수년 전부터 학교의 담장을 허무는 움직임이 서서히 진행되고 있다. 부드러움과 넉넉함을 주는 시각적인 효과뿐만 아니라 이웃 주민들에게 운동장을 개방해 지역사회와 공감대를 형성하는 등 실질적인 효과도 얻고 있다.
여기서 주목할 만한 내용은 담장을 헐기로 결정하는 과정에서 보안문제나 훼손 가능성 등 여러 가지 부작용이 우려됐을 텐데도 불구하고 운동장을 개방하기로 결정한 것은 학교건물 자체에 대한 보안을 강화한 결과 가능했을 것이란 사실이다. 나아가 학교의 전반적인 보안활동을 더욱 효율적으로 진행하는 동시에 운동장 개방의 긍정적인 효과까지 거두게 된 것이다.
마찬가지로 정보보호업무를 체계적으로 수행하면 각 기업과 기관에서는 더욱 안정적이고 효율적인 경영활동을 수행할 수 있게 된다. 그러한 의미에서 정보보호는 경영활동의 일부분으로서 꼭 해야 하는 업무라고 확신한다.
지금까지는 정보화 추진단계에서 정보보호의 필요성이 부각되지 않았고 이에 따라 정보시스템의 결함 가능성이 제기되어 왔다. 그 결과 취약점이 사후에 지적되고 대외신뢰도가 저하되며 경쟁력이 떨어지는 경우가 종종 발생했다.
그럼에도 불구하고 정보보호업무를 불필요하거나 효율성을 저하하는 불편한 업무로 생각하고 이에 대해 대비하지 않는다면 추후 더욱 더 많은 업무와 비용이 발생하게 될 것이다.
따라서 정보화 진전에 따라 자발적으로 공개할 정보는 적극적으로 공개하되 보호해야 할 정보는 적극적으로 보호해야 한다.
최근 국내 기업들의 핵심기술 유출에 따른 피해가 해마다 급증하고 있다는 보도가 있었다. 98년부터 올해 8월까지 적발된 사례만 51건이고 그 예상 피해액이 44조원에 이르는데, 적발되지 않았거나 발표되지 않은 사례까지 더하면 피해액은 훨씬 클 것이라는 분석이다. 또 2003년 전세계 피해규모 자료 중 악성코드에 의한 피해를 계산한 보수적인 추정치인 550억달러에다 1·25 인터넷대란의 감염률 12%를 곱하면 지난해 우리나라 피해 규모가 7조8500억원이라는 계산도 나왔다.
얼마 전에 개최된 세계지식포럼에서도 ‘지식은 경제 안보 측면에서 무기가 될 수 있다’는 언급이 있었으며 그 때문에 세계 지도자들이 지식관리의 중요성을 깨닫고 있음이 확인됐다. 이러한 면에서 정보보호업무는 경영활동의 일부분이라고 할 수 있다.
경영활동은 위험관리의 연속이라고 할 수 있는데, 관리의 대상이 되는 위험의 내용을 일반적으로 생산·판매·채권회수·재고·투자·연구개발·인력 등으로 분류하기도 한다. 그러나 기업 내 모든 경영활동이 컴퓨터시스템을 통해 이루어지고 있는 요즘은 정보보호 자체가 위험관리의 대상인 것이다.
따라서 업무를 진행하고 정보를 안전하게 주고받는 데 지장이 없도록 전산시스템을 잘 운용하는 측면뿐만 아니라, 생성되고 저장되어 있는 정보를 잘 관리하는 업무 또한 경영활동의 일부분이라고 할 수 있다. 위험수준을 수용가능 수준으로 관리하기 위한 위험관리의 일부분으로서 ‘정보보호경영’ 개념 확립이 필요한 것이다.
이러한 정보보호업무를 체계적으로 수행하는 경우, 먼저 경영활동의 안정효과를 기대할 수 있다. 마치 축구경기에서 수비가 안정돼야 적극적이고 효과적인 공격을 펼칠 수 있는 것처럼 단위조직과 기업 내에 축적된 정보가 잘 관리되고 있다는 확신이 있어야 정보의 생성과 교류 및 활용이 극대화될 수 있는 것이다.
또 정보보호업무를 잘 수행하면 외부 고객으로부터 신뢰를 얻어 활발하고 지속적인 거래관계가 이루어질 수 있다. 개인정보 및 거래 내용이 모두 전산시스템을 통해 이루어지고 관리되는 측면에서 정보보호는 고객을 위해서도 필수적이다.
이처럼 정보보호는 정보화 역기능을 방지한다는 마이너스 방지의 측면도 있지만 경영효율성을 높여주는 플러스 측면에서 접근하는 자세가 필요하다.
<백태종 에이쓰리시큐리티컨설팅 사장 tjb@a3sc.co.kr>