우리나라 민간 기업연구소들의 정보보안 수준이 크게 미흡하다는 반갑지 않은 소식이다. 한국산업기술진흥협회(산기협)가 최근 대기업 89개, 중소기업 568개 등 657개 기업연구소를 대상으로 실시한 「방화벽 구축현황 조사」 결과에 따르면 조사대상의 23.9%만이 방화벽을 운영하고 있는 것으로 나타났다. 중소기업연구소들의 경우는 더욱 심각해서 전용선을 도입하고 있으면서도 방화벽을 운영하고 있는 비율이 고작 20%에 머무르고 있다고 한다.
기업연구소는 해당기업의 주요 정보가 수집되고 가공되는 기업정보의 보고(寶庫), 즉 싱크탱크의 역할을 하는 곳이다. 이런 장소에 정보 유출에 대한 최소한의 대응시설인 방화벽조차 제대로 운영되 못하고 있다는 것은 개별 기업뿐 아니라 국가 차원에서도 큰 문제가 아닐 수 없다.
이같은 문제는 1차적으로 기업들이 정보보안에 대한 개념이 희박하거나 인터넷 등 정보도구들을 효율적으로 활용하지 못하고 있다는 데서 비롯된다고 볼 수 있다. 최근 세상을 깜짝 놀라게 한 야후와 마이크로소프트 등이 당한 어이없는 해킹사고, e메일을 통해 엄청난 번식력을 자랑했던 러브바이러스 쇼크 등의 원인도 결국은 이같은 문제로 인해 야기됐다고 해도 과언이 아닐 것이다.
과거와 달리 기업의 경쟁력은 이제 특정 기술에 대한 격차보다는 정보의 수집 및 가공 능력에 의해 좌우되고 있는 것이 현실이다. 지난주 한국정보보호센터가 주최한 「정보통신망 정보보호 워크숍」에 참가한 전문가들 역시 한결같이 갈수록 보안사고가 증가할 것이며 심각한 경우에는 기업의 생존을 위협하게 된다는 점을 강조했다. 이런 진단이 크게 보아 국가적 상황에도 적용될 것임은 물론이다.
정보보호의 사전적 의미는 접근을 허가받은 사람이 원하는 정보를 제공받는 것을 말한다. 따라서 정보보호가 제대로 이뤄지기 위해서는 정보에 대한 비밀성(secrecy)·무결성(integrity)·가용성(avaliabilty)이 보장돼야 한다. 즉 비밀성을 위해서는 논리적·물리적 접근통제와 암호화가 필요하며, 무결성을 위해서는 해킹 등 고의적 접근과 비의도적 정보손실 등을 고려한 조치가 따라야 한다는 것이다. 가용성 역시 허가된 사람에 대한 정보제공 과정에서 안정성과 신뢰성을 담보할 수 있어야 한다.
그런 점에서 본다면 정보보호 시설을 제대로 갖추지 못한 기업들이 정부의 강력한 정책적 지원을 호소한 것에도 일면 타당성은 있다. 이번 산기협 조사에서도 드러났듯 예산과 인력이 태부족인 중소기업들의 대처 수준이 대기업들에 비해 상대적으로 낮게 나타나고 있다는 점도 같은 맥락이다.
정보보호와 기술발전의 관계는 마치 창을 막기 위해 방패가 만들어지고 그 방패를 뚫기 위해 더욱 강력한 창이 만들어지는 것과 같은 순환고리의 연장선이라 해도 무방할 것이다. 이는 방화벽이나 암호키와 같은 물리적·논리적 수단도 중요하지만 궁극적으로는 국가 차원의 정책적·체계적 관리가 더 중요하다는 것을 강조하는 대목이기도 하다. 정부는 하루바삐 세계적인 추세에 발맞춰 강건한 정책을 수립하고 보호대상을 선정해서 위험요소들을 평가하고 관리하는 정보보호 표준체계를 마련해야 할 것이다.