기업의 정보 유출은 막대한 금전적 피해는 물론 국가 간의 분쟁으로까지 이어질 수 있는 문제라 할 수 있다. 이러한 기업의 기밀 정보 유출에 대한 위협은 인간이 경제생활을 시작하면서부터 항상 존재했으며 앞으로도 계속 존재할 것이다. 이에 본 고에서는 기업의 중요 정보를 보호하기 CEO가 반드시 알아야 할 사항들을 소개하고자 한다.

기업의 기밀 정보, 더 이상 안전하지 않다

2010년 산업기밀보호센터의 통계에 따르면, 2004년부터 2009년까지 국내 기업의 첨단기술을 해외로 불법 유출하다가 적발된 건수만 203건에 이르며 그 수는 매년 지속적으로 증가하고 있다고 한다. 적발되지 않은 건수까지 합치면 기술 유출로 인한 국가적 손실은 매우 클 것으로 예상된다.

아울러 기업 비밀정보의 유출 분야 역시 기존 첨단 전자통신 분야에서 자동차, 조선을 비롯한 기계, 화학 등 산업 전분야로 확대되고 있는 추세다.

이러한 기업 기밀정보 유출에 따른 피해는 해당 기업뿐만 아니라 국가 경제에도 막대한 손실을 초래할 수 있으므로 국가적으로도 큰 관심을 기울여야 한다.

최근의 기업 보안은 기존과 달리 많은 보안 위협에 직면해 있다. 우선 과거의 기업 기밀 자료는 문서보관함(캐비넷)에 보관돼 자물쇠 등을 이용한 물리적인 접근 통제가 주로 이뤄졌다면 최근의 기업 기밀 정보는 전산화돼 서버에 저장되므로 서버의 정보에 접근할 수 있는 권한을 획득하면 회사 외부에서도 기밀자료의 열람이 가능하다.

최근에는 휴대폰, MP3, PMP, 전자사전, USB, 소형 카메라 등의 데이터 저장 기능을 갖는 소형 기기들이 일상 생활을 넘어 업무 환경까지 확대돼 있으므로 디지털화되고 네트워크화 돼 가는 기업의 IT 환경에서 기업의 기밀정보는 더 이상 안전하다고 할 수 없다.

뿐만 아니라 향후 1~2년 사이 대부분의 휴대폰이 스마트폰의 저변 확대로 인해 본격적인 모바일 오피스 환경으로의 변화가 시작된다면 기업의 정보는 또 다른 보안 위협에 노출될 것으로 예상된다. 어렸을 때 007 영화를 통해서 봐왔던 내용들이 현실화 될 것이다.

기밀 자료를 블루투스, WiFi 등의 무선 인터페이스를 통해 스마트폰으로 전송받거나 기밀 문건이나 설계도를 사진으로 찍어 3G망을 통해 외부로 유출할 수도 있다. 각종 소형 저장매체의 발달과 무선 통신 기기의 발달로 인해 기업의 기밀정보를 보관하고 관리하기 위한 다양한 시스템과 방법들은 더 이상 안전하다고 확신할 수 없으며 이는 곧 우리도 인식하지 못하는 사이에 기업 경영에 심각한 위협으로 다가오고 있다.

대다수의 국내 기업 보안 위험에 노출돼 있어

기업의 정보보호는 더 이상 선택사항이 아닌 필수불가결한 사항이 됐으며 이에 대한 투자는 해당 기업의 신뢰도와 브랜드 이미지 가치에 큰 영향을 미치는 시대가 됐다. 만약 기업이 가지고 있는 고객의 개인 정보 유출 사고 및 금전적 피해가 발생한다면 이는 바로 기업을 상대로 한 피해자들의 집단 소송으로 이어질 것이다.

또한 네트워크 보안이 제대로 이뤄져 있지 않은 경우에는 여러 대의 PC에서 기업 서버로 접속을 요청해 사이트를 마비시키는 분산서비스거부공격(DDoS attack)도 발생하고 있다. 기업의 정보 시스템이 마비되거나 파괴될 경우, 해당 기업의 주요 업무도 당연히 마비될 수밖에 없다.

이에 따라 직접적인 매출 감소와 고객 이탈, 신규 사업 제한, 기업의 이미지 가치 추락을 면하기가 어렵게 된다. 이러한 이유로 기업들은 정보보호의 중요성을 인식하고 보안대책을 수립하고 있지만 실제 그 내면을 살펴보면 정보보호에 대한 기업의 대응은 일회성이고 주먹구구식의 단순조치인 경우가 많다.

실제로 2008년 정보보호실태조사 결과를 살펴보면, 국내기업들의 침해사고 대응 현황은 60% 이상이 “보안과 관련해 별다른 대응활동을 하지 않는다”고 파악돼 보안 침해를 당하고도 사후조치를 취하지 않는 것으로 나타났다. 또한 73% 이상은 ”재해나 침해사고에 대비해 비상복구 계획이 없다“고 답해 기업이 자산에 대한 관리를 제대로 수행하고 있지 않아 항상 위험에 노출돼 있는 것으로 조사됐다.

기업 정보보호 위해 보안 대책 강구해야

기업이 안전한 정보보호 환경을 구축하기 위해서는 기업이 보호해야 할 대상을 명확히 해야 한다. 가장 중요한 정보가 무엇이며 보호해야 할 정보는 무엇인지, 그것이 어느 정도의 가치를 가지고 있는지, 그리고 정보는 조직 내에서 어떻게 존재하고 있는지에 대한 부분들을 명확히 정의하고 보호할 수 있는 방안을 세워야 한다.

보호가 필요하다고 정의된 정보자산은 정확한 업무 흐름에 대한 파악을 통해 보호할 대상의 접근 방식에 대한 전략을 세워야 한다. 정보를 보호하기 위해서는 적절한 대응 방안이 필요하므로 보호 대상 정보자산이 조직 내에서 어떠한 방식으로 생성, 저장, 사용, 전송, 폐기되는지와 해당 업무 프로세스가 어떻게 취급되고 있는지를 알아야만 어떤 업무 프로세스가 진행될 때 정보가 유출될 가능성이 많은지 파악해 이에 대한 기술적 인프라를 투자할 수 있다.

또한 인적 보안은 성공적인 보안 관리 수립에 필수적인 항목으로 내부 정보를 실질적으로 사용하는 인적 자원에 대한 관리 방안이나 적절한 통제 방안을 제시해야 한다.

정보를 다루는 것도 정보를 유출하는 것도 인적 자원에 의해 발생하는 것으로 모든 정보보호 방안의 일차적인 초점은 인적 자원에 맞춰져야 한다. 하지만 인적 보안은 교육만으로는 해결할 수 없다. 강력한 보안 정책을 추진해 내부 사용자들을 통제하고 보안 의식을 고취시켜야 할 것이다.

실제로 산업기밀보호센터의 자료의 의하면, 기술 유출 주체의 대다수는 전직 직원(56%), 현직 직원(24%)이었으며 기술 유출 유형을 살펴보면 외부에 의한 매수(51%)와 무단보관(22%)이 많은 비율을 차지했다.

보안 의식을 고취시키기 위해서는 해킹 등의 보안사고 피해 사례를 찾아 구성원들에게 알리고 고의적인 보안사고 발생시 관련자에 대한 책임 부과 및 사내 규정들을 통해 경각심을 불러 일으켜야 하며 이러한 피해를 입지 않기 위해 보안을 생활화할 수 있도록 기업 분위기를 조성해야 한다. 또한 저장매체 및 통신 기기를 업무 환경에서 사용할 경우 기업의 정보보호에 편리하기는 하지만 보안상 심각한 영향을 미칠 수 있으므로 이에 대한향 보안 대책을 강구해야 할 것이다.

<글 : 곽진 순천향대학교 정보보호학과 교수(jkwak@sch.ac.kr)>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>