기업 정보유출 사례 및 실태

각종 언론매체(방송, 신문, 인터넷 등)를 통해 정보유출 사고를 접하지 못한 사람은 없을 것이다. 정보기술의 발달에 따라 대량의 정보가 생성되고 다양한 경로로 유통되는 것이 용이해진 반면에 정보보호에 대한 고려가 불충분한 많은 기업에서는 정보유출이 가능한 환경을 방치하고 있다. 보안에 취약한 환경을 이용해 개인정보, 기술정보가 단 한 번이라도 유출되는 경우 그 피해 규모를 예상하기 어려울 정도로 심각한 악영향을 미치고 있다. 특히 개인정보 유출로 인한 결과가 원치 않는 텔레마케팅, 보이스 피싱, ID 도용 등 사생활 침해와 금전적 손실로까지 이어지면서 개인의 자신의 정보와 사생활을 지키고자 하는 방어 의식이 적극적인 신고와 집단 손해배상으로 나타나고 있다.

’08년에 발생한 옥션, GS칼텍스에서의 대규모 개인정보 유출 사건의 집단 손해배상 과정은 개인정보 유출에 대해서 해당 개인이 얼마나 민감하게 반응하는지를 앞으로도 알려주는 척도가 될 것이다. 이에 기업은 회사 내ㆍ외에서 유통, 보관되는 개인정보가 회사가 소유하는 것이 아니라 해당 개인으로부터 잠시 위탁받는 것임을 명심하고 최선의 보호 노력을 다해야 한다는 것을 분명하게 인식해야 한다.

또한 기업의 입장에서는 이용자 보호를 위한 개인정보보호 뿐 아니라 기업의 연속성을 직접 위협하는 기술정보 유출방지에도 소홀함이 없도록 해야 한다. 산업기밀보호센터(국가정보원)에서 발표한 기술 유출 건 수에 따르면, 2003년 6건에서 2008년 10월 37건으로 5년간 6배 이상 증가했으며 2003년 이후의 예상 피해액은 200조원에 이르는 것으로 추산되고 있다.

즉 ‘기술정보가 큰 돈이 된다’라는 생각이 범죄 목표가 됐고 기술정보 유출은 그 피해가 해당 기업에만 한정되는 것이 아니라 국익에도 지대한 영향을 미치게 되므로 중요 기술을 개발하거나 보유하는 기업은 기술 개발, 활용과 보호를 동시에 고려해야 한다.

정보보호에 실패한 기업뿐만 아니라 관련해 정보보호에 소홀한 직원도 처벌, 징계로부터 자유로울 수 없다. GS칼텍스 개인정보 유출사건, 포스데이타 와이브로 기술 유출 시도 사건 등에 직ㆍ간접적으로 관련된 대부분의 사람들이 구속되거나 재판이 진행 중에 있으며 관련 조직의 팀장이나 업무담당자는 책임 사안에 따라 회사로부터 감봉, 직위해제 등 인사상 불이익을 받은 것으로 알려지고 있다.

정보보호 강화를 위한 구체적 대응방안

법률과 감독기관 등의 요구사항, 이용자 권익 보호 활동, 기업의 사회적 책임에 대한 질책 등의 사회적 분위기에 따라 많은 기업에서 점차로 정보보호 대책을 수립하고 적용해 왔으나 앞의 사례에서처럼 보안 사고가 끊이지 않고 있으며 향후에도 이러한 추세는 계속될 것으로 전망된다.

이는 보안 사고를 단지 IT의 문제로만 생각해 관련 조직, 프로세스, 정보시스템을 보완하면 될 것이라고 생각하거나 동종 또는 유사업계에서 보안사고가 발생하면 다급하게 관련된 사고 경위 및 대책을 분석해 필요한 부분만을 조치하고 일정 시일이 흐르면 무감각해 지는 것에 기인한다.

따라서 기업의 정보보호 노력은 특정 분야, 일부 조직 및 직원의 차원에서 추진돼야 하는 것이 아니라 전사적인 활동으로 인식해 정보보호 정책, 정보보호 조직, 인적 보안(내부직원 및 외부자 등), 출입 통제 등의 물리적 보안, 기술적 보안(시스템, 네트워크, 어플리케이션 등), 사고 예방 및 대응 등 보안의 전체 영역을 대상으로 기업의 규모와 특성에 적합한 정보보호관리체계를 구축하고 효율적인 정보보호 투자를 위한 마스터플랜을 수립해 이행하는 등의 체계적이고 지속적인 노력과 활동이 이뤄져야 한다.

1. 기업의 목표와 비전에 맞는 정보보호정책의 수립과 검토

정보보호정책은 조직의 정보보호에 대한 기본적 방향과 근거를 제시해 주는 문서로 기업의 목표와 비전, 전략을 반영해 작성하고 주기적으로 정책의 타당성을 검토 및 수정 보완함으로써 지속적으로 개선돼야 한다.

2. 정보보호 조직의 구성 및 운영

기업의 정보보호 활동을 체계적으로 수행하기 위해서는 기업의 특성(규모, 조직, 문화 등)에 적합한 정보보호조직을 구성하고 운영해야 한다. 또한 경영진은 정보보호조직에게 강력한 권한과 충분한 자원을 부여해 능동적으로 직무를 수행할 수 있도록 지원하는 것이 중요하다.

3. 중겴掠袖岵?정보보호 마스터 플랜 수립

기업의 중겴掠袖岵?정보보호 마스터 플랜을 수립해 비즈니스 전략과 부합된 정보보호 전략을 체계적이고 일관성 있게 수행할 수 있어야 한다. 그렇지 않을 경우 트렌드에 따라 도입한 정보보호 솔루션이나 장비의 도입만으로 모든 보안이 이뤄졌다고 착각하기 쉬우며 개별적 편의나 산발적인 보안 투자를 하게 되는 경우 필요 없는 예산을 낭비하거나 오히려 내부의 정보가 유출될 위험을 초래할 수 있다.

4. 정보보호 시스템 구축 및 체계적 관리

정보보호 시스템은 용도에 적합하고 정보시스템 환경에 맞게 효과적으로 구축돼야 하며 구축 후에는 모니터링 체계를 수립해 지속적인 관리가 이뤄져야 한다.

5. 기업 정보보호 문화 조성

기업 정보보호에 있어서 가장 중요한 요소는 바로 기업의 정보보호 문화를 조성하는 것이다. 전사적 차원에서 정보보호에 대한 경영진의 확고한 의지를 바탕으로 임직원에게 지속적인 정보보호 교육과 홍보를 통해서 정보보호에 대한 분위기를 조성하고 점진적으로 정보보호를 기업문화로서 정착시켜 나가야 한다.

장기적인 안목에서 투자 계획 수립해 이행

지난 수 년간 많은 기업들은 무한경쟁 체계 속에서 생존을 위해 막대한 시간, 자금및 인력을 투입해 신기술을 개발하고 발전시켜 왔으며 마케팅 강화를 위해 경쟁적으로 고객의 개인정보를 대량으로 수집해 왔다. 그러나 이러한 기업의 핵심 정보 및 고객정보에 대한 보호가 미흡해 오랜 기간 동안 어렵게 개발된 신기술이 한 순간에 경쟁사로 넘어가서 기업의 이익과 생존을 위협하거나 기업 신뢰도에 심각한 손상을 주고 있다.

정보보호는 한 순간에 이루어지기 어려운 속성, 100% 완성되기 어려운 속성, 사람의 보안 인식 변화에 의존하는 속성을 보유하고 있으므로 장기적인 안목에서 투자 계획을 수립해 이행하고 환경 변화에 따라 조정하는 것이 효율적인 정보보호 투자 전략이다.

<글 : 조보상 SK인포섹 수석 컨설턴트(nicesang@skinfosec.co.kr)>

[월간 정보보호21c 통권 제118호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>