4차 산업혁명시대…정보보호는 기업 성패 가르는 핵심 목표

[CCTV뉴스=박호진 KT텔레캅 강북 지사장] 최근 기업은 경쟁우위 확보를 위해 4차 산업기술을 활용하고 있다. 인공지능과 빅데이터, 클라우드 등이 접목된 정보통신기술을 기업에서 활용하는 것은 기업 내에서 더욱 중요한 위치를 점하게 되었다. 정보시스템으로 모든 것이 연결되고, 활용되는 미래 환경에서 정보의 손실은 기업의 성패를 결정하는 가장 핵심적인 경쟁력이 되기 때문에 관리적 보안, 기술적 보안, 물리적 보안 등과 같은 허가받지 않은 모든 행위를 통제하는 기업의 정보보호는 매우 중요한 요소이다.

4차 산업혁명시대 정보보안의 중요성

보안 전문가들은 국내 정보보안의 문제점으로, 조직구성원의 정보보안 마인드가 부족하고 위협요소에 대한 인식이 약한 것을 지적한다. 기업 등에서는 법률에서 요구하는 정보보안 의무를 준수하기 위하여 정보보안 전담조직을 구성하거나, 정보보안책임자와 담당자를 지정하고 있긴 하지만, 기업의 정보보호는 한 두 명의 노력으로 성취 가능한 목표가 아닌 조직 내 정보보안 책임자부터는 물론 조직 구성원 모두가 일정수준 이상의 정보보안 능력을 갖추어야 한다.

4차산업혁명과 함께 모든 사물과 인터넷이 연결되는 ‘초연결’, ‘클라우드’ 기반 사회에서의 사이버 범죄 피해는 예측하기 힘든 큰 문제를 일으킬 수 있다. 특히 인공지능은 보안시스템을 우회하는 수단으로 사용될 가능성이 크다. 악성코드는 일일이 수작업으로 작업해야 하고, 네트워크 침입을 위한 탐색과 공격에는 많은 노동력이 요구되어 왔다. 하지만 인공지능을 활용하면 더 쉽게 보안 시스템을 위협적으로 공격할 수 있다.

보안침해 사고의 경우 보안침해를 받은 기업이나 조직이 그 침해 사실을 외부에 공개하기 꺼려하는 특성으로 인해 보안침해 사고에 대한 활발한 사례연구가 어렵다. 특히 기업이 대외적으로 검찰수사 등을 통해 공개하지 않은 경우에는 침해사례연구를 근본적으로 할 수 없으며 공개된 사실이라 하더라도 기업의 영업비밀에 속한 내용들이 수사내용에 다수 포함되어 있을 수 있기에 이에 대한 사례연구를 수행하기는 대단히 어려운 것이 현실이다.

기업의 정보보안은 기업의 구성원이 해당 직무를 성공적으로 수행하기 위한 능력의 기준이 단순히 해당 지식을 아는 것이 핵심이 아니라 지식을 기반으로 한 기업 정보보안을 위한 조직의 핵심 목표로 인식하고 성공적 수행에 초점을 두어야 한다. 따라서, 기업의 정보보안은 조직 구성원의 지위, 직책, 직무 등 다루는 업무의 권한과 중요도에 따라 해당 조직 구성원들이 갖추어야 할 수준별 직무능력을 제시하여야 한다.

최근 통계자료를 보면, 인터넷 침해 사고의 대부분은 악성코드와 해킹이 차지하고 있으며, 특히 기업의 해킹사고 비율도 27.95%로 높은 편임을 알 수 있다. 국가별 해킹사고도 우리나라의 침해사고가 24.91%로 다른 국가에 비해 높은 편이었다. 그러나 대규모 개인 정보 유출, 사이버테러 등 언론매체를 가득 채운 해킹, DDoS, 피싱 등 각종 보안 사고 관련 소식에도 불구하고, 효과적인 대응 방안에 대해 자신있게 이야기 할 수 있는 기업은 많지 않을 것이라 생각된다.

시스코 연구원에서 2017년 1월부터 9월까지 조사한 기업내 가장 자주 사용하는 이메일 문서에서 악성 파일 확장자의 유형을 파악했다. 분석 결과 가장 많은 악성 파일 확장명 그룹(38%)이 워드, 파워포인트, 엑셀 등 마이크로소프트 오피스 형식이 상위를 점유했다. 또한, .zip이나 .jar와 같은 보관 파일이 상위 2번째를 점유했다.

정보보호의 3가지 필수 요소 ‘관리적/기술적/물리적 보안’

4차 산업혁명 시대에 IT 인프라의 발전과 정보 접근성의 개선은 기업의 원활한 업무의 진행과 고객 편의를 제고시키는 등 기업활동을 위한 필수 불가결이 되었다. 하지만 IT 인프라와 정보에 대한 높아진 의존도는 기업정보의 유출과 탈취, 변조, 개인정보 유출, 해킹으로 인한 시스템 마비 등의 크고 작은 보안사고의 증가로 이어지고 있으며, 이로 인해 기업이 수십년 간 쌓아 올린 이미지를 하루 아침에 몰락시키고 주가를 폭락시키는 등 기업의 가치를 훼손시켜 기업에게 무서운 위협으로 다가오고 있다.

기업들은 이윤추구를 위해서 개인정보를 무분별하게 수집하고 이용해왔고 개인정보 자체가 가치로 인정되면서 개인정보가 사업의 성패에 중요한 요소로 부각되었다. 그러나 기업들은 개인정보를 수집하는 것에만 관심이 있고, 수집한 개인정보의 관리에는 크게 신경을 쓰지 않았기 때문에 개인정보유출 사고가 끊임없이 발생했다.

과거 카드사, 의료관련 협회, 통신사 등에서 발생하던 개인정보 유출사고가 이제는 대학교에서까지 발생하고 있다. 이에 따라 국민의 불안 심리가 가중되고 있고 정보유출로 인한 고객의 피해가 점점 늘어나고 있으며 기업의 이미지 훼손, 주가폭락, 영업정지는 물론 관련 기업의 임원들이 책임을 지고 사퇴하는 등 그 파급 효과도 크다고 할 수 있다. 그 만큼 4차산업혁명 시대에 기업의 정보보안은 중요한 이슈가 아닐 수 없다.

하지만 기업들이 보안 사고 예방과 대응을 위해 할 수 있는 실질적인 대책이나 방안이 후속조치 말고는 없다는 것이 문제이다. 기업이 정보보안 사고를 사전에 예방하고 대응한다면 고객들은 더욱 안전과 신뢰를 갖게 되고 기업의 이미지뿐만 아니라 가치도 제고될 수 있다. 그러나 기업들은 아직 보안 투자에 대한 인식이 비용으로 인식되는 탓에 눈에 보이는 손해가 발생하기 전까지는 보안강화와 사전 대책 마련에 소극적일 수 밖에 없어 정보보안 사고의 위험은 여전히 지속되고 있다.

정보보안은 ‘정보의 수집, 가공, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법’ 혹은 ‘악의적, 우연, 실수 등으로 발생하는 정보의 허가 받지 않은 유출, 전송, 변경, 파괴 등으로부터 정보를 보호하는 것’이라는 두 가지로 정의될 수 있다.

쉽게 말해 정보에 대한 허가 받지 않은 모든 행위를 통제하는 활동 모두를 정보보호라고 할 수 있는 것이다. 정보보호 활동은 관리적 보안, 기술적 보안, 물리적 보안 이렇게 세가지 원칙으로 분류할 수 있다.

즉, 관리적 보안을 통해 조직의 정보보호에 대한 정책 수립과 정보보호 체계를 보다 효율적이고 체계적으로 구성하고, 기술적 보안은 관리적 보안의 한 부분으로 보아 백신, 방화벽과 침입탐지 시스템 등의 도입을 회사의 보안정책에 맞게 체계적으로 구축할 수 있는 것이다. 그리고 물리적인 침입은 물리적 보안 시스템을 통해 차단한다. 이 세가지 정보보안 활동은 조직 내에서 조직구성원들이 계획하고 수행 관리해야 할 업무이나, 조직 내에서 구성원들의 정보보안 인식이나 활동이 극히 미온적인 것이 문제이다.

고객의 개인정보를 취급하는 회사라면 개인정보의 유출을 방지하고, 고객에게 신뢰를 주기 위해서 관리적 보안체계를 보다 더 중요하게 다루어야 하며, 이를 통해 기업의 대외적인 이미지 향상도 기대할 수 있다. 그리고 정보보호는 어느 한 분야의 정보보호 수준이 낮으면 전체적인 보안수준이 낮아지므로 세 가지 요소들간 적절한 균형을 유지할 수 있도록 노력해야 한다. 이처럼 정보보호가 보안 솔루션을 포함하는 기술적 보안만을 일컫는 것이 아니라, 기업환경에 포함된 모든 인적, 물리적 환경들을 두루 포괄하는 개념인 탓에 정보보호 활동에 많은 투자를 했다고 하더라도 체계적으로 잘 갖추어진, 100% 완벽한 보안을 할 수는 없다.

그렇기 때문에 보안 정책은 기업환경 내에 자연스럽게 동화되어 문화로서 정착될 수 있도록 끊임없이 진화해야 하는 것이다. 이에 기업 조직이 고객의 요구와 보안의 중요성을 미리 인지하여 자체 보안정책을 제정하고 보안 솔루션을 도입하는 등 보안활동 3가지 요소를 단계적으로 투자하여 구축하고, 일반 보안정책 외에는 자체 회사 내부 보안을 위한 활동이 미비한 상태임으로 보안강화를 목표로 임직원들의 보안인식 향상을 위한 보안 세미나 및 교육을 시행하는 등 단계적 마스터플랜을 세워 기업정보 유출을 통제하고 해킹 등으로 인한 사고를 미연에 방지하여 안전한 업무 활동과 대외 이미지 상승에 이바지하여야 한다.

정보보안에 대한 근본적인 문제는 인간의 의지와 행위에 기초하고 있다. 즉, 기업의 정보와 시스템을 보호하기 위해서는 기술적인 측면보다 관리적인 측면 즉, 효과적인 정책을 세우고 이를 조직 구성원들이 실행할 수 있도록 동기부여를 하는 것이 중요하다.

수직적 조직과 수평적 조직

조직은 권한과 역할의 배분과 계층간의 명령, 복종관계의 정도에 따라 수직적 조직과 수평적 조직으로 나눈다.

따라서, 정보보안은 수직적 조직 수동적 행동이 아닌 수평적 조직으로 수직적 조직은 관리자의 보안의식에 따라 반영되지만 수평적인 조직은 조직구성원 모두가 자발적으로 참여해야 한다. 정보보안은 수동적 대응이 아닌 능동적 대응이 필수이다. 왜냐면 기업의 정보보안은 관리자와 개인의 문제가 아닌 전사원이 함께 해야 하는 행동이다.

자발적 참여도 향상 위한 전사적 정보보호 패러다임의 전환

이러한 전사적 정보보안 체계로의 전환을 위해서는 조직원들이 정보보안의 중요성과 필요성을 인지하여 자발적 참여도를 향상시키는 것이 필수적이며, 이를 위하여 다음과 같은 전략적 접근을 고려하여야 할 것이다.

첫째, 최고 경영진의 강력한 의지를 바탕으로 정보보안에 대한 거버넌스 체계의 구축이 필수적이다.

조직 내에서 효과적인 정보보안 활동이 가능하기 위해서는 최고 경영진이 먼저 정보보안의 중요성을 인식하고 있어야 하며, 사고 발생 시의 금전적 손해, 평판 위험 등을 종합적으로 고려하여 전사적인 대응 체계를 마련하여야 한다.

이를 위해서는 최고 경영진과 이사회가 직접 정보보안활동을 모니터링하고, 통제할 수 있는 정보보안 조직 체계 구축과 구성원의 역할과 책임(Role & Responsibility)을 명확히 하는 것이 선결과제일 것이다. 이후 이를 기반으로 전사 차원의 정보보안 정책과 내부통제를 점검하여 관련 법규와 규정을 정비하고 이를 준수하도록 제도화 하는 것이 필요하다.

둘째, 정보보안에 대한 전체 조직원들의 인식 전환과 문화 함양이 필요하다.

PwC에서 발행한 ‘Global State of Information Security Survey 2013’ 보고서에 따르면, 조직의 연속성과 사고 대응 계획의 효과성에는 충분한 정보보안 훈련과 변화관리 활동이 가장 중요한 요소인 것으로 나타났다. 정보보안은 IT 관리자 혹은 정보보안 관리자 혼자서 해결할 수 있는 문제가 아니며, 정보보안 훈련, 교육과 인식제고를 통해 전사가 참여하는 형태의 정보보안 활동(Holistic Approach)으로써 이행되어야 한다. 따라서 조직의 모든 구성원들이 정보보안에 대한 책임과 의무가 있음을 인지하는 조직 분위기 쇄신과 문화의 마련이 매우 중요하다.

셋째, 정보보안 전략과 체계가 비즈니스 전략, 목표와 연계되어야 한다.

과거 정보보안 컨설팅 사례들을 되짚어보면, 수 많은 조직에 도입된 정보보안 프로세스 와 시스템은 실제 업무 처리 시 효과적으로 운영되지 않는 경우가 상당수 발견된다. 이는 정보보안 활동 수행 시 조직원들이 왜 보안을 중요시하여야 하며, 이러한 정보보안 활동이 조직의 비전 과 목표 달성에 어떠한 의미를 가지며, 본인들에게 어떠한 도움이 되는지에 대하여 인식하지 못하는 데에서 기인하는 경우가 대다수이다.

이러한 경우 도입된 정보보안 프로세스와 시스템의 효익은 100% 발현될 수 없으며, 오히려 조직의 예산을 낭비하고 생산성까지 저하시키는 결과를 초래하게 된다. 조직원들의 공감대를 형성하여 자발적인 참여가 가능하도록 하려면, 조직의 정보보안 전략은 항상 비즈니스 목표와 연계되어 정기적으로 점검, 정비되어야 할 것이다.

넷째, 정보보안은 기술(Technology), 프로세스(Process), 사람(People)의 3가지 요소로 구성된다.

예전에는 기술이 정보보안의 핵심 요소로 다루어졌지만, 날이 갈수록 기술을 적용하는 프로세스와 사람의 중요성이 높아만 가고 있다. 정보보안 전문가인 브루스 슈나이어 역시 그의 저서를 통해서, “정보보안 문제를 기술로 해결할 수 있다고 생각한다면 그 문제와 기술 모두를 이해하지 못한 것”이라고 서술했다. 이제 기술이 아닌 사람과 프로세스를 새로운 정보보안의 핵심으로 인식하고, 조직 구성원들이 정보보안에 자발적으로 참여할 수 있는 문화와 비즈니스 프로세스 기반을 마련하는 새로운 정보보안 패러다임으로의 전환을 모색한다면 비로소 근본적인 보안 문제의 해결에 다가갈 수 있을 것이다.

다섯째, 프라이버시 중심 디자인(Privacy by Design)

이와 함께, 개인정보 보호에 대한 기업의 긍정적인 투자 모델을 만들어나가야 한다. 개인정보를 취급하는 서비스나 상품을 개발하는 경우 설계단계에서부터 정보보호를 내재화하는 '프라이버시 중심 디자인(Privacy by Design)'을 추진해 기업의 보안 정책과 경쟁력을 높여야 한다. 이를 위해 최고경영자가 개인정보 보호에 대해 이해하고 개인정보보호책임자의 활동을 적극적으로 지원해주어야 한다.

작성자: 박호진 KT텔레캅 강북 지사장