경쟁력 확보를 위한 기업 정보보호 방안

1. 정보데이터 유ㆍ노출 동향

개인정보, 신용정보 및 산업기밀 등과 관련된 법률의 최근 동향에서도 알 수 있듯이 사회나 고객, 국가는 또 하나의 이해당사자로써의 힘을 발휘하고 있으며 이는 기업 경영진에게 많은 책임이 주어진 상황이다. 이러한 정보보호 환경의 변화는 인터넷 비즈니스의 활성화와 해킹기술의 발전 및 도덕적 해이 등으로 더욱 가속화 되었으며, 특히 정보데이터의 유출과 노출의 빈도를 증가시키고 있다.

기업내부에서 발생 가능한 침해사례를 나누어보면 유출과 노출로 구분할 수 있으며 그 원인은 ‘외부로부터의 해킹’, ‘정보시스템의 기능오류’, ‘악의적인 내부직원으로 인한 유출’과 ‘개발 및 운영 테스트시와 정보시스템의 취약점’으로 인한 노출로 나누어 볼 수 있다.( [표 1] 주요 정보데이터 유ㆍ노출 사례- Oracle 정보유출관련 자료 수정)

[표 1] 주요 정보데이터 유ㆍ노출 사례

이러한 정보데이터의 유ㆍ노출의 경우 영업정보, 기밀문서 등 내부 기밀자료의 공개로 인한 영업손실이 발생하거나, 개인정보의 경우는 민ㆍ형사상의 처벌 및 기업의 인지도 하락 등의 기업 내부적으로나 사회적으로 큰 손실이 발생한다.
또한, 위험요소가 구체적이며 명확하지만 통제는 어려우며, 업무환경 전산화로 인한 대용량의 정보유출이 가능하고, 정보의 처리, 복사, 전송 등의 정보유통의 편리성 증대로 인한 다양한 유출경로가 존재한다. 게다가 실제 유출사고가 발생할지라도 인지가 어려운 상황이다.

2. 기업 정보보호 패러다임의 변화

2.1 기술적 보안에서 관리적 보안으로
초기 정보보호 위협에 대응하는 것은 기술적 패러다임이 중심이 되었던 시기였다. 시스템, 네트워크 등의 접근통제시스템 및 암호기술 등의 기술적 대책으로 정보보호 문제를 해결하고자 하였다. 그러나, 정보시스템 이용이 증가하고 정보시스템 인프라 환경의 복잡도가 높아짐에 따라 기술적인 정보보호 대책만으로는 해결되지 않는 이슈들이 등장하게 되었다.
특히, 낮은 비용으로 높은 효율을 요구하는 경영진과 더 좋은 기능과 사용이 쉽고 편리하기를 원하는 임직원 등 이해당사자 간의 요구사항으로 기술적 보안은 쉽게 적용되지 않았다. 기술적인 대책들을 적용하기 위한 이해당사자를 설득하기 위한 근거나 기준 등이 모호하여 적절한 대책들이 수립되는데 한계가 있었기 때문이었다.
이러한 한계를 극복하기 위해 내부적인 기준을 찾기 시작하였고, 정보보호 정책수립을 필두로 정보보호 전담 조직 창설 및 강화, 정보보호 정책을 현업에 적용하기 위한 절차서 등, 현업에 정보보안을 가이드 하기 위한 관리적 정보보호의 시기가 있었다.

2.2 관리적 보안에서 경영활동으로
한국정보보호 진흥원에서 발간된 자료([표 2] ‘기업 정보보호 관리체계 운용시 주요취약 항목’(한국정보보호 진흥원 정보보호 관리체계 인증자료 편집))에서도 알 수 있듯이 정보보호 관리체계의 수립 이후에도 정보보호의 문제는 끊이지 않고 있다.

[표 2] 기업 정보보호 관리체계 운용시 주요취약 항목

특히, 기업 내부에서는 너무나 강력하여 현실적으로 준수하기 힘들 정도로 불합리하거나, 적용하기 애매한 표현으로 유명무실한 정보보호 정책 등으로 어려움을 겪는 경우가 발생하고 있으며 업무프로세스를 충분히 고려하지 않은 섣부른 기술적 보안대책의 적용 등도 주요이슈가 되고 있다.

3. 기업 정보보호 중점사항

국내외 정보보호에 대한 관심이 괄목할 만큼 증가한 것은 사실이지만 아직도 기업 최고경영진의 보안의식은 걸음마 수준이고, 사업추진 시 ‘비용-기간 단축’이라는 명제 하에 Business Integration 과정의 취약점 통제가 쉽지 않은 상황이다.
이는 조직에게 적합한 정책을 수립하여 집행하는 데에 어려움이 있기 때문이다.
기술의 문제를 뛰어넘어 정보보호를 적용하려는 대상 현업의 반발과 의사결정자의 적절하지 못한 판단으로 정보의 무결성과 기밀성은 보장되지 못한다.
언제나 그렇듯, 최고경영진의 의지가 행동의 근거를 만들고 추진력을 갖게 한다. 그리고 이러한 뜻을 받들어 실행할 조직이 우선이며, 그 다음에 시스템적으로 구현된 기술방안을 적용해야 한다.
침해사고를 경험한 다수의 기업은 주요시스템이 아닌 취약한 주변시스템으로부터의 접근통제가 미비하여 발생하기 때문에 임직원을 포함한 외주인력에 대한 끊임없는 교육 역시 필수적이다.

기업 정보보호의 관리 효과성을 기대하기 위해서는 중점적으로 신경 써야 할 내용은 ‘[표 3]기업 정보보호 관리 중점사항’ 같다.

[표 3]기업 정보보호 관리 중점사항

4. 결언

기업의 정보보호는 실용성과 일관성 면에서 종합적이고 장기적인 접근을 하도록 해야 한다. 경제 상황이 좋지 않다고 해서 무조건 투자를 줄이는 것만이 능사는 아니다. 비용-효과적인 정보보안 대책은 오히려 정보유출 등의 직접 손실을 감소시키고 있으며, 국내ㆍ외 규제 등으로 최고경영층 및 임원급의 정보보호에 대한 책임과 역할 등을 강조되고 있기 때문이다.

더 이상 정보보안은 단편적인 기술적 대응이나 조직의 특정 집단의 문제가 아니라 조직 전체의 문제로 인식해야 하며 조직 구성원의 성숙된 의식과 실행이 중요하다. 정보보호 솔루션 적용과 같은 접근통제(Control)는 물론이고 사업부의 비즈니스 요구사항과 정보보호 관리의 유기적 결합으로, 업무 프로세스에 기반한 일상적인 경영활동의 하나로 통합되어야 한다
이를 위해 정보시스템 운영ㆍ관리 업무로 취급받던 정보보안 업무를 분리하여 지원부서(Staff) 산하조직으로 옮기고, 현업 사업부서(Business Unit)의 업무를 깊이 이해할 수 있도록 도움을 주어야 한다. 더불어 기업의 장ㆍ단기적 관점에서 계획을 갖고 전사적으로 통합, 접근할 수 있도록 하여야 한다.

전사적으로는 정보보호와 관련된 책임의식을 확립하고, 실무적으로는 보안정책과 Security Practice의 격차를 최소화하려는 노력을 바탕으로 기업 문화와 업무 프로세스와의 유연한 결합만이 기업의 경쟁력을 확보할 수 있는 정보보호 대책일 것이다.@