성공적인 관리적 보안은 최고경영자의 적극적인 지원과 실천 의지가 필수

[보안뉴스= 이태근 한국특허정보원장] 최근 우리나라에서도 사회적으로 이슈가 되는 대형 보안 사고가 수차례 발생하고 있다. 인터파크에 이어 국방부도 해킹에 뚫렸으며 공공기관 내부 주요 문건들이 외부에 노출되고, 국내 유명 전자기기 대기업의 영업비밀이 유출되는 등의 사건이 발생했다. 이러한 보안사고의 대부분은 기술적인 이유보다는 관리적 소홀로 인한 것이었다.

근무했던 회사의 주력제품과 신제품의 영업정보, 기술정보를 이동식 저장 매체로 가지고 나와 경쟁회사에 취업한 후, 정보를 제공한 이유로 부정경쟁방지법상 영업비밀침해죄로 기소된 사건이 있었다. 법원은 1·2심에서 유죄 판결을 내렸으나 대법원은 유출된 자료가 영업비밀에 해당한다고 보기 어렵다는 이유로 파기 환송했다.

①피해 회사가 해당 파일에 대해 보안 책임자를 지정하거나 별다른 보안장치 또는 보안관리 규정을 두지 않았고 ②대외비 또는 기밀 자료라는 특별한 표시를 하지도 않았으며 ③방화벽이 설치되지 않아 내부 네트워크망을 통해 연구원뿐만 아니라 생산직 사원들도 자유롭게 그 정보에 접근할 수 있어, 이 사건 파일이 상당한 노력에 의해 비밀로 관리됐다고 보기 어렵다는 것이 이유였다.

결국 영업비밀에 해당하지 않으므로 비록 피고인이 영업비밀 준수 서약서 또는 보안 서약서를 작성했다 하더라도 영업비밀 침해에 해당하지 않는다는 것이 요지였다. 이 사건을 통해 기술적인 보안도 중요하나 중요자산 식별, 관리책임자 지정 및 정보보호 시스템을 통한 관리 등 관리적 보안이 중요함을 되새길 수 있다.

최근에는 사물인터넷(IoT), 빅데이터, 인공지능(AI) 등 정보기술의 급속한 발전과 함께 기술적 위협도 빠르게 퍼지고 있어 사람이 이를 인지하고 기술적 보안을 도입한다 해도 신속히 대응하기 점점 어려워지고 있다. 또한, 기업들이 최신 보안 위협에 대응하기 위한 신기술이 적용된 정보보호 시스템 구축에 드는 비용과 인력 투입에 대해 어려움을 토로하고 있어 이를 고려한 보안 대책이 필요한 실정이다. 기술적 보안에만 의존하기보다는 관리적 보안을 적절하게 수립해 조직의 구성원들이 ‘보안정책을 준수해야 한다’는 책임 의식을 생활화 하는 것이 기술적 위협에 노출되기 쉬운 구성원 각자의 취약점을 제거할 수 있는 가장 효율적인 방법이 될 수 있다.

정보보호 시스템 구축을 위한 투자가 어려운 중소기업의 경우 영업비밀보호센터를 통해 ‘영업비밀 원본 증명 서비스’와 같은 공공 서비스를 활용하면 영업비밀 원본증명은 물론 기밀정보도 관리할 수 있어 기술적 보안에 투자되는 비용을 최소화할 수 있다. 이와 함께 기밀정보취급 인력에 대한 교육, 기술적인 통제 및 이력 관리 등 중요 자산 관리 등에 대한 컨설팅 지원을 받아 관리적 보안체계를 갖춘다면 적은 비용으로도 자산을 지킬 수 있다.

성공적인 관리적 보안은 최고경영자의 적극적인 지원과 실천 의지가 필수다. 보안정책 수립을 통해 경영진의 정보보호 의지가 직원과 공유됨은 물론 책임 또한 공유돼야 한다. 업무 프로세스 내의 일상적인 업무뿐만 아니라 보안 관리에 대한 책임도 체계적으로 유지되도록 하고, 인력의 변동 시에도 보안 책임이 인계될 수 있도록 프로세스를 관리해야 하며, 주기적인 보안 인식 교육과 관리·감독을 통해 보안에 허점이 있는지를 지속적으로 점검해 위험 발생을 최소화해야 한다.

보안 사고를 방지하기 위한 기술적 보안 투자도 중요하지만 이를 관리하지 않으면 보안 시스템은 고철 덩어리일 뿐이다. 반면에 관리적 보안은 기술적 보안보다 복잡하지 않고 쉽게 실천할 수 있으며, 적은 비용으로도 조직의 중요 자산에 대한 보안 취약성을 제거해 안전한 보안 환경을 만들어 갈 수 있다.
[글_ 이태근 한국특허정보원장(rheetk37@kipi.or.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

경산교육지원청, 보안 역량 강화에 주력한다
드디어 끝난 타깃 해킹 사건, 최종 벌금은 185억
보안예산 확보에 가장 큰 걸림돌, 경영진 설득 방법
피하고 싶은 보안사고 책임! ‘할 만큼 했다’ 인정받으려면
[국내 뉴스 클리핑] ‘비대면 공인인증서’ 발급 논의 활발 外

• 

  인터넷나야나 랜섬웨어 사태 다룬 외신...

• 

  사이버위기 대응 모의훈련 성과 평가해...

• 

  데브옵스와 함께 대두되는 마이크로서비...

• 

  공인인증서 해법, 시장 독과점과 관치...

GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
	GDPR에 대한 모든 준비를 끝마쳤다
	부족하지만 어느 정도 준비를 마쳤다
	이대로는 어렵다. 전문가의 손길이 필요하다
	전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
	전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
	GDPR이 뭐지? 잘 모른다
	기타(댓글로)