민감한 정보, 보호해야 할 정보에 대한 개념부터 잡아야
기업도 ‘중요하다’ 목소리만 높이지 말고 실제 행동과 교육 필요

[보안뉴스 문가용 기자] 현재 우리를 위협하고 있는 사이버 공간 내에서의 각종 사건들을 보고 있자면, “중요한 정보 혹은 민감한 정보가 무엇인지 일반 대중들이 아직도 모호하게 이해하고 있다”는 걸 알 수 있다. 미디어프로(MediaPro)의 2018년 프라이버시 보고서(2018 Eye on Privacy Report)에 의하면 사정이 조금씩 나아지고는 있다는 걸 알 수 있다.


예를 들어 미국 일반 직원들 중 89%는 사회보장번호를 가장 민감한 정보로 꼽았다. 신용카드 정보를 꼽은 응답자도 76%나 되었다. 뿐만 아니라 새로운 클라이언트와의 사업을 진행하면서 생성되는 문건들을 캐비넷에 넣고 잠근 채로 보관한다는 응답자가 87%였고, 오래된 비밀번호가 적혀 있는 종이나 전 근무자가 사용하던 계정 정보가 적힌 문건은 특별한 경우 아니면 파쇄기에 넣어 없앤다는 응답자가 75%였다.

그러나 미디어프로의 수석 보안 전략가인 톰 펜더가스트(Tom Pendergast)는 “향상된 것은 사실이나, 아직 사회보장번호를 민감하다고 생각하지 않는 11%가 있어서 걱정”이라고 말한다. “작년에 에퀴팩스 사건이 터졌는데도, 11%가 민감한 정보에 대해 잘 모르고 있다는 건 예상 밖이었습니다.”

그럼에도 보안 전문가들은 데이터의 민감도 혹은 ‘데이터 프라이버시’에 관한 교육을 포기할 수 없다고 국가 사이버 보안 연맹(National Cyber Security Alliance)의 러셀 유레이더(Russell Schrader)는 말한다. “기업 내에서도 데이터 프라이버시 문화를 정착시킴으로서 일반 직원들에 대한 교육을 진행할 수 있습니다.” 그는 다음 몇 가지 사항들을 제안한다.

1. 보호가 필요한 정보란 무엇인지 이해하기
보호가 필요한 정보가 있고, 그렇지 않은 정보가 있다. 이를 가장 단순하게 구분하는 규칙은 “사람에 관한 정보는 무조건 보호한다”이다. 사회보장번호도 사람에 관한 것이고, 누군가의 이름, 이메일 주소, 전화번호도 역시 사람에 관한 것이므로 민감한 정보에 포함된다. 의료 정보는 말할 것도 없다. 민감한 정보라든가 개인정보, 데이터 프라이버시와 같은 개념을 이해하기 힘들어한다면, ‘사람과 관련된 정보는 전부 보호하라’고 교육하면 한 결 나아진다.

2. 새로운 기술이 등장하면 프라이버시와 관련된 영향력부터 살핀다
최신 기술로 무장한 자동차가 시장에 나왔다면, ‘우와, 멋지네’가 아니라, ‘어떤 정보를 요구하는가?’부터 살펴야 한다. 최신 애플리케이션들은 운전자나 동승자의 개인정보를 요구하며, 그를 바탕으로 기능을 발휘하는 경우가 많다.

예를 들어 운전자가 HIV 관련 의료센터나 암을 전문으로 하는 병원을 정기적으로 출입한다고 치자. 이러한 사실 자체가 자동차 어딘가 혹은 서버 어딘가에 기록으로서 남겨진다면, 이는 굉장한 프라이버시 침해로 이어질 수 있다. 게다가 자동차 생산업체들은 이러한 정보들을 수집해 마케팅 회사에 합법적으로 팔기도 한다. 당신이 HIV에 걸렸거나 암과 싸우고 있다는 사실을 식구들보다 엉뚱한 텔레마케터들이 더 먼저 알 수 있다.

그러므로 이러한 최신식 기술로 무장한 화려한 기기를 구매할 땐 사용 설명서를 꼼꼼하게 읽거나 제조사와의 상담을 통해 정확히 어떤 정보가 기기를 통해 수집되고, 왜 그런 일이 벌어지며, 정보가 어떻게 처리되는지 이해하고 있어야 한다.

3. 반복적으로 메시지를 전파하라
데이터 프라이버시, 혹은 데이터 민감성과 보호에 개념은 일 년에 한 번 강의 듣는다고 자리 잡히지 않는다. 사분기에 한 번도 부족한 것이 실상이다. 적어도 한 달에 한 번은 데이터 보호와 관련된 교육 시간이 있어야 한다. 기업 내에서 보안을 아무리 강조해도, ‘눈에 보이고 체감이 되는’ 기회가 없다면 다들 한 귀로 회사의 메시지를 흘려버린다. 포스터도 복도에 붙이고, 이메일도 주기적으로 쏘는 등 다각화된 교육 기회 제공이 필요하다.

4. 정보 보호 방법을 실제로 알고 있어야 한다
사실 많은 기업들이 ‘보안이 중요하다’고 강조만 하지 사실 방법론을 갖추고 있진 않다. 보호해야 할 정보를 어디에, 어떤 식으로 보관해야 하는지 정책이나 가이드라인조차 갖추지 않은 부서와 기업들이 허다하다. 대기업 수준에 가서야 보안을 실천한다는 것이 ‘체감’된다. 데이터 보호의 기본인 암호화 기술 역시 많은 기업들은 사용하고 있지 않다.

5. 사고 방지 교육도 중요하지만 대처 교육도 중요하다
사고 징후가 발견됐을 때(심각한 데이터 유출 사고가 아니라 많은 이들이 간과하는 ‘프라이버시 침해 사고’) 대부분 담당자들은 상급자에게 보고서를 제출하는 것으로 1단계 처리를 끝낸다. 하지만 상사가 항시 해당 담당자의 보고서를 기다리는 게 아니라면, 이는 매우 비효율적이며 부적절한 조치다. 어떤 경우 상사가 한 달 동안 출장 중에 있어 프라이버시 침해가 오랜 기간 처리되지 않기도 했다.

데이터 프라이버시를 정말로 중요하게 생각하는 회사는 모든 직원들에게 ‘비상 연락망’을 돌리고, 꾸준히 업데이트 한다. 누구라도 데이터 프라이버시가 침해된 것을 발견하면 어디든 즉각 보고할 수 있도록 말이다. IT 부서와 법무부서로의 핫라인을 구축하는 것도 좋은 방법이다.

6. 강력한 비밀번호와 다중인증
프라이버시는 ‘보안 위생’을 잘 지키는 것과 연관성이 깊다. 보안 위생이 잘 지켜질 때 데이터 프라이버시도 보장된다. 사용자들이 가장 어려워하지만, 가장 쉬운 보안 위생 사항은 비밀번호를 강력하게 설정하고, 되도록 다중인증을 사용하는 것이다. 인터넷 뱅킹을 할 때처럼, 보호해야 할 모든 데이터에 접근하도록 정책을 정하고 분위기를 만들어가면 데이터 프라이버시 보호는 상당히 진작될 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>