내가 회사 업무 수행 중, 사용하거나 생성한 정보는 얼마만큼의 가치가 있는지, 혹은 유출되면 내 회사에 얼마나 피해가 있을 지 생각해 본 적 있으신가요? 기업의 중요 기술 정보 유출 시 예상되는 피해 금액은 이미 언론을 통해 보도된 바 있듯, 상상을 초월하는 막대한 금액이라고 합니다.

그렇다면 이렇게 내부 기술정보를 불법적으로 확보하는데 소요되는 비용은 얼마나 될까요? 알려진 바에 따르면 기술을 자체적으로 개발 또는 생성할 때 소요되는 비용과 비교하여 거의 비교가 불가능할 정도로 적다고 합니다. 이는 내 회사의 기밀 정보를 노리는 위협 요소들이 생각하는 것 보다 매우 클 수 있다는 것을 시사하기도 합니다.

시만텍이 포네몬 인스티튜트와 공동으로 2009년 퇴사자 1,000명에 대해 조사한 결과에 따르면 퇴사자 중 59%가 기밀정보를 유출했으며 유출 시 이용한 방법으로는 53%가 CD나 DVD를, 42%가 USB 메모리를, 38%가 개인 이메일을 이용했다고 합니다. 또한, 기밀정보를 유출하였다고 한 응답자 중 82%는 아무런 감사나 검토를 받지 않았으며 24%는 퇴사 후에도 회사의 정보시스템 및 네트워크에 접근할 수 있었다고 합니다. 더욱 심각한 것은 상당수의 임직원이 적은 액수의 금액으로도 회사의 기밀정보를 외부에 유출시킬 의향이 있는 것으로 조사되었습니다.

국내 경우는 방송통신위원회가 한국정보진흥원과 공동으로 실시한 결과에 따르면 조사대상 기업 중 33.4%만이 공식적으로 문서화된 정보보호 정책을 보유하고 있으며 정보보호책임자를 지정한 업체가 12.2%에 지나지 않았습니다. 또한 정보보안 사고가 발생할 경우 약 60% 정도는 이에 대해 아무런 대응을 하지 않는 것으로 조사되었습니다.

이러한 국내외적인 상황을 종합적으로 고려하면 기업이 보유하고 있는 내부 기밀정보를 안전하게 보호하기 위해서는 무엇보다 내부 단속이 매우 중요하다는 것을 시사하며 이를 위한 방안으로 다음 3가지를 제시합니다.

1. 정보보호관리체계의 수립

최근 옥션이나 GS칼텍스 등의 사례에서 보는 바와 같이 기업에서 개인정보 및 기밀정보 유출 사고가 발생하고 있으며 사고의 원인을 분석해보면 관리적 측면인 보안감사 및 이행점검 등 관리적 측면의 정보보호 프로세스가 수행되지 않아 발생하였습니다. 이러한 문제를 해결하기 위해서는 기술적 대책뿐 만 아니라 관리적/운영적 대책을 포괄하는 표준화된 정보보호 관리체계를 수립하여야 합니다.

정보보호관리체계란 기업의 보유하고 있는 정보자산에 대한 안정성과 보안 신뢰도를 제고하기 위한 절차를 수립, 문서화하고 이의 지속적인 관리와 운영을 통해 보안 목표를 달성하도록 하는 체계를 의미합니다.

이를 위해 기업이 소유하고 있는 정보자산에 대해 효과적으로 관리할 수 있는 지침 및 절차를 수립하여야 합니다. 즉, 내부정보를 보안등급에 따라 분류할 수 있는 기준과 등급별로 관리를 위한 보안요건 및 절차를 규정하여야 합니다. 또한 이렇게 수립된 요건 및 절차의 준수를 위해서는 보안감사를 지속적으로 실시하여야 합니다.

2. 정보보호 인식제고

정보보호 정책/지침이 수립되었다고 하더라도 이를 임직원이 준수를 하지 않는다면 무의미할 것입니다. 따라서 문서화된 정보보호 정책/지침에 대해서는 주기적으로 임직원에게 교육을 실시하여야 하며 특히 개인정보 및 내부 기밀정보를 취급하는 직원에게는 추가적인 직무 관련 교육이 실시되어야 합니다.

정보보안 인식을 제고하기 위한 활동은 정보보호 정책/지침에 대한 교육, 정보보안의 중요성에대한 인식제고 활동, 업무에 참고할 수 있는 보안가이드 북의 작성 및 활용 등 다양한 형태로 실시할 수 있습니다.

임직원들이 보안 통제를 고려하여 업무를 수행할 수 있도록 정보보호 인식교육을 실시하는 기업은 13.7%에 불과하며 교육 내용의 대부분은 일반 직원에 대한 정보보호 기초교육으로 나타났습니다. 따라서 임직원의 인식제고를 위해 다양한 정보보안 컨텐츠를 개발하여야 하며 특히 정보보호 정책을 임직원이 준수할 수 있도록 이에 대한 주기적이고 지속적인 교육을 실시하여야 합니다.

업무 중 자리 이석 시 발행할 수 있는 내부 정보유출을 방지하기 위해서는 Clean Desk 활동을 강화하여야 합니다. 업무 시간 중 잠시 자리를 비울 때 기밀정보가 있는 문서나 이동저장매체를 방치하면 외부 방문자나 비인가자에 의해 내부 정보가 유출될 수 있습니다. 특히 문서의 복사나 이동저장매체에 저장된 정보를 복사할 경우 로그가 남지 않으므로 유출 여부의 확인이 곤란합니다. 따라서 이러한 피해를 방지하기 위해서는 업무시간 중 잠시 자리를 비우거나 퇴근 시에는 기밀정보경우 잠금장치가 있는 서랍이나 캐비닛에 안전하게 보관하여야 합니다.

3. 내부정보유출 방지솔루션의 구축

내부정보의 유출을 효과적으로 통제하기 위해서는 관리적인 정보보호 내부정보를 유출할 수 있는 다양한 IT 인프라 경로에 대해 통제를 실시하여야 합니다. 기존에 도입된 정보보안 솔루션이 네트워크 보안에 국한되어 있다면 최종 사용자 측면에서는 보안 취약점이 존재할 수 있습니다.

이러한 문제를 해결하기 위해서는 최종 사용자의 PC에서 보안통제를 적용할 수 있는 솔루션을 구축하여야 하며 대표적으로 DLP(Data Loss Prevention) 솔루션이나 DRM 솔루션 등이 있습니다. 위와 같은 솔루션의 구축의 경우는 회사가 보유하고 있는 내부 중요정보에 충분한 분석이 있어야 하며 이에 대한 관리대책도 수립되어 있어야 합니다.

이상으로 기밀정보의 유출을 방지할 수 있는 보안 대책으로 정보보호관리체계의 수립, 정보보호 인식제고, 내부정보유출 방지솔루션의 구축 등에 대하여 살펴 보았습니다. 우리 속담에 ‘소 잃고 외양간 고친다’라는 말이 있습니다. 외양간을 허술하게 지었거나 지속적으로 외양간을 관리하지 않는다면 소를 잃어버릴 수 있습니다. 그렇다면 소를 잃지 않으려면 어떻게 해야 할까요? 당연한 얘기지만 처음부터 외양간을 튼튼하게 짓고 지속적으로 관리를 하면 됩니다. 기업도 마찬가지 입니다. 내부정보가 유출되기 전에 정보보호관리체계를 비롯하여 보호대책을 수립하고 지속적으로 이행한다면 기밀정보를 잃어버릴 확률은 줄어들 것 입니다.

* 본 기고글은 지난 2009년 7월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.