현재까지 이에 대한 다양한 해석이 나오고 있지만 ‘자신이 인지하지 못하고 있는 부분이 많다는 것을 스스로 알아야한다’는 것이 가장 대중적인 분석이다.

또 고대 중국 병법서인 손자병법에는 ‘상대를 알고 나를 알면 백 번 싸워도 위태롭지 않다(지피지기백전불태, 知彼知己百戰不殆)’란 말이 있다. 이는 상대편과 나의 약점과 강점을 충분히 알고 승산이 있을 때 싸움에 임하면 이길 수 있다는 말이다.

이처럼 고대 동서양에서 공통적으로 ‘나 자신을 알아야한다’는 격언이 나온 것은 삶에 있어 스스로의 상황을 인지한다는 것이 중요한 요소라는 의미일 것이다.

국내 보안상황에서도 이를 적용할 수 있다. 최근 발생한 대부분의 보안사고들은 단순히 보안솔루션의 문제라기 보다는 보호해야할 자산을 제대로 인식하지 못한 것에서부터 시작됐다.

사례를 살펴보면 정보유출을 차단하기 위해 암호화 솔루션을 운영하고 있었으나 자산(개인정보 등)의 중요성을 망각하고 키를 방만하게 관리해 1억건이 넘는 개인정보가 유출되는 사고가 있었다. 또 자사 웹사이트에 노출되는 정보가 무엇인지 파악하지 못해 대량의 개인정보유출 사고가 발생한 뒤에도 피해규모를 인지하지 못한 웃지 못할 일도 벌어졌다.

김승주 고려대 정보보호대학원 교수는 “오바마 정부의 경우 미국의 연방정부 시스템을 외부 해커로부터 보호하기 위해 2000년대 초부터 아인슈타인(EINSTEIN) 프로젝트를 수행하고 있다. 프로젝트는 1단계로 미국 연방정부시스템과 외부와의 접점 개수 파악, 2단계로 그 접점의 개수 최소화, 3단계로 그 접접에 대한 보안대책을 마련하고 있다”고 설명했다.

그는 이어 “최근 발생한 일련의 사건들은 자신들이 보유한 자신이 무엇인지 파악하지 못하고 이에 대한 보안대책을 수립하지 않았기 때문에 발생한 것”이라고 재차 강조했다.

즉, 보안정책 수립과 보안솔루션 도입 전에 철저한 자산분석이 선행돼야 한다는 지적이다. 어떤 데이터가 중요한지, 데이터가 어디에 저장돼 있는지, 접근에는 어떤 방법이 있는지, 어떤 데이터를 어떻게 보호해야할지에 대한 고민이 필요하다.

자산분석이 이뤄진 기업은 보다 튼튼한 보안체계를 수립할 수 있다. 데이터 중요도의 경중을 따져 각기 다른 보안솔루션을 적용하고, 접근통제도 보다 철저히 할 수 있다. 가령 보험사의 고객정보가 담긴 데이터베이스가 어떤 서버에 어떤 형태로 분산돼 있는지, 이를 열람할 수 있는 인력은 누구인지를 명확히 알고 있다면 보안체계를 수립하기 수월할 것이다.

하지만 이러한 자산분석은 기업 스스로 하기엔 무리가 있을 수 있다. 내부의 치부가 드러날 수도 있기 때문이다. 보안컨설팅 업계 관계자는 “기업 스스로 자산을 분석하는 것은 한계가 있을 수 밖에 없다. 감사의 성격이 강하기때문에 부서별 협력이 힘든 것이 사실”이라며 “보안컨설팅 전문업체 등을 통해 진행하는 것이 필요하다”고 전했다.

특히 기업의 IT환경이 빠르게 변화하고 있기 때문에 자산분석과 위협관리는 수시로 하는 것이 중요하다. 지난 몇년간 BYOD(Bring Your Own Device) 이슈를 비롯해 클라우드 컴퓨팅과 같은 트렌드가 기업내부로 도입되면서 잠재적인 위협도 함께 증가하고 있다.

현재 이글루시큐리티, 안랩과 같은 보안컨설팅 전문업체와 더불어 IBM, HP 등 글로벌업체들이 기업 자산분석과 위협대응전략 수립에 대한 컨설팅을 진행하고 있다.

<이민형 기자>kiku@ddaily.co.kr