특별기획 INTRO - 고객 정보보호와 정보보안은 기업 성장의 최우선 과제
Management는 최근 이슈가 되는 기술혁신 주제를 해당분야 전문가들이 심도있게 다루는 섹션입니다.
초고속정보통신망과 스마트폰 등 무선통신 서비스의 폭발적 발전에 따라 국민들은 손가락 하나만으로 다양하고 매우 편리한 서비스를 이용할 수 있는 반면, 해킹과 피싱 등 컴퓨터 범죄와 개인정보 불법누출에 따른 피해 그리고 사이버 공격에 따른 국가안보 차원의 위협 역시 급증하는 추세에 있다.
따라서, 이러한 사이버 위협에 효과적으로 대처하고 국민 개개인의 프라이버시 보호에 필요한 인식제고와 법 · 제도적 대책 그리고 정보보안기술 개발 및 산업발전 정책을 모색할 시점에 있다.
여기에서는 국내 Identity와 프라이버시 보호현황과 문제점을 돌아보고, 정부의 정책과 법·제도적 현황 및 발전방향, 국내 정보보호기술 개발 및 산업계 현황 및 문제점들을 분석하며, 신용카드 회사 등 금융권을 중심으로 발생되고 있는 개인정보 불법누출 사고의 원인과 중장기적 보안대책을 검토해보고자 한다.
정보보호와 개인정보 보호에 대한 이해
정보보호는 일반적으로 ‘의도적으로 허가받지 않은 정보의 누출, 전송, 수정, 파괴 등으로부터의 보호’로 정의된다.
「국가정보화기본법」에서는 특별히 국가와 사회 및 기업의 보안수준 제고를 목적으로 정보보호를 “정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적·기술적 수단을 마련하는 것”으로 정의하였다.
또한 「개인정보보호법」에서는 개인정보를 “살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”라고 정의하고 있다.
정보보호는 창과 방패의 특성을 지닌 개념이다. 많은 사람들이 정보보호 수단을 통해 외부의 공격으로부터 정보와 시스템 및 네트워크를 완벽하게 보호할 수 있다고 믿고 있지만, 그러한 믿음은 단지 사람들의 바람일 뿐이다.
정보보호는 단지 사고를 예방하는 기능과 감수할 수 있을 수준으로 피해를 최소화할 뿐, 물샐틈없는 완벽한 보호는 존재할 수 없다.
정보보호는 일반적으로 정보의 불법공개 방지와 위변조 방지시스템과 서비스가 지연되거나 파괴되는 것을 예방하기 위해 정보의 기밀성과 무결성 보장기능과 네트워크와 IT서비스의 가용성 보장기능을 제공한다.
그러나 정보보호는 일반적으로 소기의 목표를 100% 달성할 수 없으며, 네트워크 성능을 저하시키고 투자효과를 입증하기가 곤란하기 때문에 기업의 최고경영자들은 정보보호를 단순한 보험정도로 간주하며 정보보호에 재정을 투입하는 것을 꺼리는 현실이다.
정보보호 활동은 기술적 대책과 관리적 대책 및 물리적 대책을 수립·운영하는 것으로 구성된다.
최근에는 기술적 대책과 관리적 대책을 병합하여 논리적 대책으로 정의하는 경향이 있으며, 이러한 논리적 대책과 물리적 대책이 융합된 물리적/논리적 융합보안 대책을 수립·운영하는 조직들이 증가하고 있는 추세이다.
보안과 고객의 개인정보 보호는 최고경영자의 책임
초고속정보통신망과 스마트폰 등 무선통신 서비스의 폭발적 발전에 따라 고객들은 손가락 하나만으로 대형마트에서의 장보기 등 다양하고 매우 편리한 서비스를 즐기고 만끽하고 있으며, 기업 역시 컴퓨터와 모바일기기 및 네트워크를 기반으로 기업의 업무효율성과 VIP고객의 만족도 제고 등 시장경쟁력 확보를 위한 다양한 IT서비스를 운영하고 있다.
오늘날 IT서비스와 무관한 비즈니스는 생각조차 할 수 없다는 것이 중론이다.
기업들의 IT의존도는 지난 1990년대와는 비교할 수 없을 정도로 높으며, IT시스템의 장애, 특히 해킹 등 사이버공격에 의해 발생된 장애는 곧바로 기업의 심각한 매출저하로 연결된다.
지난 2003년 1월말 국내 제1차 인터넷 대란을 유발한 매우 작은크기의 슬래머 웜에 의해 국내유수의 백화점과 대형마트 그리고 호텔 등의 서비스업종 매출이 단기간에 격감한 사례는 현대 비즈니스의 IT서비스에 대한 의존도와 서비스장애 예방, 특히 네트워크 보안이 기업경영에 어떠한 악영향을 미치는지를 보여주는 대표적인 사례이다.
2014년초 발생된 신용카드 등 금융권의 고객정보 불법유출 사고는 해당기업의 신뢰도와 고객이탈 그리고 브랜드가치 하락 등의 피해뿐만 아니라, 유출된 정보를 악용하는 범죄자의 피싱공격 등에 의해 고객들의 2차 피해가 현재에도 계속해서 진행중에 있다.
필자 역시 2014년 6월 불법유출된 금융정보를 악용한 국외 범죄자들의 피싱공격을 경험한 바 있으며, 보안전문가가 아닌 일반인들의 피해가 확산될 것을 지금도 우려하고 있다.
오늘날 세계각국은 기업을 대상으로 고객의 개인정보와 기업의 기밀정보 보호 및 안정적인 IT서비스 운영을 목적으로 다양한 형태의 법제도 마련을 통해 기업의 보안 및 고객의 개인정보 보호활동 격려 및 규정위반에 대한 처벌 등 규제를 시행하고 있다.
우리나라도 지난 2000년대 초반부터 「정보통신망법」과 「개인정보보호법」 등을 마련하고, 기업의 고객정보 보호활동과 IT서비스의 보안 및 가용성을 확보하고, 비즈니스 정보의 무결성을 실현하는 것을 격려하는 동시에 법규위반에 대한 처벌 역시 강화하는 추세이다.
기업의 IT서비스에 대한 의존도가 증가할수록 정부와 사회는 기업과 고객의 정보의 안전 및 무결성을 위한 기업의 노력을 강요할 것이며, 소비자 역시 자신의 정보를 관리하는 기업에 대한 감시를 지속적으로 강화할 것이다.
오늘날 기업의 보안과 고객정보 보호활동은 단순한 사고예방 수준을 넘어 정보 불법유출 또는 네트워크 마비 등에 따른 각종 피해에 의해 발생가능한 기업의 위험을 사전에 예방하는 기업경영의 중요한 과정으로 간주된다.
이러한 기업의 정보보호 활동은 IT 또는 보안담당 부서만의 노력으로는 결코 그 목적을 달성할 수 없다.
미국의 IT전문기관인 Gartner는 전사적인 참여만이 보안과 개인정보 보호를 위한 기업의 노력을 성공으로 이끌 것이며, 특히 최고경영자의 관심과 참여가 필수적임을 강조하고 있다.
아울러 보안과 프라이버시 보호를 위한 최고경영자의 책임을 강조하며, 그러한 활동을 실질적으로 책임질 수 있는 최고 보안책임자제도 도입을 권고하고 있다.
기업의 정보보호 활동 및 조직구성
기업은 IT자원을 대상으로 지속적으로 보안위험을 분석하고, 이를 보완하는 프로세스를 운영해야 한다.
기업은 또한 정부의 다양한 보안정책 또는 규제와 관련된 법적 요구사항들을 충족할 목적의 세부 보안정책 및 절차를 수립하고, 이러한 보안정책 및 절차들을 최고경영자를 비롯한 전 임직원들이 숙지할 수 있도록 지속적인 보안교육을 실시한다.
기업은 기업의 보안활동을 효율적으로 수행하기 위하여 정보보호 전담팀을 구성할 수 있다.
최근 정부는 최고경영자 또는 최고 보안책임자 직속으로 보안팀을 설치·운영할 것을 권고하는 추세이다.
정보보호 전담팀 구성에 필요한 고려사항들로서 기업의 규모, 시스템 환경, 조직 및 관리구조, 운영사이트의 수와 위치, 사이트간 상호연결 상태, IT예산 등을 들 수 있다.
정보보호 책임자는 정보보호예산 확보 및 지원, 정보보호조직 구성 및 인력배치, 정보보호교육 지원, 정보보호 지침 및 절차 마련, 시행 지원 등의 업무를 수행하며, 정보보호 관리자는 정보보호 기술적 업무 기획 및 점검, 시스템 담당 및 사용자의 정보보호활동 독려, 각종 시스템 관련업무 검토 및 수행 결정한다.
또한 정보보호 담당자는 전체 시스템 보안관리 및 보안시스템 운영, 일반사용자대상 보안교육 시행, 보안관련 지침서·절차서, 매뉴얼 작성 등의 업무를 수행한다.
정보보호 전담팀 구성 또는 정보보호예산 투입이 곤란한 영세 소규모 기업의 경우 정부·제도의 도움을 받아 법적 의무사항인 정보보호 활동을 수행할 수 있다.
방송통신위원회와 한국인터넷진흥원은 웹사이트의 안전한 운영에 필요한 정보보호 전문지식이나 서버관리 인력이 없는 중소기업, 소상공인, 비영리단체, 개인을 대상으로 웹보안 통합서비스를 무료로 제공하고 있다.
한국인터넷진흥원은 원격 웹사이트 취약점 점검서비스와 웹사이트 보안기술 관련상담 그리고 웹쉘 및 악성코드 은닉사이트 탐지도구 제공 등의 서비스를 신청자를 대상으로 무료로 제공한다.
또한, 최근 방송통신위원회는 정보보호관리체계 인증의무화 확대에 따라 예산부족에 그저 한숨만 쉬는 영세 중소기업들을 대상으로 인증심사 수수료를 50% 감면하였다.
감면대상은 매출액 기준 100억원 미만의 상호출자제한 기업집단에 속하지 않는 중소기업이다.
결어
오늘날 기업의 기밀정보와 고객의 중요한 개인정보 보호를 위한 노력은 단순히 법적 의무를 충족에 그치는 것이 아니라, 기업에 대한 투자자와 VIP고객들의 신뢰도를 증진에 기여하는 핵심 성장동력으로 간주되는 추세이다.
본 특별기획에서는 개인정보 보호와 기업보안의 중요성을 강조하며, 이를 위한 정보보호관리체계 인증제도 등의 기술적·관리적 대책을 소개한다.
또한 「개인정보보호법」에 따른 기업의 의무조치 등을 소개하며, 금융권의 기밀정보 누출방지를 위한 노력과 국내정보보호산업 현황과 발전대책을 소개한다.
이를 통해 우리나라 중소·중견기업의 보안과 개인정보 보호수준이 진일보하며, 정부의 영세 소기업 대상 정보보호지원제도가 확대·발전되기를 기대한다.