세계적인 군수업체 록히드 마틴사에 군사기밀을 넘긴 혐의로 전직 공군참모총장이 조사를 받고 있다는 소식이다. 대체 어떻게 보안관리를 해왔나 한숨이 나올 지경이다.
  어떤 경로를 통해 기밀을 취득했는지는 알려지지 않았지만, 혐의를 받는 당사자측이 “인터넷에 공개된 자료일 뿐”이라고 반박하고 있는 점을 보면 상당부분이 사이버 세계와 관련이 깊을 것으로 추정된다.

  사이버 스파이들은 국내외를 막론하고 정부 기관이나 대기업에 침투하기 위해 다양한 방법을 쓰고 있으며 눈에 띄지 않는 정보원을 써먹고 있다. 그런데 문제는 고급기밀 정보에 대한 접근권이 있는 고위 관계자 일수록 인터넷 활용에 미숙하고 컴퓨터 보안 관리에도 둔감한 경우가 많아 정보가 새는 ‘구멍’ 역할을 할 가능성이 크다.

  국제 사이버 스파이들에게 정부 기관의 정보를 찾아내는 것은 그리 어렵지 않다. 정부기관의 홈페이지 등에 공개된 자료를 통해서도 누가 어떤 일을 하고 있는지와 이메일 주소를 손에 넣을 수 있다. 또 페이스북이나 사이월드 등을 통해 그 사람의 취미나 관련된 친구가 누군인지도 파악할 수 있다. 해커는 이 단계에서 비즈니스에 관련된 것처럼, 혹은 친구가 보낸 평범한 메일인 것처럼 가장해 정보를 빼내기 위한 악성 소프트웨어, 피싱(phishing) 이메일을 보낸다. 멋모르고 관계자가 덜컥 이 메일을 열어 다운로드하는 순간 걸려들고 만다. 이렇게 감염된 컴퓨터는 원격 조종하는 스파이들의 손에 정보를 넘겨주는 중계기지 노릇을 충실히 수행하게 되는 것이다.
 
  컴퓨터 보안교육은 담당부서의 관련자들만 필요하게 아니다. 오히려 보안 의식이 투철한 것 같지만 컴퓨터 보안에는 별 개념이 없다시피하는 고위공직자일수록 컴퓨터 보안 교육이 더욱 절실하다. 하지만 실제로는 컴퓨터 보안 교육과 관리가 하위직, 관련 전문가에게 집중되어 있다. 등잔 밑이 어둡듯 예상하지 못한 곳에서 정보가 샐 가능성이 큰 것이다.
  
  기밀정보 관리의 첫 번째 일은 보호해야할 정보가 무엇이냐를 정하는 것이다. 무조건 ‘기밀’ ‘기밀’ 하던 권위주의 시대는 끝났고, 이제는 국민의 알 권리 보호 차원에서 정부기관도 상당 수준의 정보를 공개하고 있다. 비공개 정보도 관련 부처 내에서 기밀 수준에 따라 정보 접근권이 제한된다. 정보 수준이 높을수록 고위직만 접근이 가능하다.
 
 대개 기업은 5-10%의 예산을 정보의 저장과 관리에 사용하고 있다고 한다. 하지만 해당 분야 인력에 대한 투자는 미흡하다. 공군참모총장 출신의 배신은 단지 한 개인의 행위에 그치지 않는다. 정보 보안 관리의 중요성, 특히 ‘사람’에 대한 경각심을 새삼 일깨워준다.

에브리존 고문 조헌주