<열린마당>정보보호 인증제도

김활중 사이버패트롤 사장 hjkim@syberpatrol.co.kr

최근들어 정보보호에 대한 여러 우려섞인 목소리가 들려오고 있다. 얼마 전 우리나라 정치의 1번지이자 심장부인 국회의 홈페이지가 해킹당했다. 모두들 놀라워하지만 사실 해킹과 같은 정보보호 침해사고는 다반사로 일어나는 우리 삶의 한 부분이 된 지 오래다.

이처럼 다반사로 일어나는 정보보호 침해사고로부터 기업들의 소중한 정보자산을 지키기 위한 노력의 산물이 바로 정보보호 인증제도다. 현재까지 정보보호에 관한한 영국의 BS 7799가 가장 체계화된 정보보호 관리 체계로 인정받고 있다. ISO 표준으로 채택될 날도 얼마 남지 않았다.

물론 정보보호 인증의 획득이 정보보호가 완벽함을 의미하지는 않는다. 정보보호에 관한한 완벽할 수는 없다. 다만 그 위험수준을 낮추도록 하는 것이 일반적이다. 예를 들어 보자. 미국의 통계에 의하면 내부자에 의한 정보보호 침해사례는 70% 이상이라고 한다. 하지만 해킹에 의한 사고는 극히 제한적이다.

이는 최근 테헤란로에서 이루어진 정보보호에 대한 일반인의 의식조사에서도 잘 나타난다. 응답자들은 대부분 정보보호 침해는 기업내의 직원들에 의해 상당수가 발생하며 매우 시급한 문제로 인식하고 있다고 대답했다.

이러한 측면에서 보았을 때 우리는 정보보호체계에 대한 객관적 증거가 필요하고 경우에 따라서는 정보보호체계가 구축되고 운영되고 있다할지라도 이에 대한 제3자로부터의 객관적 평가는 큰 의미가 있는 일이다. 정보보호 인증은 기업의 정보보호 수준에 대한 명확한 객관적 증거며 이러한 신뢰를 통해 기업의 업무영역을 보다 확대할 수 있을 것이다.

사이버 세상에서의 비즈니스 환경은 자연스럽게 정보보호에 대한 요구로 옮아가면서 이것이 정보보호라운드(security round)로 전이될 가능성은 매우 높아지고 있다.

우리 정부는 정보통신기반보호법을 제정해 유관 업체들의 정보보호체계 구축 필요성에 대한 홍보와 계몽을 펼치는 한편 정보보호 관리기준 등을 정보보호 컨설팅 포럼을 통해 마련하고 있다. 올해안에 정보보호 관리기준이 마련될 예정이다. 또한 정보보호 업체들도 정보보호 컨설팅포럼을 결성, 기술 세미나를 여는 등 활발한 활동으로 여러가지 대안들을 모색해 나가고 있다.

그러나 무엇보다도 중요한 것은 금융, 증권 등 일반기업들의 자세다. 기업들의 일상업무에 정보보호가 매우 절실한 문제로 다가오고 있고 법률적 요구사항도 점차 확대될 것이 자명하기 때문이다.

기업은 타율적 요구에 의해서라기보다는 보다 적극적인 의미에서 소중한 정보자산에 대한 평가와 내외적인 정보보호의 위험으로부터 지켜나가는 노력을 지속적으로 해야 한다.

국내 대기업들의 경우 민감한 업무분야에 대한 정보보호 노력은 자발적으로 이루어지고 있는 편이나 중소기업의 경우에는 이러한 노력이 부족한 것이 사실이다. 전산업무에 종사하는 직원들의 인식과 예산 등의 부족으로 정보보호 대책마련이 미흡한 실정이다.

대학 등의 경우도 정보보호 인증에 대한 이해가 매우 부족해 하드웨어적인 측면만 강조하고 있고 오히려 많은 학생들이 장난삼아 행하는 정보보호의 침해사고 예방에는 무관심하다는 점을 부인하기는 어려울 것이다.

정보보호를 담당하는 실무자들은 제품에 대한 구매는 가능하지만 정보보호 컨설팅에 대한 예산이 매우 적거나 아예 책정되지 않았다는 호소를 자주 한다. 아직까지 국내기업들이 하드웨어 도입보다 더 중요한 내부의 정보보호 관리체계에 대한 인식이 부족하다는 증거다.

정보보호에 대한 기업의 투자는 다분히 보험의 성격을 지니고 있다고 볼 때 정보보호 인증제도는 한 개인과 기업을 위한 것이 아니라 국경없이 이루어지는 오늘의 기업업무 환경에서 생존을 위한 중요한 사업요건 중 하나로 인식되어야 한다.