[CIO BIZ/핫이슈]데이터 보안 인증 도입의 의미

데이터 관련 보안 사고를 보면 과거에 비해 최근 몇 년 동안 보다 집중적으로 발생하고 있다. 보안 사고는 대체로 담당자나 해당 조직의 안일한 준비와 대응이 매우 크게 작용한다. 공격자의 기술력이 나날이 향상되고 있고, 복잡한 기술 환경에서 내부로부터 데이터 유출 위험성도 그만큼 증가했다. 그러나 해당 조직이 이에 대한 위험성을 인지하고 체계적으로 준비하기에는 관련 전문 지식이나 전문 인력을 확보하는데 어려움이 많다.

행정 기관과 전문 기관은 공공 부문과 민간 보안 강화 목적으로 법제도 정비와 보안 체계 구성을 지원하고 있다. 가이드·해설서와 지원 제도 운영 등 다양한 시도와 정책을 도입해 운영한다. 하지만 보안 적용 범위가 워낙 넓고 기술적 복잡성과 함께 대상 조직의 특성이나 환경적 다양성이 만만치 않아 의도한 성과를 거두기 쉽지 않다.

한국데이터베이스진흥원은 2011년에 데이터베이스 보안 가이드라인을 준비해 배포했다.

2012년에 들어와 `데이터 보안 인증` 제도도 마련, 운영하고 있다. 개인정보보호법이나 정보통신망법 등 각 기관이나 업계 적용되는 많은 특별법으로 정보보호에 대한 인식 제고와 체계 정비가 이뤄져 왔다. 심도있게 데이터 보호 방안을 다룬 가이드가 제시돼 개인정보를 비롯한 많은 중요 데이터를 보관하는 공공과 민간에서 관심을 받았다.

데이터 보안 인증은 DB접근제어, 데이터 암호화, DB작업결제, DB보안 취약점분석의 요소로 구성돼 있다. 그러나 데이터 보안 인증 취득이 데이터 보호 수준의 완벽성을 입증하는 것은 아니다. 데이터를 보호할 수 있는 준비가 됐다는 것이다.

`준비된` 것을 잘 운영하면 그 만큼 효과를 거둘 수 있지만, 준비가 됐더라도 막상 그것을 제대로 운영하지 않으면 아무 소용이 없다. 심사를 하다 보면 데이터 보호를 위한 솔루션을 도입해 놓고도 관련 담당자 실수나 과중한 업무로 관리 소홀 등 문제가 발생되는 경우가 있다. 관련 전문 지식의 부족 등 운영 상 문제를 일으키는 요인이다. 이런 의미에서 데이터 보안 인증은 `끝` 이 아니라 `시작`임을 분명하게 인지해야 한다.

박상용 한국데이터베이스진흥원 인증심사원 roseflavor@paran.com