최근 발생한, 그리고 아직도 진행형인 소니 해킹 사태는 역사상 최악의 기업 해킹 사건이라 할 만 하다. 2014년이 저물어가는 지금까지도 이번 사건의 진상은 정확히 규명되지 않았다. 한가지 분명한 건 이번 사건으로 앞으로 보안에 대한 소니의 태도가 확연히 달라질 것이라는 점이다.
정보 보안의 한 해가 저무는 가운데, 이번 소니 사건으로 2015년을 예측해 볼 순 없을까? 적어도 몇 가지는 확실히 얘기할 수 있을 것 같다.
이번 사건은 분명 경각심을 일깨우기에 부족함이 없다. 그럼에도 불구하고 사태의 심각성을 인지하지 못하는 이들은 여전히 있을 것이다. 홈디포(Home Depot), 타깃(Target), JP모건 체이스 외에도 2014년에는 큼직한 데이터 보안 사건이 많았다. 그러나 현실은 아직도 보안에 대한 투자는 인색하면서 ‘설마 무슨 일이 있을까’ 생각하는 기업이 너무 많다는 것이다.
앞으로도 해킹은 계속 일어날 것이다. 그 주체가 국가건, 핵티비스트(hacktivists) 이건, 아니면 회사에 불만을 가진 직원이건 말이다. 이 문제는 결코 단기간에 개선되지 않는다. 기존 정보 보안 인프라스트럭처에 허점이 너무 많은데다 수십 년 간의 허술한 설계로 인해 부분적으로 손만 봐서는 문제가 해결되지 않는다. 즉, 앞으로 더 큰 규모의 보안 위협이 필연적으로 발생하게 될 것이라는 의미다.
보안 문제를 바로 잡는 데는 시간과 돈, 인력이 들어간다. 문제는 회사가 제일 싫어하는 것 역시 시간, 돈, 인력을 투자하는 것이라는 점이다. 특히 재무 분석팀을 만족시키기 위해서는 분기 내에 확실히 마무리되어야 하는 경우가 많다. 그러나 문제가 있는 정보 보안 프로그램을 고치려면 여러 분기가 걸린다.
분명히 말하지만, 하루 아침에 보안 문제를 완벽히 고치는 방법은 없다. 이 과정을 조금 가속화 시킬 수 있는 유일한 방법은 외부 자원을 동원해 증파 전략을 쓰는 것뿐이다.
그렇지만 이를 마음에 들어 하거나 지원해 줄 기업은 많지 않다. 결국 남는 대안은 IT 관련 비용을 클라우드 제공업체 등 외부로 되돌리는 것인데 이 또한 빠른 해결책이라 할 수는 없다.
보안 하드웨어 및 소프트웨어 구매가 곧 안전한 인프라 구축을 의미하지는 않는다. 새로 하드웨어, 소프트웨어를 산다고 해서 보안문제가 일거에 해결되지는 않는다. 2015년에 접어들며 보안 하드웨어 및 소프트웨어 판매량이 상당량 증가할 것이나 이는 일시적 현상일 뿐이다.
이는 픽사 영화가 개봉될 때 액세서리 판매 추이와 유사하다. 몇 달만 지나도 토이 스토리 관련 장난감들은 천원샵에서 먼지를 맞으며 푸대접을 받게 된다. 즉 지나치게 많은 보안 관련 제품을 구매하는 것 역시 후회로 끝나기 십상이다.