;)
;)
주진수 알스퀘어 보안팀장
이미지 확대보기
지난 4월 결혼정보업체 듀오에서 회원 42만여 명의 정보가 유출됐다. 이름·연락처 같은 기본 정보를 넘어 체중, 혼인 경력, 종교, 심지어 계좌 잔고와 부동산 보유 내역까지 빠져나갔다. 충격적인 건 공격의 정교함이 아니었다. 정부가 권고한 암호 알고리즘을 쓰지 않았고, 탈퇴한 회원의 정보를 파기 기한이 지나도록 그대로 쌓아뒀다. 지켜야 할 원칙을 지키지 않은 것, 그게 전부였다. 개인정보보호위원회가 부과한 과징금은 약 12억 원. 그러나 진짜 손실은 숫자로 환산되지 않는다. 한 번 금이 간 신뢰는 좀처럼 되돌아오지 않는다.
상업용 부동산 데이터는 민감도가 다른 차원에 있다. 거래 내역, 임대 조건, 가격 정보, 고객 신원이 한 데이터베이스 안에서 뒤섞인다. 유출이 문제가 아니다. 데이터가 변조되거나 누군가 의도적으로 오판을 유도하는 방향으로 손을 댄다면 시장 자체가 흔들릴 수 있다. 그래서 설계의 출발점은 늘 같다. 이 데이터가 결합될수록 민감도는 올라간다는 전제, 그리고 그에 맞는 단계별 통제다. 최소권한 기반의 접근 관리, 로그 중심의 이상행위 탐지, 사고 발생 시 즉각 가동되는 대응체계가 동시에 맞물려야 기밀성·무결성·가용성이 함께 지켜진다.
기술 체계는 계속 손봐야 한다. 외부 위협 차단을 위해 클라우드 방어 설루션 위에 별도 웹애플리케이션방화벽(WAF)를 얹어 이중·삼중 벽을 쌓았다. 내부적으로는 임직원들이 생성형 AI 서비스를 쓸 때 민감 데이터가 새어나가지 않도록 정책과 가이드를 운영하고 있다. 공격 도구가 진화하는 속도를 방어가 따라가야 한다. 멈추는 순간 뒤처진다.
그래도 기술이 전부라고 생각한 적은 없다. SANS Institute의 2025 보안 인식 보고서는 여전히 가장 위험한 취약점이 '사람'이라고 말한다. 내 경험도 다르지 않다. 원격의료 플랫폼에서 일하던 시절, 고객센터 직원들이 처방전을 직접 처리해야 하는 상황이 생겼다. 교육을 반복했고, 매주 보안 콘텐츠를 돌렸고, 캠페인을 펼쳤고, 클린 데스크를 점검했다. 결과적으로 단 한 건의 의료 정보도 밖으로 나가지 않았다. 그 경험이 나에게 가장 선명하게 남아있는 이유는, 그게 장비도 설루션도 아닌 사람이 만들어낸 성과였기 때문이다.
요즘 경계하는 위협은 AI로 무장한 소셜 엔지니어링이다. 피싱 메일이 달라졌다. 예전처럼 어색한 문체나 엉터리 번역이 아니다. 맥락이 있고, 말투가 자연스럽고, 보낸 사람이 아는 사람처럼 보인다. 클릭 한 번이 훨씬 쉬워졌다는 뜻이다. 기술적 방어가 촘촘해질수록 공격은 사람을 향한다. 조직 구성원 한 명 한 명의 감각이 결국 마지막 방어선이다.
3년 뒤를 그릴 때 세 가지를 본다. 데이터가 생성되고 쓰이고 사라지는 전 과정을 꿰뚫는 흐름 중심의 보안 모델, 지금의 즉시대응시스템을 24시간 무중단 처리 체계로 키우는 일 그리고 외부에서도 인정받는 보안인증체계의 확장이다.
신뢰는 선언이 아니라 관리에서 나온다. 듀오 사고가 남긴 질문은 간단하다. 당신의 조직은 알고 있는 원칙을 지키고 있는가. 보안이 누군가의 전문 영역이 아니라 조직 전체의 습관이 되는 날, '관리되는 신뢰'는 비로소 실체를 갖는다.
