또 다시 한 해가 거의 끝나가고 있다. 2008년을 마무리하는 시점에서 되돌아보면 정보보호 관련 사고에 대한 기사가 없는 적이 하루라도 있었나 싶다. 꼭 정보보호라고 제한하지 않더라도 언론에 발표된 2008년의 IT 관련 사고를 보면 너무나 잦은 대량의 개인정보 노출·유출 사고, 금융기관을 대상으로 한 서비스거부(DDoS)공격이 반복적으로 발생했다. 더욱 큰 문제는 보이스 피싱이나 스팸메일, 전자상거래에서의 개인정보 도용 등과 같이 2차 범죄로까지 불법 유출된 개인정보가 악용되고 있는 것이다.
개인정보 불법 유출이 증가하고 있으며, 불법적인 이용과 그에 대한 피해가 증가하면서 법적으로는 명확한 침해 또는 손실에 대한 증거가 없음에도 불구하고 발생 가능성만으로도 배상 판결이 계속적으로 내려지고 있다. 지난 5월 정보통신망법의 개정으로 12월 14일부터 개인정보의 기술적·관리적 보호조치의 상세화가 요구되고 있어 2009년에는 개인정보보호의 중요성이 더욱 강조돼 이와 관련된 솔루션이 정보보호의 주요 시장을 형성할 것으로 예상된다.
개인정보보호를 강화하기 위해서는 어떤 프로세스를 갖춰야 할까. 한국정보보호진흥원에 따르면, 개인정보보호와 관련해 주요 보호조치 항목과 관련 솔루션을 다음과 같이 정리하고 있다. 방화벽과 같은 접근통제 시스템, 접속기록 위·변조 방지를 위한 저장 및 별도 보관·백업 시스템 등이 우선 필요하다. 개인정보 저장·전송 시 암호화를 위해 데이터 암호 솔루션, 보안서버(SSL), 가상사설망(VPN)과 같은 시스템을 사용할 수 있다. 또 악성프로그램 방지 부문으로 백신소프트웨어, 바이러스월, UTM, 보안업데이트 자동 실행을 하며, 출력·복사 시 보호조치를 위해 프린터 보안, 사전 승인제, 경고 문구의 표현 등 관리적인 업무 절차와 연계된 보호 방안도 중요하다. i-PIN, 웹방화벽 등과 같은 시스템도 필요하다. 웹방화벽은 웹서비스가 그 특성상 공격에 노출돼 있지만 방화벽이나 침입탐지와 같은 기존의 솔루션으로는 방어하기가 어려운 반면에 DB서버 등 내부 망으로의 공격 거점이 될 경우에는 매우 심각한 문제를 야기할 수도 있는 상황을 미연에 방지한다는 측면에서 반드시 필요한 보호시스템이다.
이를 염두에 두고 기업들은 기업의 개인정보 영향평가 컨설팅을 기반으로 각각의 개인정보보호 조치 항목에 따라 경중을 파악해 그에 따른 솔루션을 도입함으로써 사회 구성원에 신뢰를 줄 수 있는 완성도 높은 개인정보보호 시스템을 구축해야 할 것이다. 고려해야 할 것은 또 있다. 바로 그 장소의 상황과 특성에 맞는 시스템을 구축해야 한다는 것이다.
그러나 무엇보다도 더 중요한 것은 개인정보보호 시스템 구축이 시행령을 충족시키기 위한 일회적이고 수동적인 접근에서 끝나지 않도록 기업 구성원이 보다 근본적으로 개인정보보호를 실현하겠다는 의지를 갖고 전사 보안 프로세스 및 규정을 만들어 이를 주기적으로 점검하고 철저하게 준수하는 것이다.
2009년에는 앞서 언급한 사항들을 유념해 각 기업의 현황에 맞도록 각각의 개인정보보호 조치 항목별로 체계적이고 단계적인 해결책을 마련하고 차별화된 정보보호 체계를 구축, 운용함으로써 주요 정보의 유출이 더 이상 발생하지 않는 안전한 정보사회가 되기 기대해 본다.
김종선 시큐아이닷컴 사장 cskim7@samsung.com
