[u미디어포럼]정보자산보호, 경영자 관심이 필요하다

IT강국 대한민국이 과거 어느 때보다 지금 정보보호 문제로 요동하고 있다. 네트워크 컴퓨팅 환경이 비약적 발전을 이루며 개인정보가 신원을 인증하는 수단으로 사용되기 시작하면서 보안사고가 갈수록 증가하고 있으며 이렇게 유출된 정보가 각종 범죄에 이용되면서 2차, 3차 폐해로 확산되고 있다. 또 이에 대처하는 피해자의 반응 또한 기존의 보안사고 때와는 사뭇 다른 적극적 양상을 띠고 있다.

기존의 해킹이 특정 기업이나 국가기관을 대상으로 해킹 자체에 목적을 두었다면 최근은 범위가 개인으로, 물적 자산으로 확대되고 있으며 철저하게 금전적인 목적을 달성하기 위한 것으로 변화하고 있다.

이렇듯 정보보호 피해가 보다 고의적이고 악의적인 성향을 띠게 됨에 따라 피해자 역시 적극적으로 대응을 하고 있어 개인정보를 다루고 있는 포털 등 여러 기업 역시 대응과 자구책에 고심하고 있는 형편이다. 개인정보 유출 피해는 해당되는 개인뿐만 아니라 개인정보를 유출한 기업에 외형적인 이미지 실추를 안겨줄 뿐만 아니라 피해자 집단소송으로 이어져 유무형의 금전적 손해를 끼치고 있으며 더 나아가 사업권마저 위협받는다.

이러한 상황전개를 볼 때 개인정보는 더 이상 단순한 정보가 아닌 자산으로서 그 가치를 인정받고 있는 것이다. 그렇다면 정보 자산을 지키기 위해 기업은 어떠한 접근법을 가져야 할 것인가.

기업의 전통적인 보안강화 방법은 호스트나 서버 등의 네트워크 보안 장비를 도입하고 장비를 관리하는 것에 초점이 맞춰져 있었다. 그러나 지금 웹과 문서 등의 다양한 경로를 통해 사용자의 정보가 원하지 않는 방법에 의해 새어나가고 있는 것이 현실이다. 이를 감안할 때 보안이 이제 특정 제품 및 솔루션을 구입하는 일회성 작업을 의미해서는 안 될 것이다.

‘보안은 사슬과 같이 연결돼 있으며 그중 가장 취약한 고리만큼 위험이 존재한다’는 말이 시사하는 것과 같이, 하나의 보안솔루션을 도입하고 그치는 시대는 지났으며 조직의 업무적 특성을 고려해 보안관점에서 예측하고 실행하며 평가를 내리는 이른바 통합된 보안관리 및 통제 노력이 그 어느 때보다 필요한 시점이라 하겠다.

줄어들지 않는 보안사고 사례는 기업의 정보보호 수준이 개선되지 않고 있다는 방증이기도 하다. 기업의 보안수준을 개선하기 위해서는 전문적인 보안컨설팅을 통해 보안문제에 체계적으로 접근해야 한다. 반복되는 문제에서 벗어나 보안수준을 개선하기 위해서는 무엇보다 ‘측정’이라는 정량적 정보보호 관리 지표가 필요하다. 국제표준으로 추진 중인 ISO 27004, 미국표준 SP800-55, 그리고 대한민국의 국가 정보보호 수준평가, 공공기관의 개인정보보호 수준 측정 지표 등이 그 좋은 예다.

기업은 우선 조직 내 보호해야 할 자산이 무엇이고 그것이 어떠한 가치를 지니는지를 알아야 한다. 기준대비 평가를 통해 그 취약점 및 위험도를 파악하고 종합적이며 관리적인 전략적 노력을 기울여 기업이 허용하는 가능 수준 이하로 유지할 수 있기 때문이다.

기업은 전문적인 컨설팅과 지표관리를 통해 조직의 정보보호 관리체계를 체계적으로 수립함으로써 보안수준을 근본적으로 개선할 수 있다. 경영자는 정량적 성과 측정치로 정보자산을 종합적 시각에서 분석, 식별할 수 있는 눈을 갖추게 됨으로써 보다 효과적인 의사 결정을 할 수 있게 된다. 보안관리자 역시 지표를 통해 보다 체계적인 통제가 가능하며 명확한 목표수준을 정의할 수 있다.

기업은 측정 가능한 지표를 수립함으로써 기업보안의 약한 사슬을 최소화할 수 있다. 기업이 목표치를 달성하기 위한 정책을 도출하고, 정책을 뒷받침하는 세부적 지침을 수립하며, 지침을 실행하기 위한 프로세스를 진행하는 과정에서 보안수준을 지속적으로 개선할 수 있기 때문이다.

국제적 수준에 부합하는 체계적 지표를 통해 정보를 관리하는 기업이야말로 IT강국 대한민국을 이끌고 국제사회에서도 돋보이는 진정한 역군이다.

　김종선 시큐아이닷컴 사장 cskim7@samsung.com