[백명훈 스트리미 CISO 이사] 코로나19 위기상황의 정보보호 위험관리

코로나19(COVID-19) 사태가 심각하다. 자가격리 지침에도 불구하고 전국 곳곳에 방역망 구멍이 뚫렸다. 세계보건기구(WHO)는 감염병 위험 수준을 ‘매우 높음’ 단계로 상향하였다. WHO는 세계적 유행병 상황(pandemic)이 아니라고 하지만, 전세계적인 바이러스 확산 움직임은 자명해 보인다.

최근 정부가 “코로나19 예방 및 확산방지를 위한 사업장 대응 지침”을 발표했다.

이에 발맞춰 금융당국은 망분리 규제로 재택근무가 엄격히 제한됐던 금융업종에 대하여 ‘망분리’ 규제의 예외를 허용하며 금융권 종사자의 재택근무를 가능하도록 했다.
망분리는 정보처리시스템 및 정보통신망을 해킹 등의 전자적 침해행위로부터 방지하기 위하여 내부통신망과 연결된 내부 업무용시스템을 인터넷 등 외부통신망과 분리·차단 및 접속 차단해야 하는 조치를 말한다.

이와 같은 망분리 제한도 코로나19의 확산 앞에서 잠시 풀리게 된 것이다.

금융감독원은 지난 10일 금융투자협회와 씨티은행의 재택근무를 위한 원격 접속 허용 관련 문의에 감염병 등 질병으로 인해 업무 연속성을 확보하기 곤란한 수준의 인력 손실이 발생하거나 발생 가능성이 현저히 높은 경우 원격 접속을 통한 재택근무를 실시할 수 있다는 비조치의견을 회신했다.

비조치의견은 해당 행위에 대해서는 사후에 회신내용의 취지에 부합하지 않는 법적 조치를 취하지 않겠다는 뜻이다.

다만 재택근무는 대체자원 확보의 곤란 등 업무상 불가피한 경우에 한해 실시할 수 있다.
다시 말해 감염병 등 질병으로 인해 업무연속성을 확보하기 곤란한 수준의 인력 손실이 발생하거나 발생 가능성이 현저히 높은 경우, 자가격리를 위해 원격 접속을 통한 자택 근무를 실시해야 한다는 의미이다.

하지만 오해하지 말아야 할 것이 있다. 업무 연속성을 확보하기 위한 대체자원 확보 곤란 등 업무상 불가피한 상황에서 필수인력에 대해서만 허용해야 하며, 업무가 중단되지 않도록 비상대책 등의 수립·준수 및 자체 위험성 평가를 실시한 후 망분리 대체 정보보호통제 정책을 적용하고 정보보호위원회 승인을 받아야 하며, 비상상황 종료시 해당 직원의 재택근무를 즉시 중단해서 불필요한 재택근무가 이루어지지 않도록 유의해야 한다.

뿐만 아니라 재택근무시에도 관련 법규를 모두 준수하고 정보유출 사고 등이 발생하지 않도록 강화된 내부통제 정책을 수립·운영해야 한다는 조건을 달았다.

또한 산업통상자원부에서는 코로나19 위기경보 단계 격상에 따른 기업별 업무지속계획(BCP) 가동을 요청했다. BCP는 대규모 감염병 등 위기상황이 발생해도 기업의 업무가 지속되어 연속성을 확보할 수 있도록 대응체계, 직원관리 방법 등을 규정해 놓는 것을 말한다.

위기상황에 업무 연속성 확보와 전자금융거래의 안전성 확보 및 이용자 보호를 위해 이러한 정부의 조치는 타당하다고 여겨진다.

그런데 정보보호 위험관리의 측면에서 예방적인 수단으로 보호하고 있는 회사 내부 환경에서도 보안사고의 잠재위험이 존재하는데, 원격으로 재택근무를 하게 되면 위험수준은 더욱 높아진다.

위험은 조직의 전략적, 업무적 또는 재무적 목표를 달성하는데 영향을 줄 수 있는 불확실한 미래의 사건들을 말하며, 대응책은 잠재위험을 완화시키기 위한 예방적인 수단이라 할 수 있다.

공격방법은 다양하고, 위협은 계속 진화하고 있기 때문에 정보자산의 위협과 취약성은 완전히 제거하기 어렵다. 어떠한 보안대책이나 대응수단을 강구하더라도 위험수준을 제로로 만드는 것은 불가능하기 때문에 잔여위험이 존재한다.

잔여위험을 수용 시 조직의 보안정책과 자산의 민감도, 비용대비 효과, 법 규제 등을 고려해야 한다. 성공적인 보안 프로그램의 핵심요소인 위험관리는 위험을 평가하고 조직에서 수용할 수 있는 수준까지 위험 부담을 줄이기 위한 조치를 강구하며, 그러한 위험을 용인할 수 있는 수준으로 유지하는 것을 말한다.

블록체인 산업분야 국내외 정보보호관리체계(ISMS) 인증을 최초로 취득한 가상자산(암호화폐) 거래소 GOPAX는 코로나19 관련 비상상황에도 고객들의 가상자산을 보호하고 업무연속성을 위한 위험관리 체계를 유지하고 있다. GOPAX에서 보호하고 있는 블록체인 기반 가상자산(암호화폐)은 개인키 하나만 잃어버려도, 해당 개인키의 가상자산을 잃어버릴 수 있는 위험이 존재한다.

블록체인 기반 가상자산의 모든 거래는 사용자의 개인키와 공개키에 의존하여 이루어진다. 사실 가상자산 지갑 안에는 암호화폐가 없다. 지갑은 블록체인 상에 기록되는 거래 트랜잭션 데이터를 생성하고 서명하는 경우에 사용되는 개인키를 보관하고 관리하기 위한 도구일 뿐이기 때문이다.

GOPAX에서 위기상황 시에도 위험관리를 위해 운영중인 정보보호 메커니즘을 대략 소개하면 다음과 같다.

먼저 계층화(Layering)이다. 가상자산을 훔치려면 경비원, 출입통제시스템, 침입차단시스템, 암호화 등을 모두 다 뚫어야 한다. 즉, Work factor(시간, 돈, 노력)의 증가를 유발할 수 있도록 보안통제를 계층화한 것이다.

두번째로 제한(Limiting)이다. 승인된 사람만 접근, 알 필요성의 원칙, 최소권한의 원칙을 적용하고 있다.

세번째로 다양성(Diversity)이다. 각 계층별 통제가 틀려야 한다. 네번째로 모호함(Obscurity)이다. 외부에서는 내부에서 보호해야 하는 모든 정보가 노출되더라도 애매모호하고 혼란스러워야 한다. 마지막으로 단순성(Simplicity)이다.

대응체계가 복잡할수록 오히려 우회할 기회가 많아질 수가 있기 때문이다.

아울러 특정금융정보법의 국회 통과를 코앞에 앞두고 가상자산과 이를 활용한 거래가 금융업에 포섭되어 공신력 있는 안전한 가상자산 거래환경의 선두업체가 되고자 GOPAX의 사무실은 24시간 불이 꺼지지 않고 있다.

백명훈 스트리미 CISO 이사