10년 전 명함에는 이메일주소가 없었다. 따라서 이메일을 통한 내부정보유출방지의 개념조차 없었다. 그 때 선도적으로 이메일을 비롯한 메시지기록관리 시스템을 설치한 한 연구소가 있었다. 그만큼 지킬 것이 많고 세계적으로 앞서가던 기업이기 때문에 만일의 경우를 대비한 것이라고 할 수 있다. 기업 측은, 대부분 연구원은 선량하다고 믿지만, 단 한명이 유혹에 넘어갈 경우 모두의 노력이 물거품이 될 수도 있기에 이러한 시스템을 설치한 것이었다. 그러나 바로 그 선량한 다수 연구원들이 기업의 의도를 오해했다. 연구원들은 입을 모아 말했다. “내 메일을 왜 회사에서 보관하느냐? 사생활 침해이며 무조건 기분 나쁘다.”

그 동안 많은 내부정보유출 사고·사건사례를 접해왔다. 필자의 고객들은 정말 지킬 것이 많은 일류기업이거나 아니면 내부정보유출사고를 겪고 큰 피해를 본 기업들이다. 10년 전만 해도 내부자유출은 모두가 쉬쉬하는 사건으로 기사화되지도 않았는데 이제는 언론에서 대서특필하는 국익과 관계된 문제가 되고 있다. 정보유출은 한번에 이뤄지지 않으며, 사전낌새가 있다가 커지게 된다. 따라서 기록관리 시스템을 잘 갖추고 관리하면 사전에 막을 수 있으며, 유출된 후에도 사후추적과 대응을 통하여 대형피해를 막을 수 있다. GE는 기업투명도 테스트로 뉴스페이퍼 테스트를 한다고 한다. 신문에 공개해도 될만한 일인가 하면 시행하고, 숨겨야 하는 일이라면 하지 않는다는 것이다. 필자 역시 회사에서 하는 모든 업무는 공개해도 떳떳하다는 마음으로 일하고 있다. 부끄럽고 숨겨야 할 일이 없다면 기록관리 시스템은 문제가 되지 않는 것이다. 

지금도 기업내부의 정서는 변하지 않았다

한국은 10년 동안, 지킬 것이 많은 선진국이 되었다. 그러나 변함없는 것이 있다. 이메일 기록관리 시스템을 설치할 때 발생하는 직원들의 반발이다. 우리나라 기업들은 서구에 비하여 인간적인 끈끈한 정을 중시하는 만큼 기업들은 기록관리 시스템을 설치하기 전, 늘 직원들의 반응을 살피며 많은 기업이 직원들의 눈치를 보느라, 당연히 필요한 상황에서도 기록관리 시스템을 포기한다. 지금도 10년 전처럼 한명의 기밀유출로 피해를 볼 수 있는 대다수의 선량한 직원들이 입을 모아 말하고 있다. “내 메시징 내용을 왜 회사에서 보관하느냐? 사생활 침해이며, 무조건 기분 나쁘다.”

내부정보유출방지의 가장 대표적 경로는 이메일을 비롯한 네트워크 메시지

내부정보가 유출되는 대표적인 경로가 이메일이다. 기업에서 공식적으로 사용하는 이메일 계정 뿐 아니라 개인들이 사용하는 웹 메일 계정, 인터넷강국답게 종류만 30종에 달하는 메신저, 우회통로, 프락시, 터미널, P2P, 웹하드, 웹게시판, USB 등 이동식 저장장치, 출력물 등의 다양한 통로를 통해 내부정보가 유출된다. 보안대책을 세우지 않으면 유출했다는 아무런 흔적을 남기지 않은 채 빛의 속도로 수 GB의 정보가 회사 밖으로 유출되고 있는 것이다. 

국정원이 발표한 2007년 5대 정보유출사고, 행위자는 모두 내부직원

김만복 전 국정원장은 국정감사에서 “올해 자동차 핵심기술과 조선기술 중국유출 사범 등 모두 27건 100명의 산업스파이를 적발했다”며 “이들이 유출하려던 기술은 79조7,000억 원 상당으로 매우 심각한 수준”이라고 말한 바 있다. 올해 가장 위험했던 산업기술 유출 5대사건은 조선기술, 와이브로 기술, 반도체, 군사무기, 자동차 등이 포함되며 모두 내부직원이 개입돼 있는 것으로 나타났다. 상식적으로 내부직원이 개입되지 않고 대규모 정보유출은 발생할 수가 없다. 유출수단은 외장하드디스크, CD, 그리고 대부분이 이메일이었다. 클릭 한번으로 몇 조원대의 정보가 바로 빠져나가는 것이 오늘날 지식강국 한국의 현실이다. 아직도 그렇다.

기록관리로 기업의 투명성과 선의의 직원들을 지킨다

기록관리 시스템은 빅브라더처럼 직원들을 감시하기 위하여서가 아니라 기업과 직원 모두에게 엄청난 손실인 기밀유출을 막기 위해 존재한다. 또한, 기록관리 시스템은 철저한 원칙 하에서 투명하게 운영되어야만 한다. 기업 내에서 몇 조원 가치의 지식을 창조한 사람은 누구인가? 10년간 연구해온 지식을 누군가 유출해버린 후, 추적 자체조차 불가능한 상황이 온다면 타격을 입을 사람은 누구인가? 바로 월화수목금금금으로 연구해온 연구원들이다. 악의를 가진 한명의 직원으로부터 선량한 대다수를 지키는 최소 안전장치가 바로 기록관리 시스템인 것이다.

문서보안만으로 충분하지 않은가? 라고 직원들은 말할 수도 있다

내부정보유출방지에는 크게 두 가지 방식이 있다. DRM으로 대표되는 문서보안은 문서 자체에 암호를 걸어놓아 만일 외부로 유출된다 해도 못 보게 하는 보안형태다. 기록관리 시스템은 이메일, 메신저 등의 네트워크, USB 등의 이동식저장장치, 출력물 등의 유출경로로 무엇을 내보냈는지 기록하는 방식이다. 문서보안은 상대적으로 고가의 시스템이다. 그룹웨어나 인트라넷과 통합과정을 거쳐야 하는 장기 프로젝트이며 암호화·복호화가 사용자의 PC단에서 일어나므로 사용자 부담도 상당하다. 헬프데스크도 두어야 한다. 상대적으로 기록관리 시스템은 구축비용과 시간소요가 적고 PC단에서의 작업이 없으므로 사용자 부담도 적다. 두 방식은 각각의 효과가 있으며 병행되어야 하는 보완적 시스템이다. 그러나 많은 기업들이 더 높은 투자비용을 감수하면서 문서보안 도입은 편안히 여기고 기록관리 시스템 도입은 껄끄러워한다. 바로 “왜 내 메시지내역을 회사에서 기록하느냐”는 사생활침해 논쟁을 안 겪어도 되기 때문이다. 보안 시스템을 도입하는 실무자 역시 내부직원이다. 그들은 동료들이 “내 사생활을 침해하는 것이냐”라는 식의 눈총을 받을까봐 몹시 두려워하며 애써 진실을 외면한다.

내부정보유출방지를 위해서라면 기록관리가 반드시 함께 가야 한다

만일, 암호를 풀 권한이 있는 내부직원이 암호를 풀어서 유출시키면 어떻게 되는가? 누가 무엇을 유출시켰는지 흔적조차 남지 않게 되며 기업은 기업기밀이 나갔는지 현황파악조차 못하게 된다. 큰 사고에는 반드시 핵심직원이 개입되어 있고, 그 직원에게 문서보안은 큰 걸림돌이 되지 않을 수도 있다. 예를 들어서, 2005년의 연예인X파일 유출사고를 보자. 그 문서는 과연 사고로 유출되었을까? 아니면 복호화 권한이 있는 내부직원이 친구들에게 보여주려는 의도로 유출시켰을까? 상식적으로 생각해봐도 금방 답이 나오는 문제이다. 문서보안은 문서가 사고나 분실에 의하여 유출된 경우에 효과적이다. 만일, 기업이 권한 있는 내부직원의 의도적인 유출을 대비하고자 한다면 기록관리 시스템이 반드시 병행되어야만 한다. 비유를 한다면 기록관리는 마치, 경비실처럼 네트워크상에서 사내에서 사외로 나가는 경계선을 지키고 출입관리를 하는 것이다. 문서보안은 재산들을 잘 포장하여 자물쇠를 잠가놓는 형태이다. 보안에서 더 기본이 되는 것은 사내와 사외의 경계선을 지키는 것이라고 할 수 있다.  

중소기업은 직원의 클릭 한번으로 주저앉는다

대한상공회의소 조사에 따르면 국내 매출액 1,000대 기업에서 내부직원이 기밀유출을 시도할 경우 ‘성공할 수 있다’는 대답이 60%에 이르렀다. 특히 중소기업(67.6%)이 대기업(56.4%)보다 10% 포인트 이상 높게 나왔다. 내부정보 유출에 취약한 곳이 중소기업이며 유출되었을 경우 존폐의 위기를 겪는 곳도 중소기업이다. 사실 중소기업 대부분이 직원이 내부정보를 빼돌려 경쟁사에 팔아 버려도 내부정보가 새어나갔는지조차 파악하지 못하는 경우가 태반이다. 또한, 기업이 경영정보 유출을 적발했을 때 법적으로 어떤 조치를 취해야 하는지 알지 못하는 것도 심각한 문제이다. 대기업의 경우는 기업에 소속된 전문 변호인단이 있기 때문에 사고가 발생했을 때 즉각적인 대처를 할 수 있다. 그러나 중소기업은 법률자문을 구하고자 할 때 비용 문제로 어려움을 겪게 되는 경우가 많다. 서비스 차원에서 중소기업대상 보안교육 및 법률자문 서비스가 필요한 이유이다.

기록관리는 전 세계적으로 법적 강제사항이며, 기업 투명성 확보의 전제조건

미국 모건스탠리사가 기업내 메시지를 투명하게 관리하지 않고, 이메일 내역을 제출하지 못했다는 이유로 레블론사에 6억 달러 배상판결을 받은 일이 있다. 이렇듯 전 세계적으로 기업투명성 확보를 위한 기록관리 규제가 점점 강화되고 있다. 미국에서는 2007년 1월, 소송에 처한 모든 기업은 법원 및 상대편이 요구하는 메시지 기록을 소송개시 120일 이내에 제출할 것을 의무화한 e-디스커버리(e-Discovery)법이 발효되어 시행중이다.

이런 종류의 법안은 미국뿐 아니라 영국, 독일, 일본 등 거의 모든 선진국에서 제정되고 있으며 곧 우리나라에 영향을 미칠 것으로 보인다. 이제 기록관리는 내부정보유출방지를 위해서뿐만 아니라 법적 강제사항이 되고 있는 것이다. 기업이 직원들과의 합의를 거쳐 기록관리 시스템을 투명하고 효과적으로 운영하면, 내부정보유출방지로 인하여 대외경쟁력이 올라가며 기업구조가 투명해짐으로써 노사간의 신뢰가 오히려 더 두터워질 수 있다. 직원들도 기업이 비용을 지불하는 근무시간, 네트워크, 컴퓨터를 사용하여 작성한 정보를 공개하는 것은 사생활침해가 아니라 비즈니스윤리임을 받아들이는 성숙한 자세를 가져야 한다.

기록관리 시스템 유무는 중소기업의 존폐를 결정지을 수도 있다

산업기술유출방지법에 따르면 기밀유출은 강력한 처벌로 이어지게 된다. 이는 내부자통제가 약한 중소기업에게 큰 부담이다. 대기업과 중소기업 협업체계를 보면, 대기업이 브랜드를 책임지고 중소기업이 생산을 책임지는 구조가 많다. 따라서 중소기업은 핵심기술이나 도면을 가지고 있을 확률이 높으며 만일, 중소기업 직원이 정보를 유출시켰을 때 대기업이나 법은 중소기업에게 관리책임을 물을 수 있다. 만일의 경우를 대비해서라도 직원들에게 보안교육을 시키고 1년에 한번씩 보안서약서를 갱신하며, 보안담당자를 최소 1명 이상 배치해야 한다. 취약한 중소기업일수록 최소한의 조치를 정확하게 취하는 것이 중요하며, 이는 중소기업의 존폐를 결정짓는 문제가 된다. 

기록관리 시스템은 어떻게 구현되어야 하는가?

기록관리 시스템 운영에 있어 중요한 이슈는 대기업의 경우 대용량, 중소기업의 경우 자동화이다. 한 국내 대기업에서 기록관리 시스템이 처리하는 이메일 수는 하루 200만개가 넘는다. 이 기록들이 몇 년 동안 네트워크 장애 없이 종류별로 잘 분류되고 체계화되어 저장되려면, 대용량 처리기술이 꼭 필요하다. 중소기업의 경우 상대적으로 용량은 작지만, 자금 및 인력부족으로 인하여 자동화가 절실하다. 별도의 보안부서 없이 대표이사가 직접 관리할 수 있을 정도까지 자동화되어야 하며, 목돈이 들어가지 않도록 월 정액제의 서비스 모델 형태로 제공되어야 실효성이 있다.

핵심은 권한 있는 내부자에 특화된 보안대책 수립

내부정보유출방지의 핵심은 기밀이 실수나 사고에 의해서 유출되는가 아니면 고의나 의도에 의해서 유출되는가를 정확히 구별하는 것이다. “직원이 실수로 USB를 카페에 놓고 왔다. 노트북을 택시에 두고 내렸다. 중국 해커가 방화벽 뚫고 개인 PC까지 와서 정보를 가져갔다.” 이런 일은 실수나 사고이며, 어떤 정보가 돈이 되고 그 정보가 어디 있는지 아는 권한 있는 내부직원이 금전적 이익을 위해 기밀을 내보내는 것은 고의나 의도적인 것이다. 

기업의 보안목적이 대규모 기밀유출사고를 방지하는 것이라면, 바로 내부직원을 효과적으로 관리해야 한다는 사실을 간과해서는 안 된다. 무조건 믿고 ‘설마’ 하는 생각으로 아무런 대책도 취하지 않는 것은 대다수의 선의를 지키는 길이 아니다. 그것은 잠재적으로 내부직원들의 의도적 또는 비의도적 기밀유출행위를 방조하는 무책임한 처사일 뿐이다. 이제 우리나라는 사회적인 보안의식이 한 단계 업그레이드될 때가 되었다. 이를 위해 법제도적인 기반조성과 함께 기업에서도 적극적인 역할을 담당해야 한다.  

<글 : 김대환 소만사 대표이사(kdh@somansa.com)>

[시큐리티월드 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>