Premium > 운영/재무
사이버 보안과 사람 : 펜타곤의 교훈
2015-12-21 | 조진서 에디터

안녕하세요, HBR 편집디렉터 조진서입니다. 최근 기업들이 공통적으로 갖고 있는 걱정거리 중 하나가 사이버 보안입니다. 2011년 농협 전산망 마비사태를 비롯해 한국에서도 매년 수많은 기업들의 사이버 보안망이 뚫리고 있습니다. 한국인터넷진흥원에 따르면 2014년 해킹사고 처리건수는 1만5545건이었습니다. 2015년 상반기에도 5000건이 넘는 해킹사고가 국내에서 접수됐습니다. 해킹을 당해도 쉬쉬하고 넘어가는 기업이 많기 때문에 실제 피해가 얼마나 큰 지는 추정하기도 어려울 정도입니다. 사이버 보안에서 가장 취약한 지점은 어디일까요? 바로 사람입니다. 대부분의 해킹은 컴퓨터 시스템 문제가 아니라 사람의 실수에서 비롯된 약점을 노립니다. 농협 해킹 역시 시스템을 유지 보수하는 직원의 노트북 컴퓨터와 USB를 통해 이뤄졌습니다. 아무리 좋은 보안 시스템을 갖춰놓아도 사람이 방심하거나 느슨한 틈을 보이면 해커는 바로 그 곳을 파고들어 옵니다. 미국 합동참모본부 부의장을 지낸 제임스 위너펠드 해군 제독과 영국 옥스퍼드대 사이드경영대학원의 데이비드 업튼 교수는 HBR에서 원자력 함대의 보안관리 지침에서 비롯된 미군의 사이버 보안 프로그램을 소개합니다. 세계 최강의 군대 미군은 사이버 공격도 그만큼 많이 받습니다. 펜타곤에 따르면 2014년 9월부터 2015년 6월까지 10개월 동안만 해도 약 3000만 건의 악성 공격이 들어왔습니다. 그런데 이중에서 시스템에 피해를 준 건 0.1% 미만이었습니다. 공격하는 적들도 상당한 사이버 공격 능력을 갖췄다는 걸 고려할 때 이는 상당한 성과라고 볼 수 있습니다. 미군은 2009년 당시 국방부 장관 로버트 게이츠의 명령으로 모든 네트워크를 4성 장군 1명의 책임 아래로 통합했습니다. 시스템 통합과 동시에 인적 보안요소도 강화했습니다. 무엇보다 중요한 것은 군대를 하나의 고신뢰조직으로 만든 것이었습니다. 미 해군은 60여 년 전부터 원자력잠수함과 원자력항공모함을 만들어 운영해왔습니다. 배 안에 원자로가 들어있는 아주 위험한 설계입니다. 이 과정에서 원자력 해군의 아버지라 불리는 하이먼 리코버 제독의 역할이 결정적이었습니다. 그는 성격이 아주 불같고 까탈스러웠다고 합니다. 부하들의 실수를 용납하지 않았을 뿐 아니라 원천적으로 인간의 실수가 나올 수 없는 환경을 만들어왔습니다. 이런 리코버의 철학을 미군의 사이버 보안에도 도입하게 된 것입니다. 기업에서 배울 수 있는 리코버 제독의 철학은 무엇인지 알아보겠습니다. 첫째, 사이버 보안의 책임을 모든 직원에게 지워야 합니다. 직원이 문제를 일으키면 관리자도 함께 책임져야 합니다. 둘째, 보안 표준을 통일하고 이를 조직원들에게 철저히 훈련시켜야 합니다. 사이버 보안에 구멍을 내는 것은 훈련 받지 않은 단 한 명입니다. 강도 높은 사이버 보안 교육을 모든 직원이 이수?杉쩝嗤?철저히 추적해야 합니다. 셋째, 미 해군에서는 위험한 일을 할 때 반드시 2명의 작업자가 수행하도록 합니다. 두 사람 모두 임무에서 눈을 떼지 않아야 하며 임무가 정확하게 수행됐는지에 대해 의견이 일치해야 합니다. 기업에서 현실적으로 이렇게 두 명씩 일을 하게 할 수 없다면, 대신 보안에 민감한 정보를 전달하거나 다운로드할 때 자동으로 경고 메시지를 보내거나 일단 중지시킨 다음 그들의 행동을 모니터링할 수 있는 시스템을 만들어야 합니다. 많은 기업은 외부 공격에 취약한지만 신경을 쓰고 내부 직원들의 행동에는 주의를 기울이지 않습니다. 업무 수행 관행과 기업 문화까지도 내부 감사에 포함시켜야 합니다. 직원들끼리 편의상 패스워드를 공유한다거나 클라우드 서비스에 정보를 올리는 등의 타협과 편법을 차단해야 합니다. 우발적인 실수는 프로세스를 바로잡는 기회로 삼아야 하지만, 고의적으로 표준과 절차를 위반한 직원에겐 두 번 다시 기회를 줘서는 안 됩니다. 이와 동시에 고의가 아닌 실수는 솔직하게 털어놓을 수 있는 환경을 조성해야 합니다. 무심코 의심스러운 이메일이나 인터넷 사이트를 클릭했을 때 비난을 두려워하지 않고 보고할 수 있어야 합니다. 전쟁도, 사이버 전쟁도 결국은 인간이 치루는 것입니다. 사이버 보안에 있어서 인간의 실수를 줄이는 게 가장 중요합니다. 특히 한국 기업은 직급이 높을수록 IT 기술에 대한 이해력이 떨어지고 대수롭지 않게 생각하는 경우가 많습니다. 미 해군 원자력 함대의 성공을 이끈 것은 리코버 제독의 안전에 대한 지나치다 싶을 정도의 집착이었습니다. 우리 기업 역시 CEO와 임원들부터 사이버 보안의 중요성에 눈을 뜨고 훈련과 감독에 투자를 아끼지 말아야 하겠습니다.

내용 모두 펼치기
HBR Premium은 유료 서비스입니다.
10인의 디렉터가 쉽게 설명해주는 HBR Premium!
HBR Premium을 구독하고 디지털 서비스까지 이용하세요!
프리미엄신청
조진서 HBR Korea 편집장
관련 아티클