많은 기업이 자사의 기밀 정보 및 주요 정보를 보호하기 위해 노력을 기울이고 있다. 외부 해킹으로부터 주요 정보를 보호하는 데 상당한 노력과 비용을 투자하고 있지만 정작 대부분의 주요 정보가 세어나가는 통로는 기업의 내부자임에도 불구하고 이에 대한 준비와 대응은 충분하지 않은 듯하다.
내부자에 의해 회사의 기밀정보나 고객정보가 유출되는 것을 원천적으로 차단하는 더욱 적극적인 해결책 모색이 필요하다. 해킹이나 바이러스에 의한 피해도 심각하지만 내부정보의 부정 유출에 의한 피해는 손해액이 컴퓨터 바이러스의 3배에 이른다. 미국 CSI(Computer Security Institute)/FBI 발표자료에 따르면 외부로부터의 해킹에 의한 기밀정보 유출사례는 소수인 반면 내부자에 의한 유출사례는 70∼80%에 육박하며 매년 증가하는 추세다. 내부자에 의한 정보유출사고는 금전적인 손실뿐 아니라 기업의 경쟁력 약화나 국부의 유출을 초래하기 때문에 더욱 심각하게 인식될 수 있다.
만약 신용카드 정보, 금융거래 정보, 개인 의료정보, 인터넷 상거래 정보 등이 유출돼 부정적으로 사용된다면 금전적·정신적 피해는 상상을 초월하는 부작용을 초래할 것이다.
국내의 경우 내부자 정보유출 사건이 점증하고 있다. 모 은행지점 직원 및 은행의 정보관리자에 의한 고객 정보 유출 발생, 연예인 X파일 유포로 많은 사람이 치명적인 명예손실을 겪은 경우가 발생했다. 미국의 시중 4개 은행에서도 70만명에 이르는 고객 정보가 도난당하는 사상 최대의 금융정보 유출 사건이 발생했다. 이 사건에 연루된 은행 직원들은 계좌당 10달러를 받고 불법 정보 수집업자에게 고객 정보를 넘긴 것으로 경찰은 밝혔다.
이같이 내부자에 의한 중요 정보의 유출은 사례를 일일이 열거하기 힘들 정도다.
일본에서는 개인정보보호법이 실행돼 각종 내부보안 솔루션이 속속 구축되고 있으며, 지난 5월에는 정보보안 대책회의를 개최해 정부기관들이 공통기준을 따르도록 지침을 마련했다. 이러한 대책의 일환으로 기업의 내부자 정보 유출에 의한 사고의 경우 정부가 더욱 적극적으로 관여하고 있다. 총무성은 NTT 니시니혼, NTT도코모에 고객의 개인정보가 유출된 사건 대해 엄중주의를 내렸다. 사실관계의 설명과 철저한 안전관리를 지도한 것 이외에 재발 방지 대책과 이용자 대응책 등을 종합적으로 정리해 보고하도록 했다.
미국·유럽 등에서도 사베인 옥슬리(Sarbanes Oxley) 법안, 바젤Ⅱ 등으로 기업·금융 등에 프라이버시, 비즈니스 정보 등 분야별 정보 리스크에 대비를 촉구하고 있다.
내부자 정보유출을 막기 위한 선진화된 체제의 도입은 국내 일부 대기업 중심으로 제한적으로 이루어지고 있다.
최근 대기업은 물론이고 점차 중견기업, 벤처기업에 이르기까지 문서 암호화 솔루션 및 문서나 파일의 유통을 제한하거나 흐름을 파악할 수 있는 솔루션 도입을 적극 검토하고 있다. 기업들은 이를 통해 기업의 신뢰성을 높이는 것은 물론이고, 지적 자산의 유출을 원천적으로 봉쇄하고 임직원의 정보보호 의식을 고취하겠다는 강한 의지를 보이고 있다.
기업의 기밀정보 유출은 보유한 은행 계좌에서 현금을 부정적으로 인출하여 개인통장 혹은 제3의 사람에게 송금하는 행위와 같다. 더 늦기 전에 기업은 중요 정보 보호를 위한 보안정책을 더욱 강화하고 이를 실현할 수 있는 내부통제 프로세스 강화 및 내부보안 솔루션 도입을 통해 보안정책을 가시적으로 실천해야 한다. 정부도 기업의 정보유출사고를 기업의 자체 문제로만 방치할 것이 아니라 선진국의 사례에서 보듯이 사회문제 및 국가경쟁력 차원으로 인식해 사고를 낸 당사자뿐만 아니라 사고를 예방하지 못한 기업도 일정 부분 보안사고에 대한 책임을 지도록 제도나 법령 등 관련 시스템을 재정비해야 한다.
◆ 전응희 솔루션어소시에이트 대표이사 ehchon@sa-inter.com
