사이버사회의 양적·질적 팽창으로 인해 사이버 공간에 대한 질서와 체계 그리고 보안을 확립시켜가야 한다는 것이 이제 사회 전반적인 화두가 되고 있다. 또 국가와 기업에서는 이를 총괄 관리할 수 있는 조직과 인재가 절실한 상황이다. 이번 주부터 매주 8회분에 걸쳐 CISO(Chief of Information Security Officer: 정보보안담당 이사)의 필요성을 조명하고 CISM 자격증에 대해서도 집중 소개하는 시간을 갖도록 하겠다. 8회 필자는 정보시스템 감리법인 ㈜프라임에이엔씨 수석 컨설턴트 유지호 감리사. <편집자 주>

[게재 순서]
①CISM 소개
②CISM 시험영역: 정보보안 거버넌스
③CISM 시험영역: 정보위험관리
④CISM 시험영역: 정보보안 프로그램 개발
⑤CISM 시험영역: 정보보안 프로그램 관리
⑥CISM 시험영역: 사고대응관리
⑦ISMS(정보보안관리체계)
⑧산업보안의 필요성

과거 이념 갈등이 극심했던 적이 있었다. 이때는 국방, 외교 정보나 국가 기반시설 등 국기 안보에 중요한 정보가 중심이 되는 국가 보안이 무엇보다도 중요했었다. 그러나 이제 이념 대립보다는 경제적인 이해관계에 따라 첨단 기술 정보, 경영전략정보, 미공개된 기업 정보 등 산업 보안이 국가 보안 못지 않게 중요성이 더 커지고 있다. 이러한 시대적 흐름에 따라 부정경쟁 방지 및 영업비밀보호법, 산업기술의 유출방지 및 보호법이 제정되었다.

산업 보안 위협과 침해 사례
정보통신 기술의 발달은 국가간의 경계를 허물뿐만 아니라 정보의 경계조차 허물고 있다. 마치 특정 장르의 음악이나 영화가 크게 히트를 하게 되면 조만간 유사한 음악이나 영화가 등장하듯, 시장에 대한 적시성(Time to Market)을 강조하다 보니 순수하게 연구 개발하기 보다 손쉬운 아웃소싱이나 M&A를 선택하는 것이다.

그러나 막대한 비용을 지불하다 보니 정작 경쟁에서 이겼어도 실제 가치보다 높은 대가를 지불하는 ‘승자의 저주’에 빠지는 딜레마에 빠지게 된다. 따라서 손쉽게 인간의 본능을 자극하는 산업 스파이의 출현은 당연한 원인이 될 수도 있다. 특히 치열해지는 경쟁 환경에서 직원의 고용 불안과 핵심 정보 개발자의 재정적, 인사상의 보상이 미흡한 경우, 너무나 쉽게 유혹에 빠지게 될 것이다.(특히 생존 기간은 증가됨에 불구하고 근로 기간은 짧아지고 있다.)

정보기술의 발달로 인한 업무 환경 역시 이러한 정보 유출을 촉진하고 있다. 대용량 USB, 하드디스크 등 소형 저장 매체의 등장, 다양한 지능형 OA 장비 설치 및 보급, 소형 도청기, 몰래 카메라 등 첩보 장비의 보편화 등 이전에 비해 훨씬 손쉬운 침해 환경으로 선량한 근로자를 손쉽게 산업 스파이로 유혹하고 있다.

산업보안을 위한 패러다임 대응
산업 보안을 위한 패러다임 변화를 위해서 무엇보다도 공정한 가치 평가가 이루어지는 환경 조성이 필요하다.

현재와 같이 무분별한 컨텐츠 다운로드와 지적 재산권뿐만 아니라 직원이 노력한 결과에 대한 공정한 보상이 요구된다. 정부는 첨단기술 개발자의 보상 체계와 보상 정책을 수립하고, 종합적인고 체계적인 산업 보안 체계 수립이 필요하다. 기업/연구소 역시 경영자의 안일한 의식에서 벗어나 기술보호 실천의지를 가지고, 내부 고객 만족과 정보보호 연계 활동이 필요하다. 근로자 역시 기업과 개인간의 상생을 위한 준법 정신의 고양이 필요하고, 공과 사를 구분하는 직업 윤리 의식의 제고가 요구된다.

그외에도 사이버 포렌식이나 민간조사원(탐정)의 도움도 검토할 필요가 있다. 개인의 사생활을 침해할 가능성 등 어두운 이면도 있지만, 햇빛이 강할수록 그림자는 더 짙어진다. 그러나 태양이 머리 위에 있을 때 그림자가 가장 작아지듯이 무조건 피할 것이 아니라 효과적인 통제 수단을 고려해야 할 것이다.

또한 기존의 정보보호 위주의 컨설팅에서 탈피하여 물리적인 보안과 문서 보안 등 다양한 산업 보안으로 범위를 확장할 필요가 있으며 이러한 활동의 정점에 있는 사람이 바로 CISM(기업내 정보보호 임윈)의 역할이 절실히 요구되는 이유이다.
 


참고자료 및 출처
글로벌 산업보안 포럼 2008 세미나 자료, 한국산업보안포럼
정보시스템 감리 포럼 http://cafe.naver.com/ekisa

[필자 약력]
-기고자: 유 지 호 기술사/감리사
-정보시스템 감리법인 ㈜프라임에이엔씨 수석 컨설턴트 재직 중
-라이지움 교육센터 전임 강사
-서울디지털대학교 컴퓨터 공학과 초빙교수
-(사)한국정보시스템 감사통제협회 회원

글·유지호(정보처리기술사/정보시스템감리사/ISMS인증심사원/ newzio@naver.com)
[정리 길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>