김종호 병무청 차장

고대 그리스·로마 신화에 나오는 “트로이목마”에 관한 일화가 있다.
아카이아 연합군은 스파르타의 왕 메넬라오스의 아내 헬레네를 되찾기 위해 트로이와 10년 동안 전쟁을 벌이고도 트로이성을 함락시키지 못한 채 공성전만을 반복하다가 한계에 부딪힌다. 이때 오디세우스가 사람이 숨을 수 있는 거대한 목마를 만들어 트로이성 안으로 침공하는 계획을 세웠고, 트로이는 이를 전쟁의 여신 아테나에게 바치는 제사의 상징물로 간주하여 의심 없이 성안에 들여왔다가 적의 기습에 함락당하게 된다.

트로이목마는 꽤 오래된 이야기이긴 하지만 최근의 정보보안 위협들을 생각해볼 때 시사점이 많다. 해커들은 기관 내부 시스템에 침입하기 위해서 겹겹이 보호돼 있는 외부의 정보보호 시스템과 솔루션을 직접 해킹하려고 노력하지 않는다. 오히려 내부의 권한이 있는 사용자나 관리자들이 트로이목마와 같이 내부시스템을 파괴할 수 있는 숨겨진 파일들을 다운받거나 이용하도록 유도한다. 내부 직원들이 업무 시스템에 손쉽게 접근할 수 있다는 점을 이용하여 악성코드를 숨겨 침투시키고, 기습적으로 시스템을 파괴하는 것이다.

2011년 4월에 장기간(약 18일간) 금융 서비스가 중단되었던 모 금융기관의 대규모 보안사고가 발생하여 많은 국민들의 피해가 발생한 적이 있었다. 이 사고 역시 시스템 접근 권한을 가진 용역업체 직원의 부주의로 인해 발생한 것으로, 업무용 노트북에 악성코드가 숨겨진 파일을 다운받았다가 악성코드가 작동하면서 전산망 서버들이 파괴됐던 것이다.

이렇듯 보안사고는 시스템이 부족하고, 방어체계가 약해서 일어나는 것만은 아니다. 매우 강력한 보안 시스템도 사용 권한이 있는 사람에 의한 사고는 차단할 수 없다. 결국 내부 직원에 의해 발생하는 보안사고는 막을 수가 없으며, 이를 해결하기 위해서는 직원 개개인의 정보보안에 대한 의식 제고가 절대적이라 할 수 있다.

병무청은 어느 기관보다 정보보안의 중요성이 요구되는 기관이다. 국방인력 자원의 기초자료이자 대량의 개인정보를 모아놓은 매우 중요한 자료들을 보유하고 있기 때문이다. 또한 최근 병역의무자들의 신체검사 자료 등 병무청의 보유 정보가 공공데이터 개방 등을 통해 학술연구 및 통계자료로 활용되고 있다. 앞으로도 그 활용성이 더욱 커질 것이 예상되는 상황에서 안정성 높은 정보 제공을 위한 조치가 더욱 요구된다. 따라서 강력한 보안 시스템 구축은 물론이고, 직원들의 철저한 정보보안 의식 또한 뒷받침되어야 한다.

이를 위해 병무청은 직원들의 보안 의식을 향상시키고자 다양한 노력을 기울이고 있다. 용역사업자를 포함한 모든 직원들이 관련 교육을 연 1회 이상 필수적으로 받도록 하여 정보보안의 중요성을 상기시키고 있다. 또한 해킹메일, DDos훈련 등 실전적 사이버 공격 대응 훈련을 매년 실시하고, ‘정보보호 학습의 날’을 매분기별로 지정·운영하여 지침 숙지 등 직원 역량 강화에도 힘쓰고 있다. 올해에는 국가정보원과 함께 전 직원 대상 ‘정보보호 퀴즈대회’를 개최해 최신 보안 동향을 공유하고, 직원들의 관심도를 제고시켰다.

어느 분야든 정보보안의 중요성은 날로 증대되고 있다. 이러한 상황에서 병무청은 다양한 시책 등을 통해 직원들의 보안 의식을 고취하고 있으며, 직원들 역시 단 한 건의 병역자료라도 소홀함 없이 안전하게 관리해야 한다는 마음가짐으로 최선을 다하고 있다. 앞으로도 심기일전의 자세로 철저한 보안 의식을 갖고 업무를 추진하여 보안 무사고 달성을 위해 전력을 다할 것이다.