2014년 세상을 떠들썩하게 만든 카드 3사 개인정보 유출사고로 인해 2015년 한 해 동안 용역업체 직원들을 대상으로 한 정보유출 가능성을 진단하는 사업이 활발하게 이루어졌다. 필자의 견해로는 앞으로도 관련 사업이 기업들의 연간 사업계획에 포함될 것으로 예상되니 '소 잃고 외양간 고치는' 격이기는 하지만 반가운 일이다. 그러나 간과하기 쉬운 중요한 사실이 하나 있는데, 카드 3사 개인정보 유출사고가 그 엄청난 유출 규모로 인해 화제가 되었지만 실제로는 빙산의 일각이라는 점이다.

필자는 가끔 정보보안과 관련된 보안교육을 수행하는데 이때 자주 사용하는 표현이 있다. 겉이 아닌 속을 다스리라는 것이다. 사람의 몸은 겉과 속으로 나뉘는데 겉을 다치는 것은 심하게 아프지만 쉽게 치료할 수 있고 사람이 죽게 되는 경우는 거의 없는 반면, 속을 다치는 경우 고통을 잘 못 느끼지만 많은 경우 사람을 죽음에 이르게 한다.

정보보안도 마찬가지다. 외부 해커들에 의한 공격은 겉공격에 해당한다. 공격을 당하면 아프고 치료하느라 힘들지만 기업의 생사를 좌우하는 심한 상처는 드물다. 그러나 내부 직원에 의한 속공격은 그 양상이 전혀 다르다. 아픈지도 모르고 방치하게 되고 결국에는 그로 인해 기업이 궁지에 빠지거나 생사를 좌우하게 될 수도 있기 때문이다. 기업들이 겉치료 이상으로 속 치료에 전념하여야 하는 이유가 여기에 있다.

사실 기업 내부 직원들의 정보유출 문제는 어제오늘의 일이 아니다. 이미 오랫동안 직원들에 의한 정보유출은 그 행동이 정보유출 행위이자 범죄라는 인식조차도 묻어버릴 만큼 일상적으로 이루어져 왔다. 개인의 정보기기에 회사 자료를 담아 가지고 있거나, 개인 이메일을 통해 회사 기밀자료를 외부로 보내는 행위, 퇴사하면서 나중을 위해 회사 자료를 복사하여 가져가거나 개발자가 소스를 개인의 자산으로 여겨 복사해 가는 등의 활동은 비일비재하다.

더 큰 문제는 기업이 이를 방치하고 있다는 데 있다. 최근에는 보안솔루션 등을 통해 이를 방지하기 위한 활동을 하고 있지만, 여전히 내부 어딘가에는 이를 우회하기 위한 취약점을 만들어놓고 이를 통해 자료 유출이 이루어지도록 방치하고 있다. 업무상 편의를 위해 어쩔 수 없다거나 현행 업무절차 상 필요하다는 등의 이유를 대고서 말이다. 더불어 IT기기의 발달로 인해 개인 스마트폰 등을 통한 내부 직원의 자료 유출에는 점점 더 속수무책이다. 중요 자료를 사진을 찍어가거나 스마트폰을 이용하여 내부 메일에 접속한 뒤 회사 정보를 내려받거나 외부로 전송하는 등의 작업에는 손쓸 도리가 없다. 어쩌면 앞으로의 IT침해사고는 외부보다 내부에서의 공격을 통한 사고가 더 많아지지 않을까? 아니면 우리가 모르고 있는 것이지 실제로는 내부에서의 공격 및 피해규모가 이미 외부의 공격을 한참 앞지르고 있을지도 모른다.

겉만 바라보고 속을 제대로 바라보지 못하는 이 현실도 어쩌면 우리의 안전불감증의 결과일 수 있다. 이렇게 속을 방치하고 통증이 없어서 곪다 곪다 심각한 상황에 직면해서 쳐다봤을 땐 이미 치료할 수 없는 지경이 되어 버리게 될 것이다. 골든타임이라고 하지 않는가? 이제라도 기업들이 겉보다 속에 더욱 많은 관심을 주어야 한다. 그나마도 치료할 수 있는 시기를 놓치지 않으려면.