효과적인 정보보안은 조직에게 중요한 가치를 제공하고 보안사고 및 누출로 인한 사고 방지를 보증, 보안사고 관련 손실을 최소화하며 정보의 부정확성 또는 신의성실의 부재로 인해 조직과 고위경영진에게 부여되는 잠재적인 사회적, 법적 책임을 방지할 수 있다.
문득 최근 몇 년간 발생했던 해킹 및 정보유출 관련 주요 사건들을 회상하며 검색을 해 보니 국내외로 정말 많은 사건들이 발생했던 것 같다. 그리고 전세계 해커들이 자신의 실력을 과시하기 위해 경쟁적으로 해킹한 결과를 올리는 Zone-h.com 등의 사이트를 방문해 보면 국내 홈페이지 주소가 항상 리스트에서 발견되며 해외에서도 소셜네트워킹 서비스를 통한 악성코드 배포, 특정 기관 사칭 피싱메일 대량 발생, 미국은행 ATM 사기사건, 대규모 SQL 인젝션 공격 등 정보보안 관련 뉴스가 끊이지 않고 있다.
 
사건이 발생할 때마다 자신에게 닥치지 않은 경우에는 마냥 흥미거리로 읽혀질 수 있는 뉴스 기사의 한 줄이지만, 최근에는 보안사고의 발생이 증가하고 점차 전문적ㆍ조직적ㆍ자동화돼 피해 인원 및 손실금액이 크며 유출된 정보로 인한 피해보상을 요구하는 집단 소송으로 기업이 몰락할 수도 있을 정도의 공포를 안겨주고 있다. 또한 개인들도 유출정보 중에 자신이 포함돼 있어 마냥 흥미롭지 않은 사람들이 많을 것이다.
 
정보보안 인식 조직문화 조성해야
이제는 더 이상 해킹 및 정보유출 사고가 남의 불난 집 불구경 하듯 흥미거리로 생각하거나 나에게는 발생하지 않을 것이라고 장담할 수 없다. 또한 사고발생 직후 이슈가 되었을 때만 이벤트성 정보보안를 외칠 때가 아니라는 것을 인식해야 한다.
따라서 이제는 정보보안 업계 전문가와 최종사용자 모두가 기업 및 개인데이터를 보호하기 위한 방법을 고안하는데 노력해야 한다. 정보보안의 궁극적인 목적은 비즈니스 프로세스 보증을 제공하고 부정적 사건의 영향을 최소화하는 것이다.
 
또한 정보보안 프로그램의 목적은 정보에 의존하는 사람들의 권익을 보호하고 정보의 저장 및 전달을 다루는 프로세스, 시스템, 커뮤니케이션 및 정보의 가용성, 기밀성, 무결성 보장의 실패로 인한 위험으로부터 보호하기 위한 것이다.
 
이를 위해 고위 경영진의 의무와 지원이 뒷받침돼야 하고 보안을 이벤트가 아닌 프로세스로 이해하는 지속적 개선 문화가 필요하며 이를 위해서는 명확한 조직적 전략을 수립해 지속적으로 수행해야 한다. 또한 포괄적인 보안전략은 비즈니스 목적과 본질적으로 연계돼야 하고 전략, 통제, 규제 등 각각의 측면에서 초점을 두고 보안정책을 운영해야 하며 정보보안을 주요한 비즈니스 이슈로 다루는 적극적인 보안 환경을 구축해 조직 내부의 정서를 변화시켜야 한다.
 
조직 구성원들에게는 비즈니스 목적에 영향을 줄 수 있음을 명시하는 사례중심의 보안위험을 강조하고 보안 프로그램이 조직에게 가치를 제공한다는 것에 대한 홍보 및 보안교육이 필요하다.
 
또한 인사부서와 협조해 성과 측정 검토 시 보안 관련 요소를 포함하고 기조 연설 등을 통한 경영진의 지원이 있을 때 직원들의 행동과 태도가 변화하게 될 것이다. 또한 이를 통해 조직의 사회적, 경제적 손실을 방지는 물론 구성원들의 사기 및 부정이 감소하며 컴퓨팅 자원의 개인적 사용이 감소하는 효과도 거둘 수 있을 것이다.
보안 인식을 전달하는 기술로는 거울 또는 마우스패드 같은 장식물 위의 메시지, 포스터, 이메일 및 뉴스레터, 책상 위의 경고문 배포와 성과기반 보상 프로그램 및 매달 1일은 정보보호의 날과 같은 정보보호의 날을 지정하고 조직이 여러 장소에 흩어져 있을 때는 웹 기반 트레이닝 및 테스트를 하는 방법 등을 생각해 볼 수 있다.
 
정보보안 구성요소 중 사람이 가장 큰 취약점이므로 훈련, 교육, 인식은 모든 전략 중 가장 중요하게 여겨야 하며 반복적인 보안인식 프로그램으로 테스트해야 효과를 극대화 할 수 있다. 즉, 교육과 훈련은 모든 기업 정보보안 조직들의 최우선 사항이 돼야 할 것이다.
 
효과적인 정보보안 인식 프로그램 개발을 위해서 개인적인 측면에서는 조직의 고객과 공공에 대한 윤리적 고려사항이 포함돼야 하며 조직적 측면에서는 조직의 내부 문화를 고려해 규정, 준수 요구사항 등은 실현 가능성이 있어야 할 것이다.
만약 내부문화를 고려하는 데 실패할 경우 구성원들의 저항으로 인한 성공적 구현에 어려움을 겪을 수 있으므로 경영진에서는 실무진과의 인터뷰 등을 통해 업무형태를 파악한 후 합리적이고 실용성 있는 정책 구현으로 구성원들에게 설득력을 얻어야 할 것이다.
 
IT 컴플라이언스 반드시 고려해야
조직의 전략 개발 시 정보보안에 영향을 주는 법과 규제사항은 리스크로 인식해야 하며 디지털 증거 개시(e-Discovery), 프라이버시, 지적재산권과 계약 관련 법규, 인터넷 비즈니스, 국제간 자금거래, 국제간 자료전송, 개인의 안전, 비즈니스 기록의 필수 내용 및 유지기간 등의 이해와 고려가 필요하다. 경우에 따라서는 다른 규제 기관들이 서로 이해 상충되는 규제사항을 요구할 수도 있어 경영진은 조직의 정보보안과 관련된 법률 및 규제사항을 반드시 식별하고 평가해야만 한다.
 
2008년 미국 퀄컴사는 2005년부터 시작된 Broadcom사와의 특허소송의 e-Discovery 과정에서 20만 페이지에 달하는 관련 전자메일과 전자문서 제출에 실패해 퀄컴사 변호사들이 소송증거 보존 실패의 책임 및 소송증거 은닉 행위에 참여했다는 증거가 밝혀져 퀄컴사는 소송패소 및 상대편 변호사 비용까지 포함하여 850만달러의 벌금을 선고 받았다. 퀄컴사 변호사들 또한 변호사 윤리규정 위반으로 징계를 받은 사례(Qualcomm, Inc. v. Broadcom, Corp. 2008)가 있다.
 
또한 2006년 미국의 Microsoft사는 Z4테크놀로지사와의 특허 침해 소송에서 Z4테크놀로지사로부터 이메일과 데이터베이스 증거개시 요청을 받았으나 자료를 미제출했다는 이유로 소송에 패소해 250억원을 배상한 사례(Z4 Technologies, Inc. v. Microsoft Corp. 2006)가 있다.
 
그리고 해외에 진출한 삼성전자와 같은 국내기업의 경우에도 국제 분쟁에서 증거를 제대로 개시 못해 배상판결을 받은 선례(Samsung Electronics. Co. v. Rambus Inc. 2006)가 있으며 2007년 개정된 국내 형사소송법에는 신속한 재판과 피고인의 방어권을 보장하기 위한 취지로 증거개시제도가 명문화돼 있다.
 
IT 컴플라이언스란 기업을 운영할 경우 내외부적으로 반드시 지켜야 하는 법적 규제사항이나 지침 및 기업과 정부의 환경이 IT 환경으로 바뀌면서 최근 부각되는 IT 이슈 중 하나로 전자 문서를 통한 회계 작성 준칙이나 원본 문서 보관 의무 등 기업 회계와 경영의 투명성을 높이기 위한 IT 관련법과 제도 등이 등장하고 있는데 이것들을 모두 컴플라이언스라고 통칭한다.
단기적으로는 기업의 투명성을 높이고 투자자의 권리를 보호하고 금융 시장의 안정화 등을 이룰 수 있으며 장기적으로는 국제 경쟁력 향상 등의 효과를 예상할 수 있다.
 
사고 발생 시 전문가에 의한 대응 필요
그리고 아무리 보안이 잘 돼 있어도 절대 사고나 피해가 안 일어난다는 보증을 할 수 없으므로 만일 사고가 발생하면 정보를 기록하고 데이터를 보존할 수 있도록 문서화된 절차가 필요하며 보안사고 전문 변호사에 의한 법률자문 및 경영진의 조언과 지원을 통해 지역 법규를 고려해 데이터 보존 절차를 개발해야 하고 정보시스템 담당자는 암묵적, 실질적 증거의 수집을 위해 취해야 하는 기본적인 행동을 반드시 해야 한다.
 
증거의 수집 및 제공에 필요한 요구사항과 증거의 원칙, 증거 채택 기준, 증거의 질적 특성과 완전성 등을 고려해야 하며 증거의 훼손이 피의자를 기소할 수 없도록 한다는 것을 반드시 이해해야 한다.
 
데이터의 변경은 침입자를 식별하고 피해를 측정할 수 있는 디지털 포렌식 활동을 무력화한다. 이러한 증거의 보존이 실패할 경우 기업은 침입이 발생한 방법을 식별하거나 미래 유사한 침입 위험의 제거, 보안프로그램의 변경 등을 개선할 수 있는 교훈을 얻을 기회를 잃게 될 것이다.
 
고위 경영진은 전반적 사고관리 및 법적 대응의 책임을 지며 증거를 유지하고 법적 소송을 위한 사고 처리 절차를 관찰할 필요가 있으며 이해 관계자에게 의사소통 계획을 수립해야 하고 관계당국에 사고를 보고해야 할 시간의 기준을 개발해야 하므로 사고 관리 및 대응의 성공에 매우 중요한 역할을 하게 된다.
 
사고를 식별하는 동안 증거 수집 원칙(Chain of custody)을 수립하고 법적 증거의 무결성을 보증하는 것은 매우 중요한 일이다. 이 때 포렌식 및 법률 전문가에 의한 대응이 반드시 필요할 것이며 상세한 범죄조사 기술이 필요한 경우에 외부 전문가의 도움을 고려할 수도 있다.
 
끝으로 다시 강조한다면 정보보안 아키텍처는 비즈니스 전략과 목표가 연계됐을 때 강력한 전략요소가 될 수 있으므로 이사회와 고위 경영진의 의지 및 책임 있는 노력과 헌신적 공헌 및 오너십(Owenership) 등을 통해 정보보안 인식 조직문화 및 환경을 조성해 고위 경영진의 경영 및 의지가 조직의 보안방침을 반영한다는 것을 보증해야 한다.
 
조직 목표를 위해 정보보안과 비즈니스 전략이 연계됨을 구성원들이 인식할 때 가장 효과적이며 전략 개발 시에 조직과 구성원들이 준수해야 할 정보보안을 비롯한 법과 규제사항들을 인식하도록 정책으로 설정해야 한다.
 
절차가 정책수준에 부합하는지 결정하는 메트릭스(metrics)를 표준으로 수용 가능한 경계표 또는 프로세스, 특정 시점에 업무수행을 위한 체계 등을 제공하는 기술적 내용을 절차로 운영의 책임성을 위한 절차 실행을 기술하는 가이드라인을 마련해야 할 것이다.
<글 : 백명훈 선임연구원 김앤장법률사무소 (myeonghun.baek@kimchang.com)>

[월간 정보보호21c 통권 제114호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>