 기관에 보안 정책을 수립해야 할 책임을 부과하고 있다. 보안 정책, 지침이 마련되지 않은 상태에서 정보 유출이 발생하면 그 법률적 책임을 경영진이 감당해야 한다는 뜻이다. 정보 보안에 대한 중요성이 강조되면서 보안에 관한 책임소재를 보다 세밀하게 따지는 법률도 등장하고 있는 만큼 리스크 관리 차원에서라도 관리적 보안을 구축해 두는 것이 조직 입장에서 현명한 처사라고 할 수 있다.

관리적 보안을 챙기기 위해서는?

그렇다면 관리적 보안은 어떻게 챙겨야 할까? 일단은 조직이 취급하는 정보의 종류에 따른 전문적인 보안 정책, 지침을 마련하는 것이 급선무다. 그리고 가능하면 정보 보안 관리자가 최고 위험 관리자와 협업을 통해 모든 보안 지침을 구성해야 하며 보고 체계 역시 구체적으로 정립되어야 한다. 최소한 이 정보에 접근 가능한 이들은 누구이며 이 정보를 열람하기 위해서는 누구에게 보고되어야 하는지에 대한 정보를 조직 구성원들이 모두 알아야 한다.

직원을 채용할 때는 반드시 기밀유지동의서를 작성해 서명을 받아야 보안 책임을 보다 세부적으로 규정할 수 있으며 주기적인 보안 인식 교육을 통해 조직원 전체의 보안 인식을 제고하는데도 최선을 다해야 한다.

관리적 보안을 보다 강화하는 데 물리적인 방법을 동원할 수도 있다. 출입 허가된 사람, 허가받지 않은 사람의 동선을 고려해 물리적 보안을 설계할 수 있으며 출입 통제 시스템을 설치해 반입 및 반출 허가 품목을 세세하게 설정할 수도 있다. 서버실이나 데이터센터 아니면 아예 건물에 출입하는 인원에 대한 상시적인 모니터링도 관리적 보안의 일환이다.

출입 통제 시스템과 기록 문서, CCTV 등을 활용할 수도 있다. 모니터 보안 필름을 사용하는 것 역시 관리적 보안의 일환이라고 할 수 있다. 최근에는 아예 일정 시간이 지나면 자동으로 PC가 꺼지도록 세팅되어 정해진 시간 외에는 정보 열람이나 인쇄를 하지 못하도록 하는 조직도 있다.

마지막으로 예기치 못한 상황에서 보안 사고나 정보 유출이 발생했을 경우에는 신속하게 대응책을 마련할 수 있도록 평소 확실한 보고 체계가 정립되어 있어야 하며 이 체계가 모든 조직원에게 공유되어 있어야 한다.

간혹 보안 정책, 보안 지침을 귀찮은 요소 혹은 필요 없는 규칙으로 생각하는 이들이 있다. 하지만 모든 정보가 디지털로 존재하는 오늘날, 내부자의 정보 유출은 생각보다 훨씬 쉽고 빠르게 이뤄지는 반면, 그 피해는 조직의 존폐에 영향을 줄 수 있을 정도로 크다.

수많은 조직원들이 오랜 시간 노력한 결과물 그리고 조직의 이윤에 결정적인 영향을 줄 수 있는 내부 기밀 정보들의 보안을 위해서 모든 조직, 기관은 자신들의 업무에 어울리는 고유의 관리적 보안 체계가 마련되어 있어야 한다.

김민진 기자 다른기사 보기