[이석우 대표이사/사장] 암호화는 문화다!
아래 글은 한글 CPO포럼에 펜타시큐리티이석우 대표이사/사장의 기고문 전문입니다.
암호화는 문화다!
최근 개인정보보호에 대한 요구가 급성장하면서 여러 가지 보안기술이 관심을 받고 있다. 그 중에서도 많은 관심을 받고 있는 기술 중에 하나가 바로 암호화이다. 필자의회사가 DB암호화를 국내에서 가장 먼저 시작한 회사이기 때문에 주변에서도 암호화에 대한 많은 질문을받게 된다. “암호화하고 나면 시스템을 쓸 수 없게 되는 거 아니냐?”,“암호화한다고 보안은 나아지는 것이 없는 거 아니냐?” 와 같은 암호화에 대한 두려움이나무용론 관점에서 질문하시는 분들도 상당히 많다. 과연 그럴까?
암호화를 보안 관점으로 두고 답하자면, “그런 일은 있을 수 없다”가 정답이다. 하지만, 암호화를‘Encoding/Decoding 기술’ 또는 ‘데이터 가공 기술’이라는 제한된 관점으로 바라본다면, 위 질문에 대한 답은 “기술을 어떻게 적용하냐에 따라 다른 결과가나옵니다. 따라서 잘못 적용하면 그럴 수도 있지요”라는 식의경각심을 주는 답변이나, 따라서 무슨 기술을 써야 한다느니, 무슨제품을 써야 한다느니 와 같은 컨설팅이나 홍보 식의 답변으로 이어지게 된다. 오늘 이 컬럼을 통해서암호화 방법론이나 문제 해결 절차와 같은 필자의 노하우를 전개하고 싶은 것이 아니다. 암호화를 어떻게바라볼 것인가에 대한 근본적인 물음에 대한 답을 이야기하고 싶다.
결론부터 말씀 드리자면, 암호화는 ‘문화’이다. IT시스템이 기업이나 조직의 핵심 시스템인 곳이라면, 더욱 그렇다. 정보보안 제품을 만드는 필자와 같은 사람에게 암호화는정보보안의 시작과 끝을 장식하는 핵심기술이다. 하지만, 기업이나조직의 중요한 정보를 관리/통제되어야 하는 관점에서 암호화는 ‘안전한정보 관리’를 위한 문화의 시작점이다. 마을의 구성원 모두가하나의 공동체이던 시절에 대문을 잠가두지 않고 지냈지만, 현 시대에 와서는 아파트를 선호하는 큰 이유중 하나가 보안인 것과 같이, 우리는 보안이 IT시스템 기본적인요소가 되는 시대적 변화를 맞이했다. 알맞은 정보를 잘 공개하고, 통제된상태로 공유하기 위해서 보안은 너무 중요한 요소이다. 1차적으로 잘 관리되어야 하는 대상, 즉 중요정보가 무엇인지를 식별해야 한다. 이것을 하지 못한다면, 셀 수 없이 많은 자물쇠와 문을 만들어 달아야 할 것이다. 이 수준은벗어나서, 꼭 보호/관리해야 하는 중요 정보가 식별이 된다면그 다음 무엇을 해야 할까? 그건 바로 암호화이다. 불과 3~4년전만 해도 개인정보인지 중요정보인지 식별하지 않고, 막무가내로 DB내에 저장하고, 심지어 키 값으로 사용하는 것이 우리의 IT시스템 개발 문화였다. (여기서 ‘키’란, 암호화/복호화용 키가 아니라, DB를 디자인할 때 적용하는 검색용 키를 지칭한다. 이하 암호화 키와 검색용 키라고 구분하여 적겠다.) 특히 주민번호같은 경우, IT시스템 개발자에게 너무나 감사한 정보가 아닐 수 없었다. 유일하게 구분되고, 자리 수 하나하나가 의미가 있고, 국민 누구나 가지고 있는 식별자를 정부가 만들어 주었으니……
암호화를 적용하는 순간 IT시스템 개발자, 운영자, 관리자에게 어떤 일이 일어날까? 개발자는 더 이상 개인정보와 같은 중요정보를 검색용 키 값으로 사용하는 일을 감히 시도하지 않게 된다. 게다가 개인정보와 같은 중요정보와 부가적인 속성 정보를 명확하게 구분한 채 시스템을 설계하게 된다. 운영자는 외부 시스템과 데이터를 주고 받는 연동 부분을 협의할 때, 암호화된정보를 어떤 절차로 복호화해서 줄 것인지, 복호화해서 주지 않는다면 암호화 키를 어떤 권한 부여 절차를거치도록 할 지 고민하지 않을 수 없다. 관리자는 개인정보가 다루어지는 시스템과 그렇지 않은 시스템을구별하여 관리하지 않을 수 없게 된다. 이러한 예는 빙산의 일각이다.근본적으로 개인정보와 같은 중요한 정보를 암호화하게 되는 것은 데이터 관리 부분에서 기업과 조직에 혁명적인 변화와 자극을 주게 된다. 시스템 설계 단계부터 개인정보를 분류하게 되고, 개발자 가이드와운영자 가이드까지 변화되지 않을 수 없게 만든다. 관리적 부분의 변화부터 기술적 변화까지 정보보호를위한 문화적 혁명을 시작하게 하는 것이 바로 중요정보를 암호화를 적용하는 일이다.
필자가 서두에 “그런 일은 있을 수 없다”라고 언급한 이유는, 보안 관점에서 암호화는 시작점이지 완성체가 아니기때문이었다. 암호화는 단순한 데이터 가공이 아니라, 그 이후새로 만들어질 중요정보의 라이프사이클에 어떻게 암호화를 적용할 것인지, 암호화된 데이터를 어떻게 관리할지에대한 프로세스 수립 등을 동반하게 만든다. 그렇지 않으면, 암호화는보안이 아니라, 시스템 구축과정에서 사용한 한가지 기술일 뿐이기 때문이다. 이 글을 읽는 CPO께서는 정보보호에 대한 IT 문화혁명을 트리거하고 싶다면 암호화를 적용할 것을 권장하고 싶다. 이미존재하는 시스템과 이미 보유하고 있는 대량의 개인정보를 포함한 중요 데이터를 부드럽게 암호화 가공하고 싶다면, 이부분은 전문 회사들과 상의하거나, 사내 보유한 전문가의 기술적 지혜를 찾으면 해결할 수 있다. 하지만, 기업과 조직내의 IT시스템개발 문화, 운영 문화, 관리 문화를 변화시키는 일은 누가대신 해 줄 수 있는 일이 아니다. 특히 IT시스템이 기업과조직의 경쟁력이고 중요한 핵심요소인 곳일 수록 기존과 완전히 다른 높은 수준의 정보보호 문화가 필요하다. 그렇다면, 뼈 속까지 변화하지 않을 수 없게 만들 구호를 제안하고 싶다. 그것은바로, “정보보호는 문화입니다. 문화혁명의 시작은 중요정보의암호화에서부터!”이다.