[월요논단] 야자와 복숭아의 교훈

우리 사회에서 정보보호의 중요성이 날이 갈수록 강조되고 있다. 시스템의 개발과 운영이 증대됨에 따라 보호해야 할 정보가 더욱 많아지면서 정보범죄의 피해도 점차 늘어나고 있기 때문이다. 종전의 비교적 단순한 동기의 자료 변조나 삭제 등 경미한 침해에서 이제는 상당한 금융자산의 손실이나 중요한 시스템의 파괴 등 그 피해의 질과 형태가 크게 다양해지고 있고 그 규모 또한 놀랄 만큼 확대되고 있다. 심지어 개인정보의 불법거래로 살인행위까지 발생하고 있어 이제는 정보범죄가 우리 사회에 근심과 공포감마저 유발시키는 위협으로 발전하고 있는 것이다.

그러나 지나친 우려는 금물이다. 우리 모두가 정보보호의 당위성을 인식하고 자기의 시스템 환경에 맞는 적절한 보호조치만 취한다면 유비무환이 될 것이기 때문이다. 그런데 정보보호를 위해서는 우리가 유념해야 할 중요한 사항이 있다. 정보보호에도 지켜야 할 원칙이 있는 것이다. 그 원칙 중의 하나가 바로 보호해야 할 정보에 대한 적정수준의 가치평가와 정보보호의 수준이다.

만일 그다지 중요하지도 않은 정보를 보호하기 위해서 지나치게 비싼 고성능 장비를 설치, 운영하거나 네트워크 시스템 전체를 보호하려 한다면 투자 대 효율 면에서 너무나도 비경제적이기 때문이다. 간혹 정보보호를 한다고 아무런 정책도 없이 무조건 고가의 「침입차단 시스템」이나 「통제 소프트웨어」를 설치하는 경우가 이에 속한다.

정보사회란 본래 개방화를 지향하고 있기 때문에 보편화한 일상 정보는 자유로이 유통돼야 한다. 그리고 그 비중에 맞게 경제적이고 합당하게 보호조치가 이뤄져야 한다. 우리는 이러한 원리를 소박한 「야자와 복숭아의 교훈」에서 엿볼 수 있다.

야자는 그 껍질이 너무나 단단해 벗기기가 무척 힘들다. 때로는 톱이나 도끼를 써야 한다. 그러나 막상 껍질을 깨고 나면 내부는 허술하게 비어 있다. 그러나 복숭아는 이와 반대로 부드러운 살을 사람이나 동물이 언제든지 먹을 수 있도록 개방해 놓고 있지만 보호해야 할 대상인 씨는 작고 단단한 형태로 중심부에 자리잡고 있다. 그뿐만이 아니다. 복숭아가 진정으로 보호하려는 종자는 그 씨 속에 또다시 보호돼 있다. 정보보호에는 이와 같은 지혜가 있어야 한다.

공개해야 할 정보, 또는 공개해도 좋은 정보는 과감히 공개하되 꼭 보호해야 할 정보는 이중삼중으로 철저히 보호해야 한다.

특히 개인정보나 국가안보에 관한 정보 등 보호해야 할 정보의 경우는 더욱 그렇다. 우리는 앞으로 정보보호의 정책을 수립함에 있어서 무조건 감싸는 야자와 같은 보호정책이 아니라 복숭아와 같은 슬기로운 보호조치에 비중을 둬야 한다. 이미 미국에서는 중요정보에 대한 접근통제 수단으로 파이어월(Fire Wall) 이외에도 포티자(Fortezza), 포티자플러스, 가드(Guard) 등으로 다중 보호체계를 구축해 운영하고 있다. 그것이 곧 정보통신망 다중 보안대책으로 우리의 관심을 모으고 있는 MISSI(Multilevel Information System Security Initiative) 계획이다.

이밖에도 정보보호에 관한 원칙에는 몇 가지가 더 있다. 예를 들면 정보보호를 위해서는 책임과 의무가 분명해야 하며 다중연계성을 유지해 기술적, 비기술적인 대책을 통합해 고려해야 한다. 그리고 시스템에 대한 끊임없는 보안성 평가와 위험분석이 뒤따라야 한다. 또 보호조치는 시스템의 개발과 운영, 감독에 이르기까지 전 주기를 통해 총체적으로 이뤄져야 하며 모든 조치는 적시성 있게 이행돼야 한다. 그리고 정보윤리에 부합되도록 타인의 권익은 존중되고 보장돼야 한다.

끝으로, 정보보호란 소잃고 외양간 고치는 사후약방문격이 아니라 사전에 이를 예방하는 사전대책임을 강조하지 않을 수 없다. 이제는 정보보호에 대한 인식 확산으로 우리 사회에서 성공적인 정보보호가 이뤄지기를 기원한다.