2021-11-30 22:00 (화)
넥슨 보안팀 쫄지말고 경영진은 반성하고
상태바
넥슨 보안팀 쫄지말고 경영진은 반성하고
  • 길민권
  • 승인 2011.11.29 07:47
이 기사를 공유합니다

해킹사고, 보안팀 시야 업그레이드 될 수 있는 기회로
해킹사고 책임은 경영진…정확한 해킹경로 찾아 재발방지가 우선
넥슨 보안담당자들 지금 힘들겠지만 쫄지말길 바란다. 반면 넥슨 경영자는 비난을 받아 마땅하다.경영자들은 이번 사태에 대해 깊이 반성하고 이를 타산지석으로 삼아 더 이상 같은 사고가 반복되지 않도록 모든 시스템을 재정비해야 한다.
 
모 사이트 보안담당자는 “불가항력적인 사고가 계속 발생하니 정말 보안팀 일하기가 무섭다. 평상시에 뭐 좀 하자고 제안하면 반응도 없다가 사고 발생하면 원인파악하라고 하고 실제로 사고가 발생하면 회사의 원흉으로 낙인찍혀 얼굴들고 다닐 수도 없다”며 “매일 이 일 그만해야지라는 생각만 든다”고 탄식한다. 해킹사고가 과연 보안담당자 만의 책임일까. 진정 반성해야할 쪽은 경영진들이다. 힘없는 보안담당자만 희생양으로 삼지않길 바란다.
 
◇해킹사고 당한 기업 보안담당자의 심정=최근 대형 해킹사고를 당한 모 기업 보안담당자는 해킹당한 당시의 심정을 이렇게 말한다. “해커와 싸움에서 졌다라는 기분에 너무 화가났고 한편으로는 고객들에게 미안한 마음, 이 두가지가 가장 컸다”며 “막상 사고가 터지고 나니 그동안 고려하지 못했던 것, 아쉬운 부분들이 마음이 아팠다. 이것을 했으며 막았을 텐데라는 아쉬움도 있었고 반면 너무 완벽하게 보안을 적용하면 직원들이 너무 힘들어하기 때문에 보안담당자 입장에서는 어디가 위험한지 알면서도 우선순위에서 밀리는 경우가 많았다. 그런데 꼭 그 부분에서 사고가 발생한다. 그때 그것만 했더라면 막을 수 있었는데란 생각이 들어 마음이 더 아프다”고 밝혔다.
 
그는 넥슨 보안담당자에게 이렇게 조언했다. “현재 여기저기 문의가 들어오고 조사도 받아야 하고 육체적으로 정신적으로 힘들고 가족들도 엄청 힘들 것”이라며 하지만 “사고는 이미 난 것이다. 사고로 인해 어느 부분이 미흡했는지 알 수 있다. 사고 마무리되면 그 분야를 집중 보안해야 한다. 큰 경험을 한 것이다. 회사 입장에서는 개선 기회를 얻은 것이고 보안담당자 입장에서는 실력을 업그레이드 시키는데 큰 도움이 될 것”이라고 밝혔다.
 
또 “사고 이후 깨달은 경험이지만 이 경험을 통해 본인 역량이 한층 업그레이드된다”며 “우리가 이 부분이 부족했구나라는 것을 몸소 체감할 수 있었던 기회라고 생각하고 또 회사 전체의 보안수준이 업그레이드 되는 계기가 된다”고 조언하며 보안팀이 쫄지말고 긍정적인 마음가짐으로 현재 상황에 임하라고 주문했다.  
 
그는 또 “회사는 보안팀을 운영하돼 항상 보안사고가 날 수 있다는 전제하에 리스크 관리를 해야한다”며 “그래야 사고가 나더라도 피해를 최소화 할 수 있다. 민방위 훈려과 같은 것이다. 사고가 난다는 가정하에 준비를 해야 한다. 보안팀이 있다고 사고가 안난다고 생각하며 비즈니스를 하다가 막상 사고가 발생하면 너무 당황하게 되고 어떻게 해야할지를 모른다. 기업들도 사고 후 위기대응 프로세스를 하루빨리 수립해 놓아야 한다”고 강조했다.
 
◇정확한 해킹경로 찾아 재발방지해야=구태언 행복마루 변호사는 신속하고 정확히 사고원인을 조사하는 것이 가장 중요하다고 강조했다. “넥슨사건의 정확한 해킹경로는 사실 공격한 범인만이 알고 있다. 경비원도 있고 몇겹의 보안 시스템이 설치된 건물안 금고속에 있는 보물을 감쪽같이 훔쳐내 간 사건”이라며 “어느 경로를 통해 해커가 침입을 했는지 명확히 밝혀내야 한다. 그것이 바로 넥슨의 취약점이다. 그 취약점이 열려있었기 때문에 사고를 당한 것이다. 해커 입장에서는 기업의 취약점은 보물지도와 같다. 그 취약점을 정확히 밝히지 못하면 재차 공격이 발생할 가능성이 높다”고 경고했다.
 
또 “취약점을 정확히 밝혀내 재발을 방지하는 것이 무엇보다 중요하다. 이미 해킹당한 취약점을 통해 또 한번 해킹사건이 발생한다면 그때는 변명의 여지가 없다”고 밝히고 “또 취약점이 밝혀졌다면 그 부분을 최대한 보안하는 작업에 집중해야 한다”고 조언했다.


한편 넥슨은 28일 긴급 기자회견을 열고 ‘메이플스토리’ 가입자 1320만 명의 개인정보가 유출된 데 대해 공개 사과했다. 넥슨은 △비밀번호 변경 캠페인의 확대 실시 △악용될 가능성이 있는 휴면계정에 대한 보호시스템 구축 △넥슨 통합멤버십 체제 구축 △정보 보안에 대한 투자 강화 등을 주요 내용으로 하는 대책을 발표했다.
[데일리시큐=길민권 기자]