| 기업 정보보안, 대나무 No 고무 탄력성 Yes! | 2014.02.28 | ||
마이크 트로바토 언스트앤영 아태지역 시큐리티 리더
“기술 등 전통적 보안방법 충분, 교육 등 세심한 방안 병행돼야” \r\n \r\n ▲ 언스트앤영의 아시아 퍼시픽 프라이버시·시큐리티 리더 마이크 트로바토(Mike Trovato) 특히 지난 15~16일에는 대한의사협회·대한치과의사협회·한의사협회홈페이지가 해킹돼 의사협회 8만명, 치과의사협회 5만 6000명, 한의사협회 2만명 등 총 15만 6000명의 개인정보가 유출된 사실이 26일 드러났다. \r\n\r\n이처럼 개인정보 유출사고가 끊이지 않고 있는 가운데 본지는 언스트앤영의 아시아 퍼시픽 프라이버시·시큐리티 리더인 마이크 트로바토(Mike Trovato) 파트너와의 인터뷰를 통해 호주의 개인정보보호 체계와 보안실무자들의 효율적인 보안대책에 대해 들어봤다. \r\n먼저 호주를 비롯한 아·태 지역과 한국의 개인정보보호 정책·제도와의 차이점에 대해 마이크 트로바토 파트너는 “호주의 경우 보안원칙을 중시하는 반면, 미국과 아시아는 세부적 가이드에 집중하는 형태”라며 “호주는 싱가폴과 달리 암호화관련 법이 없고, 개인정보 유출에 있어서도 실수인지 의도적인지 여부 등에 대한 세부기준이 없다”고 밝혔다. \r\n큰 틀의 보안원칙을 기준으로 철저히 준수하도록 하되, 세부적인 방법은 기업 자율에 맡긴다는 것. 지나친 관여로 역효과가 발생할 수 있고, 세부적인 가이드가 모든 걸 해결할 순 없기 때문이다. 그러나 호주 감독당국은 국가간 교류를 통해 관련 법·제도가 강력한 나라의 법률에 맞춰 부족한 부분을 채우는 등 법률·규제·통제 부분에 있어 서로 코드를 맞추고 있다는 설명이다. 현재 호주의 개인식별 수단은 의료보험번호, 세금 신고할 때 사용하는 납세번호, 저소득층을 위한 복지카드 형태인 사회보장번호 등이다. 그러나 개인정보를 담고 있지는 않다는 것이 그의 설명이다. \r\n이는 프라이버시를 중시하는 호주의 문화적인 특성이 바탕에 깔려 있다. 호주 국민들의 개인정보보호 인식과 관련해 마이크 트로바토 파트너는 “호주는 특성상 프라이버시 문화가 법률보다 강하게 깔려 있다”며 “이는 원칙을 중시하는 만큼 문제가 발생하면 책임이 더욱 크다는 것을 의미한다. 이를테면 미국의 경우 부동산을 팔려고 하면 어떻게 알고 메일부터 온다. 그러나 호주는 그런 일이 거의 드물다. 스팸메일을 전송하는 행위 자체가 프라이버시 침해라는 인식 때문에 벌금 등 강력한 처벌이 뒤따른다”고 말했다. \r\n금융권의 경우도 먼저 감독당국이 면밀히 조사한 후, 그 결과에 따라 책임을 묻는 형태로 진행된다. 그러나 개인정보 유출이 전 세계적인 문제인 만큼 호주에서도 강력한 규제가 시행될 것으로 전망했다. \r\n그는 개인정보보호 분야의 가장 큰 공통과제로 개인정보보호 인식 부족을 꼽았다. 이는 보안인식을 토대로 한 실천의지가 뒷받침되지 않으면 개인사용자의 PC, 스마트폰 등에 보안통제를 아무리 철저히 적용해도 제대로 대응하기 어렵다는 것이다. 또한 한국 경영진의 보안의식 부족을 지적한 그는 “호주의 금융 시스템은 IT 없이는 돌아가지 않기 때문에 IT 및 보안에 대한 충분한 이해가 요구되고 있다”며 “금융권의 CEO나 임원진들이 전문적인 보안경험은 없지만 보안에 대한 열정과 관심은 높다”고 말했다. 향후 정보보안 이슈에 대해 그는 사회기반 시스템의 보안위협을 지목했다. 바이러스, 악성코드에 따른 피해는 어떤 분야든 동일하지만, 금융 시스템을 비롯한 사회기반 시스템의 경우 미치는 영향과 파장은 실로 막대하다는 것이다. \r\n마지막으로 그는 효율적인 정보보안 전략으로 “프로세스, 기술 등과 같은 전통적인 방법은 충분하다. 다만 보안사고로 인해 기업이 충격을 받아도 대나무처럼 부러지지 않고, 고무처럼 탄력성 있게 다시 펴질 수 있어야 한다”며 “사람, 교육 등 소프트한 측면을 아우르는 세심한 대책과 함께 컴플라이언스 준수를 위한 글로벌 협업이 중요하다”고 강조했다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
