법·제도·관리체계·기술·보안시스템 효과성·인적보안 측면 고려해야
[보안뉴스=박억남 정보보안·개인정보보호 인증심사원] 이번 카드사 정보유출 사태를 보면서 많은 유출 피해자들은 “금융권 보안 수준이 가장 높은데 왜 보안사고가 계속 일어날까요?”, “도대체 뭐가 문제일까요?” “해결책은 과연 없는 것일까요?” 같은 질문을 하곤 한다.

이에 대해 필자는  ‘금융권 정보보호 수준은 과연 완벽할까?’라는 의문을 제기하고 싶다. 왜냐하면 이번 사고에서도 입증되었듯이 개인정보보호법을 비롯해 정보보호 인증, 보안시스템, 내부통제 등 각종 법률·감독 규정을 갖추고 있지만 이를 비웃듯이 개인정보 유출사고가 재발했기 때문이다.

이런 사실은 법률·상위 감독 규정, 인증 등 각종 보안 시스템의 한계일 수도 있고, 보안의 가장 큰 위협인 ‘사람’이 hole(취약점)일 수 있다. 이에 따라 필자는 근본적인 원인에 대해 5가지 측면에서 잠재적인 문제점 및 Risk(위험)를 현장에서 느끼는 실무자 관점으로 접근(approach)해 보고자 한다.
 
5가지 관점에서 접근하는 효과적인 개인정보 유출사고 대응방법 제언
이제는 고객정보를 취급하는 모든 기업은 ‘소 잃고 외양간 고치는 비정상적인 관행’을 근절해야 할 것이다. 이것이야말로 고객에게 가치를 부여하고, 기업의 사회적 책임을 다하는 지속가능한 경영이기 때문이다.


①법·제도적인 측면
첫 번째로 법·제도적인 측면에서 볼 때 금융권 정보보호 규제수준은 타 산업에 비해 상위 수준이다. 법률 기준만 봐도 신용정보보호법, 전자금융거래법, 정보통신망법, 개인정보보호법, 상위 감독규정 등 특별법과 일반법의 이중규제 대상이기 때문이다. 개인정보보호 컴플라이언스는 기업의 개인정보보호를 위한 필수불가결한 사회적인 책임이라고 할 수 있다. 이제부터라도 최고경영자 및 관리자는 규제 측면보다 개인정보보호 관리를 지속가능경영의 핵심 경영전략으로 되새겨야 할 때다.

②관리체계 측면
두 번째로 관리체계 측면에서 개인정보보호·정보보호 관리체계 인증(certification) 목적과 목표에 대해 생각해 볼 수 있다. 현실은 보안인증이 기업의 보안수준을 100% 안전하게 보장해주지 않는다는 점이다. 즉 인증이 만병통치약이 아니라는 것. 이러한 측면에서 조직은 법적, 관리적, 기술적인 통제 등 정보보호 활동을 지속적으로 유지·개선해야 한다. 또한 실효성 있는 인증 취득 및 유지로 기업 스스로 조직에 맞는 올바른 정보보호 문화를 만들어가는 것이 사고예방에 있어 첫걸음이라고 할 수 있다. 무엇보다 고객을 위한 지속가능한 경영의 중요한 요소로 활용되어야 한다.



③기술적인 측면
세 번째로 기술적인 측면에서 보안은 ‘사슬’ 이다. 즉 사슬의 가장 약한 고리만큼만 안전하다는 것을 이해해야 한다. 개인정보보호 관리체계 유지의 가장 기본조건은 기술적인 통제가 효과적으로 구현되고, 모니터링이 돼야 한다는 점이다. 인적보안(Human Security)의 통제 및 모니터링은 개인정보 오·남용의 예방이자 최소한의 방어대책이다. 조직은 내·외부 위협에 대해 가장 취약한 위험인자(Risk Factor)를 인식하고, 사고 예방 및 대응에 집중해야 한다.

④보안 시스템 효과성 측면
네 번째로 보안 시스템 효과성 측면에서 보자. 금융권에 도입·운영중인 시스템은 조직에 따라 다르나 최소한 10여종 이상에 이를 것으로 보인다. 최근에는 대량의 보안이벤트를 관리하기 위해 빅데이터 개념이 나오지만 예전 ESM(Enterprise Security Management) 등과 같이 통합보안 시스템이 과연 얼마만큼 보안 수준을 향상시켜 줬는지 생각해봐야 할 것이다.

통합보안 시스템은 단위 보안 솔루션의 기능·모니터링의 한계점과 시스템 간 보안정책의 연계성 부족 등의 한계가 있을 수 있다. 따라서 도입단계보다 효과적인 사후 통제·모니터링에 역점을 둬야 한다. 또한 시스템의 효과를 측정할 수 있는 운영 지표를 고도화하는 것이 보안사고를 예방하는 효과적인 방법이다.

⑤인적 보안 측면
마지막으로 인적 보안은 보안의 ‘사각지대’다. 이번 카드사 정보유출 사건을 보면 알 수 있듯이 보안의 최대 Risk(발생가능성, 영향력)는 내부인력, 외부인력(아웃소싱)이다. ‘내부정보 유출’의 관리 포인트는 결국 규정 준수, 관리체계, 보안시스템 도입·운영보다 더 취약한 ‘인적 보안’이다.

사실 조직에서 효과적으로 인적 통제를 구현하는 것은 정보 시스템을 통제하는 것보다 더 어렵다. 각종 규제나 기술적인 통제, 관리체계 인증 취득만으로는 100% 사고를 예방할 수 없다. 따라서 이러한 사실을 인식하고, 이제는 인적보안에 대한 리스크(risk) 예방 활동을 어떻게 효과적으로 할 것인지 고민해야 할 때다.

결론적으로 경영진의 책임 및 리더십, 지속적이고 체계적인 개인정보보호 수준 관리가 개인정보 유출을 비롯한 보안사고를 예방하는 핵심 성공요소라고 할 수 있다. 즉, 법규 요구사항 및 조직에 영향을 미칠 수 있는 5가지 측면을 고려해 개인정보보호관리 활동을 실천하고, 효과적인 방법으로 이를 강화하는 것이 매우 중요하다.



마지막으로 정부에서도 개인정보 유출사고 재발방지를 위한 근본적인 원인에 대해 통찰하고 이를 바탕으로 실효성 있는 정책을 추진해야 한다. 또한 기업 스스로도 규제위주 또는 관행적인 요건(최소한의 법적 기준) 준수보다 사회적인 책임과 규제가 잘 조화된 실효성·효과성 있는 개인정보보호 활동을 펼쳐나가야 한다.
[글_박 억 남  정보보안·개인정보보호 인증심사원(mssinnovator@naver.com)]
 
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>