주요 기업들의 정보보호 관리 체계 구축 시급해

[보안뉴스 오병민] MBC 기자출신 삼성경제연구소의 한 간부가, 기자로 재직시절 이용하던 아이디와 패스워드를 통해 MBC의 정보보고 내용을 외부로 유출한 것으로 전해져 충격을 주고 있다.

국내 한 언론은 MBC 내부 특별감사보고서를 입수해 이 같은 내용을 보도했다. 보고서에 따르면, 삼성경제연구소의 O간부는 MBC를 퇴직한 후에도 보도국 정보시스템에 접속해 기자들이 보고한 정보고고와 방송용 큐시트 등 중요한 정보들을 외부로 유출해 삼성 관계자나 다른 외부 인사들에게 제공해왔던 것으로 알려졌다.

언론사에 있어서 내부 정보보고는 매우 중요하다. 기자들이 돌아다니면서 수집한 정보를 총망라하고 있기 때문이다.

이런 중요성에도 불구하고, 일반적으로 기업에서는 퇴직한 직원의 정보시스템 접근 계정은 삭제돼야 하는 게 원칙이지만, 잘 지켜지지 않았던 것이 원인으로 파악되고 있다. 아울러 퇴직한 직원도 계정에 접근하지 말아야 하지만, 정보시스템에서 계정이 삭제되지 않았던 허점을 이용해 접근을 시도한 것으로 전해지고 있다.

보통 기업에서 사원들이 퇴직할 때는 회사 기밀 발설 금지에 대한 서약을 받고 있다. 특히 중요한 역할을 담당하고 있는 직원들에게는 필수적이다. 아울러 퇴직한 사원에 대한 계정은 퇴직한 당일로부터 삭제하는 것이 원칙이다.

그러나 보통 기업의 공식적인 정보시스템 외에 커뮤니티 형태의 정보시스템이나 특정 부서에 대한 정보시스템에서는 관리가 소홀하기도 한다. 이는 명시적으로 임명된 관리자가 따로 없거나 개별적으로 운영하는 상황에서 주로 발생한다.

이는 기업 내부에서 정보보호 관리 체계가 제대로 구축되지 않았거나 제구실을 못하고 있다는 것을 의미한다. 이번과 같이, 주요 언론사의 내부 정보보호 관리 체계가 제구실을 못했다는 것은 우리나라가 정보보호 의식의 부재가 얼마나 심각한지를 보여준다.

앞으로의 보안 위협은, 악성코드나 봇 등 기술적인 공격을 넘어서 사람과 사람들의 습성, 그리고 성향과 의식들을 이용한 사회공학적인 공격이 주를 이룰 것으로 보인다. 기업의 이익뿐만 아니라 기업의 명예와 자산을 지키기 위해서는 내부적인 명확한 보안 관리체계가 구축돼야 할 것이다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>