[ET시론]경제 안보를 위한 정보등급화

4차 산업혁명의 흐름은 사물인터넷 기술을 매개로 연결 범위와 깊이가 확대되는 과정에 있으며, 이제까지 수집되지 못한 대량의 다양한 데이터가 분석되면서 개선된 가치는 물론 혁신 가치가 새롭게 창출되고 있다. 이렇게 데이터가 경제활동의 중요한 생산요소로 사용되는 새로운 경제구조 형태를 '데이터 경제'라고 정의하고 있으며, 데이터의 수집·분석·활용에 대한 지속 가능성 확보 노력이 요구되고 있다.

정보학 관점에서 데이터는 가공을 통해(목적 달성을 위한 요약) 정보로 정리되고, 정보 축적과 추론 과정을 거쳐 지식으로 진화한다. 일반적으로 지식은 조직 고유의 특성이 반영돼 다른 조직에서 쉽게 따라가기 어려운 암묵적 형태의 경쟁력으로 발전하게 된다(자원기반이론). 이때 지식은 특정 분야에서의 기술 자체를 포함해(이론적 지식) 기술 활용을 통한 제품(서비스) 생산 역량을 포함한다(경험적 지식).

특히 국가 핵심기술, 산업기술, 첨단 전략기술 등과 같은 국가나 산업적 수준의 기술 지식은 경제·안보 관점에서 다양한 제도를 통해 지원 및 보호되고 있다. 다시 말하면 기술 지식 활용의 극대화를 통한 경제 활성화와 함께 안정성 확보를 위한 보호 체계를 동시에 마련해야 하는 양면적인 상태에 놓여 있다.

경제와 안보가 이분법적으로 나뉠 수 없듯이 데이터 활용과 보호가 동시에 보장돼야 하는 '안전한 활용' 환경을 조성하기 위해서는 데이터 수집·분석 과정보다 현재 보유하고 있거나 앞으로 수집이 예상되는 기술 지식의 분류 작업이 무엇보다 선행돼야 한다. 세부적으로 지식을 구성하는 정보에 대해 중요도에 따른 분류 기준이 마련되어야 한다.

조직이 보유하고 있는 기밀 정보를 제외하고 활용이 가능한 정보(Sensitive But Unclassified)에 다양한 분류 기준을 설계할 수 있다. 우선적으로 정보 자체가 보유하고 있는 고유한 속성에 수평적인 분류 작업이 가능하다. 예를 들어 재무 정보, 인사 정보, 기술 정보, 영업 정보 등을 들 수 있다.

반면에 정보 자체 및 활용 수준에 근거한 중요도에 따르는 수직적 등급화 작업이 이루어질 수 있다. 예를 들어 중요도에 따라 민감정보, 대외비 정보, 공개정보 등으로 정보를 계층화할 수 있다. 그러나 그동안의 정보관리 방법은 정보 활용을 고려한 보호 방법보다는 정보침해 예방 중심의 통제방법 마련에 상대적으로 집중해 온 것이 사실이다. 그렇다 보니 데이터와 정보가 가치 창출의 핵심 요소가 되고 있는 현재의 데이터 경제 흐름에서 다양한 문제가 발생하고 있다.

먼저 조직마다 보유하고 있는 다양한 계층의 정보를 모두 동일 수준으로 보호 체계를 구축하다 보니 시간이 경과하면서 보안 예산이 쉼없이 증가하고 있다. 보안 예산이 비용 아닌 투자로 자리매김하기 위해서는 중요도에 따른 차별적인 보호 체계 구축이 요청된다. 다시 말하면 효과적인 보안 활동 수준을 넘어 효율적 보안 활동으로의 전환이 필요할 때다(경제적인 보안). 반면에 정보 활용 관점에서는 망 분리의 한계성과 클라우드 전환의 어려움이 발생하고 있다. 업무망과 인터넷망으로 구분된 업무 환경에서 필요에 따라 인터넷망에서 전송될 필요가 있는 공개 수준의 업무 정보는 활용에 한계가 있다.

비슷한 흐름으로 클라우드 컴퓨팅 환경에서 클라우드 저장소는 크게 프라이빗 클라우드, 퍼블릭 클라우드 등으로 구분된다. 업무정보를 프라이빗 클라우드에 저장, 업무 이외 정보를 퍼블릭 클라우드로 저장하는 방식은 자원 대응의 민첩성이 담보되는 클라우드컴퓨팅 자원의 효율적인 사용을 어렵게 한다. 따라서 정보를 중요도에 따라 계층화함으로써 덜 중요한 정보는 퍼블릭 클라우드에 저장하고 서비스 상황에 따른 자원 효율성을 극대화할 필요가 있다.

한편 중요도에 따른 정보를 등급화하는 방법으로 이제까지의 정보에 대한 평가는 주로 외형적인 속성에 기초해 정보 보호의 3요소인 기밀성(C), 무결성(I), 가용성(A) 등 관점에서 진행해 왔다. 그러나 이러한 방식은 몇 가지 한계성이 존재한다. 우선 데이터 생산자가 정보 자체에 대한 평가를 진행하여야 하는데 기밀성·무결성·가용성에 대한 배경 지식과 이해도 수준에 따라 상이한 평가가 이루어질 가능성이 있다.

다시 말하면 데이터 자체에 대한 가치평가가 아니라 데이터가 침해를 받지 말아야 하고, 항상 사용할 수 있는 데이터 상태여야 한다는 것 등에 대해 평가자마다 일관성 확보가 어려울 수 있다. 또 기밀성 관점에서 중요도 기준으로 정보를 분류하자는 것이다. 중요도에 대한 구성 요소로서 기밀성이 들어 있다는 것은 결과 변수로 사용되는 중요성이라는 요소를 기밀성이라는 원인변수로 활용하고 있다는 데 한계성을 띤다. 결론적으로 정보의 외형적 속성에 대한 평가를 개인의 주관적 기준으로 처리하기에는 가능하지 않을 뿐만 아니라 바람직하지도 않다. 아무리 경험 많은 전문가라 하더라도 해당 자산이 조직의 가치사슬에 미치는 영향이나 목적 등을 정확히 알고 민감도를 평가하기란 쉽지 않기 때문이다.

중요도에 따른 정보의 계층화 또는 등급화는 중요도 기준 설정과 적용 등의 어려움으로 이제까지 연구 진행의 한계성을 보여 온 것이 사실이다. 그러나 4차 산업혁명의 흐름과 데이터 경제 환경에서 정보에 대한 가치 중심의 안전한 데이터 활용을 위한 정보 등급화 과정은 경제 및 안보를 동시에 담을 수 있는 방향성을 제시할 수 있을 것으로 기대된다.

장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr

〈필자〉중앙대 산업보안학과 교수로서 한국산업보안연구학회장을 지냈다. 현재 4단계 BK21 '사이버 물리공간 청정화 연구사업단' 단장을 수행하며 미래 융합 공간에서의 오염 요소(기술 유출과 탈취, 사이버 범죄 등)를 최소화하기 위한 다학제적 연구를 진행하고 있다. 2019년부터 현재까지 한국공학한림원 기술경영정책분과 일반회원으로 활동하고 있다.