메모리에 평문으로 저장되어 있으니, PC가 악성코드에 감염되면 손쉽게 유출될 수 있다. 크롬이나 엣지 등 (세계적인 기업의) 웹 브라우저에 ID, 비밀번호를 저장하는 방식의 안전도는 PC가 악성코드에 감염되지 않는 수준이다. 별 피해가 없는 침해사고였지만, 사후 분석을 해 보니, 위험을 명확히 알게 됐고, 그에 따라 보안 대책을 신속하게 추진할 수 있었다.
정보통신서비스 제공자의 IT 침해사고 신고 의무 관련 규정이 처음 정보통신망법에 들어온 것은 2004년 1월의 일이다.
정보통신망법 제48조의3(침해사고의 신고 등) ① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다. 정보통신망법 시행령 제58조의2(침해사고 신고의 시기, 방법 및 절차) ③ 제1항 및 제2항에 따른 신고는 서면, 전자우편, 전화, 인터넷 홈페이지 입력 등의 방법으로 할 수 있다. [본조신설 2024. 8. 13.] |
여러 번 개정을 거쳐 현행 정보통신망법에 따르면, 정보통신서비스 제공자는 침해사고가 발생한 것을 알게 된 때부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부장관이나 한국인터넷진흥원(KISA)에 신고해야 한다.
원래 있던 제48조의3 제1항의 신고 규정에 하위 시행령 제58조의2(시행일 2024.8.14.)가 신설되면서 “알게된 때부터”, “24시간 이내”, “발생 일시, 원인 및 피해 내용, 대응 현황” 등이 추가되면서, 의무가 강화됐다. (과거 개인정보 유출 사고 발생 시 정보통신망에 있던 통지·신고 규정과 비슷한데, 현실을 반영해 보완할 필요가 있어 보인다.)
침해사고 신고를 받은 과기정통부장관은 “침해사고의 원인을 분석하고, 피해 확산 방지, 사고 대응, 복구 및 재발 방지를 위한 대책을 마련”하여 사고 기업에 이를 이행하도록 명령하고 이행 여부를 점검할 수 있다(제48조의4(침해사고의 원인 분석 등)). 이에 관한 실무적·기술적인 일들은 KISA에 위임하는데, KISA는 자체 분석 역량에 한계가 있어서 적잖은 수의 침해사고를 위탁하여 처리한다. 하지만 KISA가 신고된 침해사고에 대한 분석을 감당하기에는 역부족이다. 침해사고 신고율이 낮은데도 그렇다.
그럼에도 일정한 규모 이상의 기업은 침해사고가 발생하면 어떤 식으로든 조사·분석을 진행하여 경영진에 보고서를 제출하는 것이 보통이다. 서비스를 받는 보안관제업체에 요청하거나 자체 전문 역량을 갖추고 있다(고 판단하)면 자체적으로 수행한다. 다만, 실제 분석 역량을 갖추고 있는 곳도 있으나 그렇지 못한 경우도 상당히 많다. 침해사고 분석을 위해서는 역량과 경험을 갖춘 전문 인력뿐 아니라 분석 체계와 분석 도구, 관련 조직이 필요한데, 침해사고 분석 시장이 제대로 형성되어 있지 않은 우리나라에서 전문 역량이 충분하지 않아서다. 잘못하면 침해사고 분석을 하면서 침해사고 분석 대상을 오히려 오염시킬 수도 있다.
2004년과는 비교할 수 없을 정도로 금융, 통신, 쇼핑, 배달, SNS, 의료, 교통, 자동차, 가전 등 일상의 거의 모든 영역에서 IT가 핵심 기반이 되어 있는 환경에서 발생한 침해사고에 대해 전반적인 분석·대응 체계를 갖추는 일은 시급하고도 중요한 국가적 의제가 아닐 수 없다.
이에 관해 2017년 KISA가 침해사고 조사·분석의 ‘사이버 보건소’ 역할을 해야 하므로, 조직과 인력을 대폭 확대해야 한다는 주장이 제기된 적이 있으나, 별로 호응을 얻지 못했다. 공공기관의 정원을 늘리는 것이 쉽지 않다는 현실적인 면도 있지만, 당시에도 침해사고 분석의 전문성을 갖춘 일부 기업이 제값을 받지 못하고 서비스를 제공하는데 국민 세금으로 무료 서비스 제공을 확대하는 것이 적절하지 않다는 비판도 있었다.
이제는 전반적으로 성장한 민간 부문의 보안 역량을 활용하여 국가 차원의 침해사고 분석 체계를 갖추는 것이 바람직한 것으로 생각된다. 이미 세계적으로는 침해사고 발생 시 맨디언트와 같은 잘 알려진 침해사고 분석 업체에 의뢰하여 분석, 대응하는 것이 자연스럽다. 국내에서도 사고가 발생했던 대기업에서도 이러한 해외 업체에 원격 조사를 맡긴 사례도 있다. (원격의 한계, 언어와 일하는 방식의 문제 등으로 ‘가성비’가 나오지 않는 경우가 많다.)
늦었지만, 자격 요건을 갖춘 역량 있는 침해사고 전문기업이 참여하고(서비스 공급자), 피해 기업이 전문기업을 신뢰하고 사고 분석을 맡길 수 있는 민간 생태계가 작동하도록 하는 것이 문제에 대한 근본적인 해결책이다. 이를 뒷받침할 수 있는 침해사고 분석 관련 제도가 만들어지고, 침해사고 분석 수요와 함께 수요자가 신뢰할 수 있는 공급자가 충분히 확인되면, 세계적인 흐름과 마찬가지로 자연스럽게 침해사고 분석 시장이 형성될 수 있다.
‘소 잃고 외양간 고친다’는 우리 속담이 있다. 문제가 발생하면 소용이 없으니 미리 준비해서 예방하라는 (좋은) 의미로 많이 쓰인다. 꼭 그래서 그렇지는 않겠지만, 소를 잃고도 외양간의 문제를 분석하지도, 제대로 고치지도 않는 사례를 종종 보게 된다. 어느 집에서 소를 잃은 원인을 분석하여 그 집뿐 아니라 전국의 외양간을 다 고친다면, 그 원인으로 소를 잃지 않는 예방 효과가 있다. 침해사고 발생 시 모두의 외양간을 고쳐야 한다는 생각이 일반화되면 좋겠다.
[email protected]
Read More from This Article: 강은성의 보안 아키텍트 | 시급히 갖춰야 할 국가적 침해사고 분석 체계
Source: News