[미래포럼]정보보호와 리스크 관리

　최근 국정원의 발표에 따르면 2004년 적발된 해외 기술유출 사건은 모두 26건으로 피해액이 32조원을 넘는 것으로 추정되고 있다. 이는 작년 국내총생산(GDP) 추정치 대비 4.5%에 달하는 금액이다. 또 교육인적자원부의 교육행정정보시스템(NEIS)은 프라이버시 노출과 개인정보 집적화에 따른 역기능에 대한 정부, 전교조, 학부모 및 유관단체 간의 갈등으로 막대한 사회적 비용을 소모해야만 했다.

　현재의 대외 여건을 고려할 때 21세기 지식정보화 사회에서 우리 국가를 견인하고 국부를 창출하는 동력은 무엇인가.

　첨단 정보화 산업을 기반으로 한 우리의 가장 큰 경쟁력은 오랜 기간 축적된 우수한 정보기술과 글로벌한 마케팅 능력, 불량률 제로에 도전하는 세계 최고 수준의 품질관리 능력 등이라고 할 수 있다. 즉 데이터를 집적하여 분석하고, 정보로 활용해 의사결정의 정확성과 속도를 높이는 정보가공 및 처리 능력에 기반을 두고 있다고 해도 과언이 아니다.

　결국 오늘날 우리 기업이 경쟁이 격화된 상황에서 승리하기 위한 결정적 요소는 정보활용에서 절대 우위를 차지하는 것이다. 그러나 빈발하는 정보 유출 및 보안사고는 여전히 성장에만 치우치고 관리가 허술한 우리의 한계를 다시금 상기시키는 대목이다. 9·11 이후 미 국방부는 정보보증이라는 정보보호 개념을 핵심으로 전쟁 개념을 정보전으로 전환하려는 노력을 가속하고 있다. 또 빌 클린턴 전 미 대통령은 2001년 연두교서에서 개인정보 보호를 국가적 과제로 선언한 바 있다. 미국 연방정부는 정부의 개인정보 활용 시 프라이버시 영향평가를 의무화하고, 특히 민감한 영역인 국세청의 납세자 정보 및 법무부의 범죄자 정보에 대해 적용하는 것을 시작으로 전 부처에 의무화하고 있다.

　정보활용과는 사뭇 다른 정보관리 특히 정보보호 측면에서 선진 국가와 비교해 우리를 보면 참으로 안타까움을 넘어서 당황스러움을 느끼게 된다. 어렵게 쌓아 놓은 우리의 국부와 첨단기술과 같은 국가 경쟁력이 계속 발생하는 정보관리의 허술함으로 빚어지는 어이없는 사고로 인해 하루아침에 무너지는 또 하나의 버블이 되지 않을까 두렵기만 하다.

　그렇다면 대안은 무엇인가.

　첫째, 정보에 대한 새로운 인식이 필요하다. 정보가 중요하며 가치 있다는 막연한 이해가 아닌, 정보는 돈으로 환산할 수 있는 재화이며 이를 보호하는 것은 금고 속에 돈을 보호하는 것과 같다는 실질적인 인식과 문화가 사회 전반에 정착돼야만 한다.

　둘째, 체계적인 관리시스템이 필요하다. 미국은 작년 엔론 사건으로 유발된 회계 부정을 근본적으로 차단하기 위한 강력한 내부통제 시스템을 구축하기 위해 뉴욕 증시에 상장된 기업을 대상으로 샤베인옥슬리 법안을 작년 7월 발효했다. 이 법안의 토대를 이루는 개념 중에 전사적 리스크 관리(ERM)라는 시스템에는 프라이버시, 비즈니스 정보, 병원 정보 관리 등 분야별 정보 리스크에 대한 관리체계가 포함돼 있다.

　최근 국내 은행가는 국제결제은행(BIS)의 바젤 은행감독위원회가 권고한 은행의 자기자본에 관한 협약인 바젤2에 대비해 다양한 활동이 벌어지고 있다. 2007년부터 적용 예정인 신 BIS 체계는 리스크에 기반을 두고 지급준비율을 조정하겠다는 것인데 이 리스크에는 IT 운용 리스크, 즉 정보에 대한 관리 리스크가 포함돼 있다. 2005년 2월 대한민국 임시국회는 개인정보 사전영향평가 제도 및 개인정보 관리체계가 포함돼 있는 개인정보 기본법을 발의한 후 일년여를 지체하며 논의만 계속하고 말았다.

　국가 안전보장 상임위원회의 위기관리 매뉴얼은 재해에서 사이버에까지 이르는 방대한 영역에서 위기시 대처 방안을 제시하고 있다. 하지만 통합방위법에는 국가 수호영역에 영공, 영토, 영해만 있고 사이버 공간은 추가되지 않고 있다. 기업과 국가 측면에서 새로운 관리 시스템을 이해하며 그동안 비용과 우선순위에 밀려 한시적으로 운용되던 정보보호와 정보 리스크 관리 시스템의 구축을 최우선 과제로 전환하는 혁신적인 사고가 필요하다.

　셋째, 체계적인 관리시스템을 위해 정확한 현실인식을 바탕으로 한 최고 의사결정권자의 정책적 판단이 중요하다. 이를 위해서는 전문가 인력의 저변확대가 필수적이다.

　대학에서 정보보호와 리스크 관리 전문인력 양성을 위한 강좌가 윤리과목이나 기초 전산 강의와 같이 필수교양과목이 되어야 한다. 한두 명의 전문인력으로 이를 해결하겠다는 시도는 오히려 난센스다. 대학, 연구소, 기업 등에서 관심 항목으로 등재해 전문인력 양성에 각별한 지원을 하는 것이 절실하다. 이런 상황에서 정보보호와 리스크 관리라는 든든한 하부 시스템과 우수한 인재가 더욱 힘이 될 것이다. 앞으로는 어이없는 정보사고를 지면에서 접하는 일이 없기를 바란다.

◆이경호 컨설팅하우스 대표klee@consultinghouse.net