컴퓨터 이용교육에 더해 보안교육이 필요 -백신설치와 백업은 할 줄 알아야-
공인인증서의 암호화기술 수준은, 아니 암호화기술은 정확히 일반 브라우져에서도 구현되는 https로 연결하는 기술과 동일합니다. 굳이 공인인증서를 액티브 엑스까지 써가며 쓸 필요가 없다는 것이지요. 당연히 공인인증서 사용이 법적의무로 되어있지도 않습니다. 다만 권장사항일 뿐이지요. 외국 금융기관 사이트는 그냥 아이디와 암호로 본인인증을 하지요. 물론 이메일주소로 인증하거나 그냥 생년월일 정도 묻는게 일반적인 웹사이트 본인인증 방식이구요.
문제는 보안사고 발생시, 즉 보이스피싱 등 사고 발생으로 이용자가 암호를 그냥 불러준 경우 그 책임을 누가 질 것인지가 문제됩니다. 금융기관은 책임보험 등으로 잘못된 전자인증문제로 인한 손해위험을 회피하고 있고, 개인은 금융기관으로부터 손해를 보전할 수 있습니다. 그럼 도대체 왜 액티브 엑스등 공인인증서를 쓰는 것일까요?
바로 금융기관 담당 임직원이 사고책임으로 인사고가를 낮게 받는 불이익이 있고, 보안정책 관련 관료들의 일자리, 전관예유받을 유관기관의 일자리와 수입보장이 필요하기 때문입니다.
그냥 보안이 필요한 서버는 무조건 인터넷과 물리적으로 분리시켜야 하고(미국에선 소규모 기업이라도 보안의 기본정책), 인터넷과 한번이라도 연결된 적이 있는 노트북 등 컴퓨터는 절대로 보안이 필요한 서버에 연결시켜 관리자가 사용해서는 안됩니다. 외부나 네트워크로 외부접속이 가능하게 해선 안되는게 보안의 기본이지요. 왜냐하면 해킹이란 것이 원래 창, 새로운 기술에 해당하는 것이라 기존의 방패, 기성 보안기술로는 막을수 없기 때문이지요.
그리고 하나 더, 보안에 신경도 안쓰는 개인들도 하드디스크 중 중요 데이터에 대한 백업은 기본이란 것입니다. 회사직원이란 사람들이, 컴퓨터를 다루는 회사직원이 자기가 쓰는 데이터의 백업도 할줄 모르고 전산실 직원에 맡기는 컴맹들이니 이건 보안문화는 커녕 전산화 문화가 아예 없는 것이지요. 대학교육에서 컴퓨터다루는 기본이라도 가르쳐 내보내야 하는건데 말이지요.
요즘은 그냥 인터넷 브라우저나 쓰고 엑셀, 워드는 할줄 알면 컴퓨터 잘 한다고 전산 전문가를 아주 우습게 알잖아요. 보안이 필요한 회사업무를 하면서 보안의 기본인 보안필요한 서버에 인터넷과 연결한 적이 있는 컴퓨터를 이용한 관리자의 접속금지, 개인 암호관리, 백업관리 조차 하지 않아서 생긴 보안사고를 무슨 국가적 테러운운 하는 것이 한심스럽습니다.
국내에서 이해관계속에 있는 사람들한테 아무리 연구용역시켜봐야 해답이 나오지 않습니다. 그냥 외국 기업이 보안을 어떻게 관리하는지, 객관적인 보안정책 자료만 들여다보면 해답이 나오게 되어 있습니다. 연구자가 관료계, 산업계의 이해관계에 얽매여 있는 현 상황에서는 시간과 비용을 아무리 투자해도 제대로 된 해답은 나오지 않습니다.
설사 법원이 해킹피해 금융기관이나 포털 등 데이터 유통업체의 법적 책임을 인정하지 않는다고 해서 그 면책수준에서 향상된 재발방지대책을 만들지 않겠다는 업체들이 있다면 문제지요. 사고만 나면 국가적 위기니 하며 떠들썩 하게 늘 과거 공문에서 베끼는 대비책이나 내세우고, 국민들의 관심이 다른데로 흘러가 주요정책 순위에서 보안정책이 후순위가 된다거나 보안인력, 예산지원을 하지 않는 정부, 기업이라면 문제가 심각합니다.
늘 보안의 기본도 안 지키고, 각종 책임회피용 변명거리인 예산부족, 인력부족, 기술전문가 교육부족 글만 되뇌이며 법원에서 면책판결 받기에만 급급해선 근본적인 해킹 방지대책이 나올수가 없습니다. 즉 앞으로는 과거 법원의 판례수준의 행위만으로는 면책이 되지 않도록 해야합니다. 해킹기술도 발전하고 있는데 과거 판례수준의 행위만 하면 앞으로도 기업체의 책임을 면책한다고 하면 어느 누가 향상된 보안정책을 수립하고, 보안교육을 할 것이며, 보안기술과 인력에 예산투자를 하겠습니까?
해외 기업들이 정보통신망 보안을 어떻게 하고 있는지 제발 있는 그대로 도입이라도 잘 했으면 좋겠군요. 해외제도와 기술도입에 자기 이익을 개입시켜 갈라파고스 공화국 만드는 일은 이제 그만했으면 좋겠습니다.