[현장에서] 정보보호 첫발은 인식 개선부터

　최근 해킹 및 개인정보 유출, 중요한 산업정보의 경쟁사 및 해외 유출사고가 빈번하다. 기업은 중요 정보자산을 지키기 위한 정보보호에 관심을 기울이고 있다. 외부인이 함부로 들어오지 못하도록 하는 출입통제 시스템을 강화하고, 정보시스템의 안전성을 높이기 위한 고가의 보안장비나 솔루션을 도입하고 있다. 과거에 비해 자사의 주요한 정보를 지키는 데 많은 비용을 지출한다.

　정작 보안사고에서 가장 많은 비중을 차지하고 있는 부분은 우리가 흔히 영화에서 보는 것처럼 해커의 악의적인 공격이나 외부인 침입에 의한 사고보다는 내부 직원의 정보보호 인식 부족으로 인한 관리 소홀 또는 고의적인 정보유출 등이 더 많은 편이다. 그런데도 내부직원의 정보보호 인식을 높이기 위한 정보보호 교육, 적절한 내부감사를 통한 업무관리 등은 시간적 제약이나 업무 효율성 등을 이유로 소홀히 다룬다.

　우리 몸에 난 상처는 즉시 약을 바르고 치료하면서도 잘 보이지 않고 드러나지 않는 몸 내부의 병에는 소홀하기 쉽다. 건강한 몸을 위해서 보이지 않는 내부의 병을 치료하기 위해 건강검진 등 예방활동을 하는 것처럼 기업의 정보보호도 당장 눈에 보이는 부분에 대한 일회성 투자보다는 내부 병을 미리 발견하고 예방할 수 있도록 신경을 써야 한다. 내부직원의 상시적인 정보보호 인식교육, 자사의 정보보호에 대한 정기적인 점검활동 등을 벌이는 것이 중요하다.

　회사 임원진은 정보보호나 보안활동이 생산성 향상에는 도움이 되지 않는다고 생각하는 때가 많다. 많은 비용과 예산이 들어가는 어려운 과제라고 생각하기 이전에 경영진의 관심과 내부직원들이 적극적으로 참여해야만이 정보보호 수준을 향상할 수 있다. 기업의 정보보호 활동은 회사 내부에 보안 의식을 확산시키는 것에서 출발한다.

　김건태 한국정보보호인식 이사 tosea@securitya.kr