지면용/글로벌리포트 3면/이슈@월드/데이터보안과 개인정보보호

<표>기업 보안 사고의 원인(복수 응답)

원인 비중

시스템 또는 기술 장애 35%

직원의 부주의나 무능력 24%

비즈니스 프로세스 장애 22%

사이버 범죄 18%

직원의 악의적 행동 13%

임시직원이나 하도급업체의 부주의나 무능력 11%

※19개국 기업 경영진 5500명과 1만5000명 이상의 성인 소비자를 대상으로 설문조사.

(자료:액센츄어)

===============================================================================

금종범 액센츄어 코리아 기술 컨설팅 부문 네트워크 및 보안 프랙티스 리드 jong-bum.keum@accenture.com

데이터 보안과 개인정보 보호를 위한 기업의 접근방법은 단순히 법규를 지키는 수준 그 이상이어야 한다. 이는 그 범위가 포괄적이어야 함은 물론이고 기업의 비즈니스 가치 및 문화의 핵심이 되어야 함을 의미한다.

고객 정보, 비즈니스 계획, 재무정보 등을 포함한 기밀 데이터는 어떤 기업에도 가장 중요한 자산이다. 그러나 발달하는 기술과 새로운 비즈니스 모델의 등장 등으로 인해 민간과 공공 부문 모두 중요 데이터의 도용과 보안규정 위반 위험에 노출됐다. 이러한 위험은 단순히 기업에 규제당국이 부과하는 벌금 이상의 막대한 손해로 연결된다. 지난 몇 년간 주요 데이터 유출 사건에서 볼 수 있듯 기업 명성과 사업은 고객 정보 및 기밀 데이터 유출 사건만으로 위험에 처할 수 있다.



#보안 인식과 현실 사이의 괴리

액센츄어는 19개국 기업 경영진 5500명과 1만5000명 이상의 성인 소비자를 대상으로 설문조사를 시행, 데이터 보안과 개인정보보호에 대한 기업 경영자와 개인의 인식이 실제 데이터 보안에 미치는 영향을 파악했다. 조사를 통해 5개 핵심 분야에서 중요한 연구결과가 밝혀졌다.

먼저 ‘신뢰’에 대한 것이다. 데이터 보안에 관한 기업의 의도와 기업에서 실제로 이루어지고 있는 보안 관행에는 주목할 만한 차이가 있다. 설문조사에 응답한 기업 경영진 중 약 70%가 소비자의 개인정보를 보호하기 위해 기업이 합리적인 절차를 취해야 할 의무가 있다는 데 동의했음에도 불구하고 이들의 응답에는 몇 가지 모순되는 점이 관찰됐다. 응답자의 45%가 수집된 고객정보에 대해 고객에게 통제할 권리를 주는 것에 확신을 갖지 못하거나 적극적으로 반대했다. 특히 50%에 가까운 응답자가 중요 고객 개인정보 수집과 공유의 제한, 소비자 프라이버시 보호, 개인정보 유출 방지, 사이버 범죄 방지, 데이터 손실 및 도난 예방 등이 중요하다고 생각하지 않는 것으로 나타났다.

이는 다음 몇 가지로 설명할 수 있다. 문화적 또는 지역적 차이, 보안정책에 대한 기업의 책임감 부족, 법규 및 규제를 따르는 데만 급급하다는 점 등이 그것이다.

두 번째로 ‘책임’ 부분이다. 대다수 기업은 민감한 개인정보 손실을 경험한 적이 있으며, 그 가장 큰 원인은 기업 내부에서 발생한 오류 및 기업이 스스로 통제할 수도 있었던 요인들이었다. 기업 응답자의 58%가 중요 개인정보의 손실을 경험한 적이 있다고 밝혔고, 이 중 60%가 데이터 손실을 반복적인 문제로 꼽았으며 31%가 지난 24개월간 3건 이상의 데이터 손실을 경험했다고 밝혔다.

이 기업들은 원인을 내부 문제에서 찾았다. 구체적으로 비즈니스 및 시스템 장애(57%), 직원의 부주의나 실수(48%)를 가장 많이 지적하였으며, 사이버범죄를 원인으로 꼽은 경우는 18%에 불과했다. 이와 같은 사실은 개인정보와 데이터 보안을 위협하는 가장 큰 요인이 외부에 의한 것이라는 상식에 어긋난다.

‘규제준수’ 부문에 대한 검토도 진행됐다. 다수 기업은 아직까지도 기존 법규나 규제를 따르는 것만으로 데이터를 충분히 보호할 수 있다고 믿고 있다. 그러나 법규가 오늘날의 비즈니스 환경을 따라잡을 수 있을 만큼 충분히 정교하지 못하다는 점을 고려할 때, 이 같은 자세는 매우 위험하다. 더욱 우려되는 것은 사생활보호 관련 법규가 가장 엄격한 편인 유럽 기업의 3분의 2 이상이 지난 24개월 내에 규제를 위반한 적이 있다고 시인했다는 점이다. 이 중 약 절반이 두차례 이상 규제를 위반했다고 답했다. 이와 같은 결과는 단순히 기존 법규를 지키는 것만으로 중요 데이터를 완벽하게 보호할 수 없음을 시사한다.

네 번째로 기업과 소비자 이외에 제3자가 개입했을 때의 문제다. 데이터 보안 및 개인정보보호에 대해 협력 관계를 맺고 있는 타 기업에 주의를 기울여야 한다. 아웃소싱업체는 고객사의 고객정보보호를 위해 표준화되고 포괄적·일관적인 고객정보보호 프로그램을 운영해야 한다. 이 프로그램은 임직원 교육, 정기적인 모니터링 및 평가, 감시, 법규 및 규제 위반에 대해 적합하며 시의 적절한 대응, 부적절한 행위에 대한 집행과 징벌, 위반을 막기 위한 강력한 예방책 등을 포함해야 한다.

#보안을 위한 문화를 구현하라

각 기업은 데이터 보안과 개인정보보호를 존중하는 문화를 구현해야 한다. 이와 같은 접근법을 취한 기업들은 단순히 규제 준수에만 능한 것이 아니라 비즈니스 성과도 더 높았다.

다음은 기업이 이 같은 문화를 구현하기 위해 밟아야 할 여섯 가지 단계다.

첫째, 데이터 보안과 개인정보보호 담당자를 지정하고 책임을 부과한다. 기업 내 데이터 보안과 개인정보보호의 책임을 여러 조직에 분산하는 것은 관리 실패 및 정보 유출 사고로 이어지기 쉬운 환경을 만든다. 중요한 데이터를 지키려는 기업이라면 포괄적이며 일괄적인 보안 실행을 위해 기술, 정책, 절차, 규정, 규범 등 데이터 보안과 개인정보보안의 특정 부분을 책임질 담당자 또는 담당부서를 지정해야 한다.

둘째, 데이터 보안과 개인정보보호를 위해 보다 효과적이고 종합적인 관리프로그램을 개발한다. 강력하고 포괄적인 데이터 보안 및 개인정보보호 관리프로그램은 데이터 접근 권한자 설정을 명확히 하는 것은 물론이고 기업의 데이터 수집, 저장, 관리, 활용 현황까지 명확히 정의할 수 있게 해 준다.

셋째, 현재의 데이터 보안 및 개인정보보호 기술이 실제 보호에 필요한 수준에 도달했는지 평가한다. 이전의 위반사례에서 얻은 교훈이 현재의 사고에 대응할 수 있는 컴퓨터 기술에 반영되지 않아 리스크 관리에 실패하는 경우가 많다. 따라서 기업은 이미 설치된 툴을 재평가하고 이를 개선하거나 교체하는 방안을 고려해야 한다. 기술만으로는 잠재적인 정보 손실을 예방할 수 없다.

넷째, 데이터 보안과 개인정보보호의 중요성에 대한 조직 전체의 인식 수준을 일관되게 유지한다. 기업은 보다 포괄적이고 체계적인 직원 교육 및 연수 프로그램을 통해 모든 직원이 조직의 데이터 보안 및 개인정보보호 방침에 대한 공통된 이해를 갖도록 해야하며, 이러한 방침의 준수 절차와 방법에 대한 구체적인 지침을 제공해야 한다. 정보 보호에 대한 일관된 인식 수준 확립은 그 중요성이 더욱 커지고 있다.

다섯째, 데이터 보안과 개인정보 보호를 위한 투자를 재검토한다. 보안을 위한 투자에 대해 진취적인 관점을 보이는 기업은 거의 없다. 따라서 기업들은 보안에 드는 ‘실제 비용’을 납득하지 못할 뿐 아니라 필요에 따라 우선순위를 설정해 투자를 배분할 수도 없게 된다. 기업은 보안에 대한 비용 투자가 수익성을 저해한다는 인식을 버리고 인력, 프로세스, 기술 등 데이터 보안과 개인정보보호의 모든 핵심 분야에 균형 있게 투자 해야 한다.

마지막으로 협력사를 신중하게 선택해야 한다. 데이터에 대해 자사와 동등한 수준, 혹은 더 높은 수준의 주의를 기울이는 기업과 협력관계를 맺어야 한다. 협력사가 회사 간, 나아가 국가를 넘나드는 활동 중 현지의 개인정보보호법과 업계 규정에 의거해 중요 데이터를 관리한 경험, 관행, 지식을 보유하고 있는지 철저하게 평가해야 한다. 협력사를 보고 기업을 평가하는 경우도 많음을 명심해야 한다.