• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보안 투자 없는 기업, 성공신화도 없다 2010.01.17

기업 정보자산 보호하지 않으면 신뢰도와 경쟁력 하락

기업 내 핵심 기술과 고객 개인정보 등을 포함한 기업의 중요 정보자산을 지키는 일이 반드시 선행되지 않고는 성공적인 비즈니스는 물론 기업의 존립조차 힘들다는 인식이 확대되고 있다. 이는 기업의 신뢰도와 경쟁력과도 밀접한 관계가 있다고 말할 수 있다.

 

한 조사결과에 의하면 기업 보안사고의 80% 이상이 외부인이 아닌 전ㆍ현직 내부 직원에 의한 것으로 밝혀지면서 기업들은 정보자산의 보호와 보안에 많은 관심을 갖고 이를 강화하려고 노력하고 있다. 특히 기업의 고객정보 유출 등의 보안 사고는 기업의 신뢰도 하락에 큰 영향을 미칠 뿐만 아니라 회사의 영업적 손실도 상당히 크게 가져오는 요인이다. 또한 이로 인한 기업의 신뢰도 하락은 기업 존폐의 위기로도 이어질 수 있는 아주 중대한 것이다.

 

이와 같이 기업의 핵심정보 유출은 엄청난 금전적 피해는 물론 기업 신뢰도와 평판, 그리고 기업 경쟁력에도 막대한 영향을 미칠 수 있기 때문에 기업은 성공적이고 안전한 비즈니스를 이어나가기 위해서 체계적인 보안정책과 보안시스템, 그리고 보안 관리가 필수적이다. 즉 정보보안 투자 없는 기업은 성공신화도 없는 것이다.


정보보안 투자 없는 기업, 성공신화도 없다

비즈니스 안정성 확보를 위해 정보보안 투자는 필수 요소


최근 들어 기업 내 핵심 기술을 비롯한 고객 개인정보 등 기업 정보자산을 지키는 일이 반드시 선행되지 않고는 기업의 존립조차 힘들다는 인식이 확대되고 있다. 또 고객정보 유출 등의 보안 사고는 기업의 신뢰도 하락에 큰 영향을 미칠 뿐만 아니라 회사의 영업적 손실에도 상당히 크게 영향을 미친다. 이러한 이유 때문에 정부에서도 법ㆍ제도적으로 일정 규모 이상의 사업자와 기업은 의무적으로 개인정보보호조치를 취해야 할 의무조항을 만들었고 이에 따른 관련 법의 개정도 진행중이다.

 

특히 기업의 CEO와 보안관리자, 그리고 실무자들은 고객정보 유출로 인한 기업의 신뢰도 하락은 기업 존폐의 위기로도 이어질 수 있기 때문에 고객정보와 같은 개인의 중요한 정보는 반드시 내부자를 포함해 어느 누구에게도 쉽게 사용되지 않아야 한다는 것을 인식해야 한다. 그렇지 않을 경우 기업은 아주 큰 낭패를 볼 수 있게 된다. 기업을 경영하는 CEO 입장에서는 중요한 사안이 아닐 수 없다.

 

정보는 기업의 가장 중요한 자산인 동시에 가장 취약한 자산이기도 하다. 오늘날 많은 기업이 정보를 쉽게 공유하고 접근할 수 있는 효율적인 네트워크 시스템을 갖췄으나 이는 한편으로 정보유출이라는 새로운 정보보안 문제를 야기시키는 계기가 되기도 하니 아이러니컬하다. 기업의 핵심정보 유출은 엄청난 금전적 피해는 물론 기업 신뢰도와 평판과 경쟁력에도 막대한 영향을 미칠 수 있다. 따라서 기업은 체계적인 보안정책을 통한 보안시스템의 구축과 보안 관리가 필수적이다.

 

보안은 기업 신뢰도와 가치평가 기준

김범수 연세대학교 정보대학원 교수는 성공적인 기업 경영과 보안의 관계에 대해 “기업에서 기업 비밀, 기술정보, 영업비밀, 고객정보 등이 과거보다는 가치가 높아졌고 기업의 경쟁력을 유지하기 위해 기업 내의 비밀 보호, IT 관련 시스템 관리가 잘 돼야 한다”고 말했다. 즉 개인들도 자기 앞가림도 제대로 못하는 사람은 타인에게 신뢰감을 줄 수 없다. 마찬가지로 기업도 기본적으로 갖춰야 할 것들을 잘 갖추면 신뢰도가 상승하지만 그렇지 않을 경우에는 가치와 신뢰도가 하락한다는 것.

 

기업은 마땅히 해야 할 것을 하고 사고 없이 보안관리를 잘 해야만 고객과 사회적으로 신뢰를 받고 성공할 수 있으며 무엇보다 중요한 것은 일반인들로부터 신뢰를 받는 것이기 때문에 그러기 위해서는 보안, 특히 ‘고객정보보안’의 중요성을 인식해야 한다.

 

또한 김 교수는 “현대 사회는 기업의 이미지가 경쟁력과 기업의 성장에 큰 영향을 미칠 수 있는 중요한 조건이다. 과거에 보안투자는 꼭 해야 할 것이라기 보다는 되도록이면 적게 했으면 하는 분위기였다”며 “하지만 지금은 경쟁사보다 좀 더 많이 투자해야 신뢰도와 경쟁력을 확보할 수 있기 때문에 더 적극적으로 해야만 한다”고 덧붙였다. 하지만 이렇게 보안에 대한 기업들의 관심이 높아지고는 있지만 아직 갈 길은 멀다. 왜냐하면 아직 기업들이 정부나 고객들로부터 보안을 잘 하고 있다는 말을 듣기 어렵기 때문에 아직은 기업들이 보안에 보다 많은 투자를 해야 할 상황이다.

 

그렇다면 우리 기업들의 최고 경영자들은 과연 보안을 어떻게 생각하고 보안에 어떤 관심을 갖고 투자를 하고 있는지 의문이다. 김 교수는 “기업에서 보안을 열심히 잘 한다고 해서 매출이 크게 늘어나거나 주가가 오르는 것은 아닌데 경영자들은 투자한 만큼의 매출 상승 효과나 눈에 보이는 성과를 바란다”고 지적했다. 

 

또한 그는 보안 관련 조직은 기업 내에서 기피대상이며 그 이유는 책임은 많고 권한은 없고 또 사고 발생시에 책임은 무겁고 업무와 책임에 비해서 받는 급여와 혜택은 일반 타부서보다 적다는 점을 들었다. 향후 기업이 보안 담당자들이 그 업무에 걸맞는 권한과 보상체계를 받을 수 있도록 해야만 비즈니스 성공 우위를 점할 수 있는 기틀이 마련된다는 것을 경영자들은 명심해야 할 것이다.

 

그러기 위해서는 보안 조직의 기업내 공헌도가 측정 가능한 지표로 만들어져야 한다는 것이 그의 견해다. 즉 보안 담당자들은 평상시에도 세부적인 내용으로 업무내용에 대해 측정할 수 있는 지표로 만들어 경영진에 보여주고 이를 통해 실제 업무에 대한 평가를 받고 그 성과에 따라 적절한 보상과 인센티브를 받아야 한다는 것.

 

다시 말하면, 경영진은 보안 관리자의 평상시 업무가 단순히 사고가 나지 않도록 모니터링 하는 것뿐만 아니라 구체적으로 하루에 문서보안 몇 건, 침입탐지 몇 건, 보안 모니터링 몇 건, 비권한자 접속 제한 몇 건, 등등 구체적인 보안 업무와 그에 대한 정확한 평가자료를 만들어야 한다. 그리고 이에 따른 적절한 보상이 따라야 보안 업무자들도 의욕적으로 업무에 임하게 되고 이는 곧 기업의 신뢰도와 경쟁력 강화에 영향을 미치는 요소가 된다는 것이다.

 

이제 보안 업무도 가시적인 평가 지표를 가지고 기업의 보안 수준을 높여야 하며 기업 내 기피조직에서 탈피해 꼭 필요한 구성원이 부서 이동시 가고 싶은 조직이 되어야 한다. 경영자들도 이제 보안은 가능하면 최소한만 투자하면 된다는 생각과 보안은 불편하고 규정대로 하면 손해라는 생각을 버려야 한다. 보안시스템이나 보안 투자가 기업의 비즈니스 위험도를 낮춰주고 시너지를 높여 기업의 가치와 경쟁력 상승의 기반이 된다는 것을 인식해야 성공적인 비즈니스를 이끌어 갈 수 있다.

 

‘보안’ 모든 업무 프로세스에 적용해야

그렇다면 실제 기업에서는 앞서 언급한 것과 같이 보안을 실천하고 있을까? 국내 주요 포털사 가운데 하나인 네이트를 운영하면서 다양한 커뮤니티 서비스를 제공하는 SK커뮤니케이션즈(이하 SK컴즈)의 경우를 살펴봤다.

 

현재 SK커뮤니케이션즈 서비스 총괄 임원으로 근무하는 강은성 CSO는 “우리 같은 회사의 경우 보안에 대해 굉장히 고민이 많다. 그 중에서도 웹 공격과 사이버 위협 등으로 인해 서비스가 중단되는 사태가 발생한다면 바로 기업의 손실로 이어지기 때문”이라며 “이는 기업 이미지 손실뿐만 아니라 사업이 중지될 수 있는 사태로 이어질 수 있는 커다란 위험으로 보고 대처 하고 있다”고 말했다.

 

강 CSO는 그 중에서도 개인정보 문제는 포털 기업 입장에서는 상당히 핵심적인 것으로 보고 내부보안의 중요성을 인식하고 출입문 통제부터 개인정보를 다루는 직원들의 교육까지 내부보안을 철저히 하고 있다고 덧붙였다. 이렇게 SK컴즈가 내부보안을 강조하는 것은, 예를 들어 새로운 사업의 기획과 그에 따른 추진계획, 전략 등이 외부로 유출되는 경우에 사업에 상당한 악영향을 미칠 수 있는 것이기 때문이다. 특히 외부로 유출되는 정보는 그 파급 속도가 아주 빨라 미처 대처하기 전에 모든 것이 오픈 될 수 있다는 것. 

 

현재 SK컴즈는 개인정보보호팀과 보안문화추진팀 등이 별도 구성되어 업무를 하고 있으며 특히 개인정보 취급자는 정보보호 교육과 시험을 통해 인증 받은 자만이 업무에 투입되고 일정한 주기로 갱신교육도 받고 있다.

 

강 CSO는 기업에서 구체적인 보안실행 방법으로 모든 사업 부분에 ‘보안의 내재화’를 강조했다.

그는 일단 각 사업 부분에 보안이 내재화 되어야 한다고 말한다. 이는 서비스 기획과 개발하는 것에 있어 보안을 고려한 기획과 개발이 돼야 한다는 것이다. 예를 들면 회사의 정문 출입부터 보안 프로세스가 들어가야 하고 차례로 각 사업부서에 보안이 적용돼야 한다는 것. 그리고 각 사업부서의 담당자들은 보안이 문화적으로 자연스럽게 녹아들게 해야 한다는 것이 SK컴즈의 보안문화이다. 아무리 그래도 보안은 좀 불편하게 느낄 수 밖에 없다. 기획이나 개발 기간이 늘어나는 불편함이 있지만 이를 감수해야 하는 것이 ‘보안’이다.

 

보안, 경영자 마인드가 가장 중요

보안에 있어서 또 하나 중요한 것이 경영자의 마인드다. 이에 강 CSO는 “SK컴즈 대표님은 출근해서 정문을 들어오실 때 가장 먼저 하는 일이 출입증을 목에 거는 일이다”며 “이러한 대표님의 행동은 기본적인 물리적 보안인 ‘출입보안’을 실천하는 모습으로 직원들에게 ‘보안’을 강조하고 있다”고 말했다. 이렇게 기업의 CEO가 먼저 솔선수범해서 출입보안부터 철저하게 실천한다면 다른 임원들과 구성원들에게도 그 파급효과가 크다는 것. 또 이와 함께 이러한 마인드가 구체적으로 반영되어야 할 부분이 ‘직접적인 보안투자’라는 것이 그의 생각이다.

 

즉 보안으로 돈을 버는 것이 목적이 아니라 일정한 순위의 투자나 프로젝트로 생각하고 우선 순위로 잡아야 하며 매년 우선 순위로 보안 투자를 실행하면 실효성 있는 보안이 된다는 것.

 

또한 그는 “무엇보다 기업의 보안에서 중요한 것은 좋은 보안 담당자를 확보하는 것”이라고 말한다. 특히 보안은 공격하는 자와 방어하는 자가 있어서 공격자보다 방어자가 수준이 높아야 한다는 것. 다시 말하면 해커들의 공격 툴은 수준이 떨어지는 공격도 있고 아주 고도의 기술로 공격할 수가 있지만 방어하는 자는 어떤 공격이 들어올지 모르기 때문에 기술과 정책 모두 다 알아야 한다는 것이다. “이에 보안인력은 비용투자가 많더라도 그만한 가치가 충분한 인력으로 구성해야 한다”고 그는 강조했다.

 

또한 경영자들은 자체적인 법ㆍ제도적으로도 정보유출 방지를 위한 대책을 마련해야한다. 이에 대해서 이지호 법무법인 정률 변호사는 기업의 신뢰도와 관련해서 “피해자들의 집단 소송으로 기업의 이미지와 신뢰도 실추는 돈으로 해결할 수 없는 것들이다. 고객정보, 영업비밀과 같은 고급 정보 유출은 기업의 사활이 달린 일이며 외부인 해킹보다 내부직원에 의한 유출이 더 많다”며 기업에서 내부직원의 기술 유출의 심각성을 지적했다. 이 같은 정보유출을 방지하기 위해서 기업은 물리적 보안과 내부정보 유출방지를 강화해야 한다고 그는 강조했다.

 

보안은 초기에 투자비용이 들더라도 미리 대비를 한다는 생각으로 실행하지 않으면 원상 복구가 힘들다. 즉 한번 외부로 유출된 정보는 다시 회수가 불가능하기 때문에 기업은 영구적인 가해자 혹은 피해자로 낙인 찍히게 된다.

 

이 변호사는 “기업 경영자는 입사하는 직원들에게 보안각서를 받거나 사내 영업비밀보호와 관련된 지침이나 사규를 제정해야 하고 회사 내의 각종 정보에 대해 비밀 또는 대외비라고 미리 정해야 정보유출 피해를 입더라도 법적으로 대응할 수 있다”고 덧붙였다.

 

경영자, 개인정보 안전성 확보 위한 기준 지켜야

최근 몇 년 간 정부와 업계의 지속적인 노력에도 불구하고 개인정보 유출 및 오남용 사례가 계속 증가함에 따라 정부는 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 ‘정보통신망법’)’을 대폭 개정, 정보통신 서비스 제공자가 개인정보보호 의무를 제대로 이행하지 않거나 불법적으로 개인정보를 이용ㆍ제공한 경우 위반자에 대한 처벌을 한층 강화했다.

 

이로써 기업 경영자와 개인 사업자들은 개인정보보호를 위한 최소한의 기준과 법을 지켜야 사업을 지속적으로 할 수 있게 됐다. 그 중에 하나가 지난 2009년 상반기에 정부는 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 ‘정보통신망법’)’을 대폭 개정, 2009년 7월 1일부터 정보통신 서비스 제공자가 개인정보보호 의무를 제대로 이행하지 않거나 불법적으로 개인정보를 이용·제공한 경우 위반자에 대한 처벌을 한층 강화했다. 특히 개인정보를 많이 취급하고 있는 일부 오프라인 사업자, 즉 여행업자, 호텔업자, 항공사, 학원, 콘도미니엄, 대형마트, 백화점, 쇼핑센터, 체인사업자 등의 9개 업종 외에도 대량으로 고객 개인정보를 수집·이용하는 오프라인 사업자의 유형이 크게 확대됨에 따라 정부는 지난 2008년 12월 31일 ‘정보통신망법’ 시행규칙을 개정하여 준용사업자의 수를 기존 9개 업종에서 27개 업종으로 크게 확대했다.

 

그리고 지난 2009년 8월 개정된 보호조치 기준에 따라 올 1월 29일부터는 주민등록번호, 신용카드번호, 계좌번호에 대해서는 반드시 암호화하여 저장해야 하며 이를 PC에 저장할 때에도 암호화해야 한다. 이를 지키지 않고 위반하는 경우에는 형사처벌 등이 가해진다. 이 보호조치 기준은 이용자 개인정보의 취급을 위한 구체적이고 명확한 기술적ㆍ관리적 세부 기준 없이 개인정보를 취급하는 사업자들이 보호조치를 이행하는데 어려움이 발생함에 따라 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)’(2004.1.29) 개정 및 동법 시행규칙 개정(2004.7.30)을 통해 안전성 확보에 필요한 최소한의 기준을 정해 고시할 수 있도록 법적 근거를 마련한 것이다.

 

보호조치 기준 제정(2005.3.24) 이후 해킹 및 내부자에 의한 개인정보 유출과 유출된 개인정보를 활용한 2차 피해 확산 등의 문제가 발생함에 따라 정보통신망법 개정(2008.6.13) 및 동법 시행령 개정(2009.1.28)을 통해 보호조치 기준도 개정(2009.8.7)하였다.

 

개정된 보호조치 기준은 제1조(목적), 제2조(정의), 제3조(내부관리계획의 수립ㆍ시행), 제4조(접근통제), 제5조(접속기록의 위ㆍ변조 방지), 제6조(개인정보의 암호화), 제7조(악성프로그램 방지), 제8조(출력ㆍ복사시 보호조치) 및 제9조(개인정보 표시 제한 보호조치)로 구성되어 있다.

 

제9조는 권고사항으로 벌칙이 없지만 제3조부터 제8조까지는 필수사항으로 기준을 위반하는 경우에는 형사처벌이나 행정처분이 부과된다. 이와 같은 법적 규제나 컴플라이언스의 준수도 성공 비즈니스를 위해서는 필수다.

<글 : 김태형 기자(is21@boannews.com)>


[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>