< IT 밸리> 내부 정보보안의 중요성

이종성 사파소프트 부사장

인터넷�피투피(P2P)�그리드(Grid), 그리고 유비쿼터스(Ubiquitous)로 이어지며 정보화 패러다임이 바뀌고 있다. 이들 정보화 패러다임의 주된 내용은 정보 공유 및 정보 접근 용이성을 제공한다는 것이다. 그러나 역기능도 많다. 그 중 하나가 보안사고다.

전체 보안사고 중 80% 이상을 차지하는 것은 내부 정보보안 사고(내부정보유출 및 정보자원 오�남용 등)이다. 정보 자산의 가치가 증가할수록 내부 정보보안 사고는 심각한 문제를 야기한다. 내부 정보보안 사고는 주요 기술정보, 고객 및 개인 정보, 국가기밀 및 이권에 관계된 정보가 유출됨으로써 재산상 손실뿐만 아니라 기업의 경쟁력 약화나 국부 유출 등으로까지 발전될 수 있다.

내부 정보보안 사고는 비인가자가 불법적으로 접근함으로써 발생하는 것보다 정보접근 권한이 있는 인가된 내부자 또는 내부자의 동조에 의해 발생하는 경우가 대부분이다. 한 예로 최근 국내의 CDMA 기술 및 무선통신 모뎀 기술이 회사 내부 연구자에 의해 기술 경쟁국인 중국에 불법 유출된 적이 있다. 이는 정보유출 사고의 빙산의 일각이라 생각된다.

그렇다면 내부 정보보안 사고를 차단 및 방지하는 방법은 없을까. 이를 위해서는 법 교육 정책 기술 제도 등 다양한 형태의 대응방안이 종합적으로 마련돼야 한다. 이미 국내·외 유수기업에서는 내부 정보보안을 위한 대책을 책임지고, 기술적 대책과 법률적 대응까지 총괄책임을 지는 최고보안책임자(CSO: Chief Security Officer)를 선임하고 있다. 특히 국내의 경우 영업비밀보호법, 정보통신망 이용촉진 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률, 개인정보보호지침, 정보통신기반보호법, 보안업무 시행 규칙 등을 통해 내부정보보안을 법률로 강제하고 있다.

기술적인 측면으로는 정보유출 주체에 정보접근 권한자를 배제한 내부자로 한정한 기술과 내부 통신 내용을 모니터링하는 기술이 주류를 이루고 있다. 그러나 이는 내부 정보보안에 있어 단순 기능적인 측면에서 무분별한 통신 내용, 특히 메일 내용을 감시하는 경우 개인의 프라이버시를 보장하는 통신비밀보호법 및 정보통신망이용촉진 등에 관한 법률에 위반될 소지가 있다. 또한 암호통신을 할 경우 그 효용성이 떨어진다. 통합적인 조직 보안 정책 및 절차에 따라 조직 내부의 파일 흐름(통신, 이동저장장치 등을 통한 정보 흐름 포함)을 통제하는 기술 및 관리 절차를 도입해 보안 효과를 극대화시키는 것이 보안 효과 없이 불필요한 법적 소송에 휘말리는 통신모니터링보다 바람직하다. 그럼에도 불구하고 기존 내부 정보보안을 위한 대응들 간에는 유기적인 협력관계가 부재하고 이를 통합적으로 지원하는 기술적 대응이 미진하다.

이와 같은 한계점 때문에 내부 정보보안은 내부자 보안 교육을 통한 보안 의식 증진(security awareness)에 무게를 두고 있다. 어떤 조직의 보안 수준은 가장 취약한 조직의 보안 수준으로 결정된다. 이렇다고 볼 때 내부보안의 경우에도 기술적 한계점만큼 또는 내부자의 도덕성만큼 보안 수준이 결정된다고 할 수 있다.

이와 같은 기존 내부정보보안관리의 문제점을 극복하고 체계적인 내부 정보보안을 위해서는 기존 내부보안 위험요소들에 효과적으로 대응하는 향상된 기술적 대응을 바탕으로, 내부자들에 대한 기술적 대응 준용을 강제하는 내부 보안 교육이 필요하다. 또한 기술적 대응을 효과적으로 운영할 수 있는 정책 및 제도 수립 등 각 내부보안이 대책별로 균형 잡힌 정보보안 수준을 유지하고, 유기적인 연결과 통합 운영을 지원하는 통합 내부 정보보안 관리체계가 요구된다.

실효성 있는 내부 정보보안을 하기 위해서는 단순 제품에 의한 내부보안을 수행하는 것은 적절치 못하다. 통합 내부 정보보안 관리체계와 이를 지원하는 통합 내부정보 보안 기술 대책을 결합하는 것이 내부정보보안을 위해 적절하다고 본다.