[디지털데일리 최민지기자] 연이은 해킹사태에 커지는 국민 불안을 해소하기 위해, 정부가 ‘해킹과의 전쟁’을 선포하며 대응에 나섰다. 정부는 각 기업 보안책임자뿐 아니라 최고경영자(CEO)가 관심을 기울일 수 있도록, CEO 최종 서명이 담긴 정보자산 점검 현황을 조만간 제출받을 예정이다.

24일 업계에 따르면 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)은 전날 주요 정보보호최고책임자(CISO)들과 만나 각 기업 CEO에게 최종 서명을 받은 정보자산 현황을 제출하는 방안을 공유했다. 나아가 기업에서 진행한 취약점 점검을 비롯해 대응 계획을 CEO를 통해 보고받을 수 있도록 하겠다는 계획이다.

업계 관계자는 “이 자리에서 정부는 단기적으로 각 기업이 자산식별을 진행하고, 이를 점검하는 방안을 최우선으로 진행하겠다고 발표했다”며 “특히, KISA는 정보자산 식별·점검 현황을 CEO에게 서명을 받아 정부에 제출하는 안을 제안했다”고 설명했다.

관련해 이날 류제명 과기정통부 제2차관은 각 기업에 대해 자사의 주요 정보자산을 명확히 파악하고 이에 대한 취약점 분석 등 자체 보안 점검을 철저하고 신속하게 실시해 과기정통부에 회신할 것을 요구했다.

사이버공격자들은 취약점을 악용해 각 기업·기관에 침투해 주요 정보를 탈취하고 시스템을 장악하고 있다. 공격자들이 활용하는 접근 경로는 이미 잘 관리되는 자산이 아닌, 기업과 기관이 파악하지 못한 자산 또는 감시와 통제 영역에서 벗어난 쉐도우IT(Shadow IT)를 통해 이뤄지는 경우가 상당수다.

더군다나 IT 인프라가 복잡해지고 다양한 공급망 환경에 놓이면서, 기업이 전체 자산을 파악하기도 쉽지 않은 상황이다. 자산관리 시스템을 갖춰서 체계적으로 가시성을 확보해야 하지만, 아직도 엑셀 등으로 자산을 관리하는 곳도 허다하다. 이러한 틈을 노린 공격자는 보안 조치가 취해지지 않은, 기업이 보지 못한 자산을 공격 통로로 이용하고 있다.

이 때문에 자산을 식별하고 가시성을 높여 공격자가 노릴만한 경로를 차단하는 것이 점점 더 중요해졌다. 문제는, 아무리 CISO라도 일개 보안부서에서 전체 정보자산을 관리하고 점검하는 데 한계가 있다. 정보자산은 보통 보안부서보다 상위에 있는 IT부서에서 담당하고 있는데다, CEO와 최고재무책임자(CFO) 등 주요 경영진 의사결정이 우선시되는 상황이다.

이에 정부는 기업 대표가 실질적인 책임자로 인식할 수 있도록, 단기적으로 진행해야 할 정보자산 식별 등에 CEO 책임을 명문화하겠다는 의지를 드러낸 셈이다. 이는 단기과제인 만큼, 과기정통부는 기업들로부터 해당 내용을 빠르게 회신받을 예정이다.

이와 관련 또다른 업계 관계자는 “해커들은 비핵심 자산인 쉐도우IT에서 발생하는 취약점을 노리고 있으나, 이에 대한 권한은 보안부서가 아닌 IT부서에 있다”며 “정부에서 CISO에게 책임과 역할을 준다고 해도, 한 기업의 직원인 만큼 CEO와 CFO를 비롯해 주요 부서 등과 협의 절차를 거쳐야 해 즉각적인 보호 활동에 제약이 생길 수 있다. 보안영역에 CEO가 들어와야 한다”고 강조했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -