[컴퓨터월드] 국내 보안 업계 1위 기업을 자처하는 SK쉴더스가 해킹 공격을 받아 직원 개인 메일 내 데이터 24GB가 유출되는 사고가 발생했다. 더욱 우려되는 사실은 이 데이터에 SK텔레콤, SK하이닉스, KB금융 등 고객사들의 민감한 정보까지 포함돼 있었다는 점이다. 개인적으로 이 사건에서는 이런 교훈이 보인다. 아무리 회사가 강력한 보안 시스템을 구축해도, 직원 한 명의 기본 수칙 위반이 모든 것을 무너뜨릴 수 있다는 것이다.

천 길 높은 제방도 개미구멍 하나로 무너진다는 ‘천장지제 궤자의혈(千丈之堤 潰自蟻穴)’이라는 말이 있다. SK쉴더스 사고의 발단은 예상치 못한 ‘개미구멍’ 하나 때문이었다. 해커의 공격을 분석하기 위해 만든 꿀단지, 허니팟(Honey pot)에 기술영업 직원이 개인 지메일 계정을 자동 로그인으로 연결해 뒀다니, 그것도 업무용 민감 자료가 담긴 계정을 말이다.​

사실 SK쉴더스가 초기 해커의 자료 탈취 경고를 대수롭지 않게 여긴 것은 충분히 이해할 만하다. 허니팟은 애초에 해커를 유인하기 위한 ‘미끼’이기 때문이다. 공격받는 것이 목적인 시스템을 “해킹했다”는 협박 메시지가 나왔다면, 당연히 의도된 시나리오로 판단했을 것이다. 문제는 그 미끼 환경에 직원 누군가가 진짜 계정을, 그것도 자동 로그인 설정까지 해서 연결해뒀다는 사실을 처음엔 아무도 몰랐을 거라는 데 있다.

누가 그런 짓을 할 줄 알았겠는가. 보안 업체 직원이 허니팟 같은 고위험 환경에 개인 메일을 연결할 거라고, 거기에 고객사의 네트워크 관리자 계정과 소스코드, API 키까지 보관했을 거라고 누가 상상이나 했겠는가. 이게 바로 이번 사고가 우리에게 주는 가장 뼈아픈 교훈이다. 조직이 예상하지 못한 곳에서, 생각지도 못한 방식으로 보안은 무너진다.

포티넷이 2024년 전 세계 조직을 상대로 조사한 결과를 보면, 기업 리더의 70%가 직원들의 기본적인 보안 인식 부족을 우려하는 것으로 나타났다. 이메일 보안 업체 마임캐스트(Mimecast)는 2024년 데이터 유출의 95%가 인적 오류에서 비롯된다는 연구 결과를 발표했다. 아무리 첨단 보안 솔루션을 도입해도, 직원 한 명이 기본 원칙을 지키지 않으면 그 모든 투자가 무용지물이 된다는 얘기다.

더욱 큰 문제는 실제 보안 교육이 대부분의 조직에서 형식적으로 운영된다는 점이다. 그렇기에 이런 사고가 발생하는 것이다. 상당수의 조직에서 연 1회 필수 이수 과정으로 동영상을 틀어놓고, 시간만 채우면 끝인 교육이 행해진다. 정작 중요한 것은 개인 계정과 업무 계정의 철저한 분리, 자동 로그인 금지, 민감 정보의 개인 메일 보관 금지 같은 기본 원칙을 일상 업무에서 실천하게 만드는 것인데, 이런 행동 변화까지 이끌어내는 교육은 드물고, 무엇보다 직원들이 귀찮아 하고 싫어한다.

보안 정책 위반에 대한 조직의 대응도 문제다. 많은 기업이 보안 정책을 문서화하고 교육하지만, 실제로 이를 어겼을 때 즉각적인 조치를 취하는 경우는 많지 않다. 정책은 있지만 실제 실행이 느슨한 것이다. SK쉴더스 사고에서도 직원이 업무 자료를 개인 메일에 보관하는 관행이 조직 내에서 묵인됐을 가능성이 크다.

결국 실제적인 보안 강화를 위해서는 사회 전체가 방향을 전환해야 한다. 더 강력한 솔루션을 찾는 것보다 중요한 것은, 현재 보유한 시스템과 정책이 직원들의 일상 업무에서 제대로 작동하고 있는지 점검하는 것이다. 더 빡빡해짐을 의미한다는 점에서 숨막힐 수는 있지만 △정기적인 모의 피싱 훈련 △실시간 보안 인식 캠페인 △역할별 맞춤형 교육 △그리고 무엇보다 정책 위반 시 명확한 책임 추궁 체계가 필요함을 인정해야 한다.

한 보안 전문가는 “보안 교육은 형식적 의무가 아니라 생존 전략이어야 한다”고 말했다. SK쉴더스처럼 보안을 업으로 삼는 기업조차 내부 직원의 예상치 못한 행동으로 대형 사고를 냈다. 하물며 일반 기업들은 어떻겠는가. 지금도 무방비로 해커들의 먹잇감이 되고 있다.

천장지제 궤자의혈. 천 길 제방도 개미구멍으로 무너진다. 이제 우리가 해야 할 일은 개미구멍이 생기지 않도록 직원 한 명 한 명을 교육하고, 그들의 행동 하나하나를 점검하는 것이다. 기술보다 사람이, 솔루션보다 교육이, 형식보다 실천이 우선돼야 한다. SK쉴더스 사고는 보안의 성패가 결국 사람에게 달려 있다는, 가장 기본적이면서도 가장 중요한 진리를 다시 한번 일깨워줬다.