기업의 CEO는 조직의 목적달성을 위해 개인 또는 다수가 소유 또는 공유하는 무형 및 유형의 자산인 정보의 흐름을 파악하고 계량화하며 라이프사이클, 즉 생성과 관리 및 이용이라는 3단계 과정을 이해하는 것이 우선적으로 필요하다. 
세계 최대 회계법인 중의 하나인 KPMG에 따르면, 핵심임원 한명의 퇴직으로 인해 45%의 고객 또는 공급사들과 관계가 단절되고 직원 한명 이직으로 전체 수익의 13%가량 손실이 발생할 수 있다.
 
이 연구결과는 단순히 조직 내 임직원의 신분변화에 따라 기업의 수익 및 업무수행에 있어 손실이 발생할 수 있다는 사실을 나타내기도 하지만 그 이면에는 해당 임직원이 조직에 몸담고 있는 동안 취득한 정보가 퇴직 또는 이직이라는 사건으로 인해 조직 내부적으로는 정보의 흐름이 차단되고 조직 외적으로는 중요한 정보의 유출이 발생해 조직 전체에 큰 손실을 발생시킨다는 사실을 시사한다.

조직 내에서 정보란?
조직 내에서 정보란 일반적으로 조직의 목적달성을 위해 개인 또는 다수가 소유 또는 공유하는 무형 및 유형의 자산이라고 정의할 수 있다. 정보의 종류와 형태는 개인이 맺고 있는 인간관계, 업무처리의 노하우에서부터 조직 내 업무설명서, 기밀자료, 연락처 등으로 다양할 뿐만 아니라 개인이 수행하는 업무의 종류와 직책에 따라서 정보의 가치와 양은 상이하다. 따라서 조직을 관리하는 CEO는 일차적으로 조직 구성원별로 또는 그룹별로 소유하는 정보의 양과 가치를 정량적으로 도출하는 작업을 수행해야 하며 정보의 가치에 따라서 보호해야 할 정보를 선택해야 한다.

정보의 라이프사이클 : 생성, 관리, 그리고 이용
그렇다면 조직 내 정보는 어떠한 라이프사이클을 가지고 있을까? 일반적으로 정보는 ‘생성’, ‘관리’ 그리고 ‘이용’이라는 3단계 과정을 거친다.
먼저 정보의 생성이란 조직 내 개인 또는 그룹이 개념 또는 인식차원에서 가지고 있는 무형의 정보를 문서 또는 체계라는 유형의 정보로 변환하는 과정이다.
 
이렇게 생성된 정보를 조직 내에서 공식적으로 공유할 수 있는 ‘정보저장소’를 통해 관련 정보가 필요할 때마다 해당 정보를 저장하고 참조하며 전달하는 과정이 정보의 관리과정이다. 마지막 정보의 이용은 생성 및 관리되는 정보를 개인 또는 조직 내 그룹이 상호작용을 통해 조직의 목적달성을 위해 해당 정보를 이용하는 과정으로 볼 수 있다.
 
정보의 중요성을 인지하고 정보관리에 관심을 가진 조직에서는 이미 데이터마이닝, 인트라넷, 그룹웨어, 경영지원시스템 등 다양한 IT기술을 도입해 위의 정보의 3단계 과정에 대해 자동화된 체계를 구축하고 있다.

정보보호 측면에서 정보의 라이프사이클
과거 IT기술을 기반으로 전산업무환경이 구축되는 초창기에는 정보를 생성하는 자, 즉 조직 업무수행의 노하우나 영업력을 가진 임직원에 대한 인사관리가 매우 중요한 이슈였으며 정보에 대한 기밀성을 확보하는 것이 중요한 사안이었다.
 
그러나 최근 인터넷을 이용한 인트라넷을 기반으로 전사적자원관리 체계가 구축돼 있는 조직에서는 관련 정보를 얼마만큼 정확하게 관리돼야 하는지가 중요한 이슈이며 정보에 대한 무결성을 확보하는 것이 중요한 사안이 됐다.
 
다시 말하면 티끌도 모아야 태산이라는 속담처럼 개인이 생성한 정보가 조직 내에 축적돼 태산과 같은 양이 됐을 경우, 정확한 정보를 근거로 조직이 운영되도록 하는 것이 현재 모든 조직이 고민하고 있는 부분이다.
 
그러나 정보의 라이프사이클에서 보는 바와 같이 정보의 이용은 기업의 존재이유와 밀접한 관련이 있기 때문에 향후 정보보호 측면에서 주요관심사로 부각될 것으로 판단된다. 특히 급변하는 사회ㆍ문화적 환경 하에서 정확한 정보를 기반으로 신속한 의사결정을 통해 조직의 사업실적에 도움이 되도록 해야 한다.
 
IT기술이 조직의 전산업무환경을 구축하고 업무를 개선하는데 있어서 지대한 영향을 미치고 있는 지금, 조직을 이끄는 CEO가 인사관리 측면에서 개인의 역할과 직책에 따라 정보보호 정책을 적용하는 방식으로 정보화 시대에 임하는 것은 더 이상 역부족일 것이다. 이에 기업의 CEO는 조직 내에서 정보의 흐름을 파악하고 정보를 계량화하며 정보의 라이프사이클을 이해한 상태에서 단계마다 요구되는 정보보호 특성에 따라 정보보호 관리에 임해야 할 것을 잊지 말아야 한다.
<글 : 고광선 금융보안연구원 기획총괄팀장(kwangsunko@fsa.or.kr)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>