종이문서, 보안 관리하고 있습니까?

관공서는 물론 기업마다 이제는 보안담당부서가 조직될 만큼 개인정보보호 및 기밀유출 방지를 위한 정책이 세워지고 있다. 보안부서에서는 주로 파일이나 이메일, 또는 USB 등 전자적인 방법으로 정보가 유출되는 것에 대하여 크게 우려해왔고, 이를 방지하기 위해 치밀한 보안망을 구축하고 업그레이드 하는 데 총력을 기울인다. 그러나 정보 유출은 의외로 전자적인 방법보다는 물리적인 방법에서 더 많이 일어나는 것으로 조사되고 있다. 드라마나 영화에서처럼 파일복사 등이 많이 이뤄질 것 같지만, 조사 결과를 보면 의외로 핵심인력 스카우트와 복사 및 종이문서에 의한 정보 유출이 50%를 훌쩍 넘는 비중을 차지한다. 얼마 전 A사에서는 중요한 내부 인사 자료가 외부로 유출되었는데, 알고 보니 팩스로 유출된 것이었다. 하지만 이를 누가 언제 보냈는지를 알 수 없어 추적을 포기한 경우가 있었다. 하나의 사례를 더 들자면, 직원들의 문서 사용량을 분석한 결과, 퇴직 3개월 전부터 종이 출력량이 급격히 증가한 것으로 파악되었다. 앞의 사례처럼 복사나 인쇄, 팩스 등을 통한 종이문서의 정보관리는 꼭 필요함에도 간과했던 부분이다. 정보가 유출될 가능성은 높지만 이에 대한 대응 방법에 대해서는 전혀 준비되어 있지 않은 경우가 많다.

기업 담당자의 가장 큰 보안 위협

그렇다면 보안 담당자들이 생각하는 가장 큰 보안 위협은 무엇일까? 보안담당자들을 대상으로 진행한 설문조사 결과에 따르면 가장 우려되는 보안 위협은 외부의 ‘해킹’이 아닌 ‘고객 개인정보 유출’로 나타났다. 큰 위협이 될 만한 정보 유출은 외부 직원에 의해서 발생되는 경우(14%) 보다 전·현직 내부 직원에 의해서 발생되는 경우(86%)가 훨씬 많다는 점이 핵심이다. 정보 유출로 인한 피해액이 약 33조원이나 된다는 한국 산업보안연구소의 조사결과가 있었는데, 이는 내부인원의 문서 보안·관리를 철저하게 한다면 급격히 줄일 수 있는 금액이 될 것이다.

독일의 유명한 화학자 리비히는 ‘최소량의 법칙’을 주장했는데, 필수 영양소 중 성장을 좌우하는 것은 넘치는 요소가 아니라 가장 부족한 요소라는 내용이다. 이 법칙을 기업 보안에도 적용해 볼 수 있다. 출입관리, 방화벽구성, 반입품 검사 등 많은 것을 철저하게 관리한다고 해도 문서보안이 부족하다면 그 틈으로 정보가 유출되게 된다. 정말 작은 틈새가 중요하다는 것은 강조해도 지나치지 않다.

개인정보보호법

이 법은 개인정보의 수집ㆍ유출ㆍ오용ㆍ남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다. 여기서 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함함)를 말한다.

개인정보보호법과 문서관리 솔루션

기업의 보안 시스템에는 여러 가지 종류가 있다. 크게 문서보안, 물리적 보안, 네트워크 보안으로 나뉘는데, 문서보안은 우리가 흔히 알고 있는 종이문서나 전자문서를 말한다. 현재까지의 문서보안은 문서를 보관·관리하는 선에서 그쳤기 때문에 보안의 수준이 매우 미흡했다. 그러나 2012년 3월 30일부터 시행된 개인정보보호법으로 공공·민간의 모든 정보 처리자(350만개 사업자)들이 종이문서에 기록된 개인정보도 포함하게 될 의무를 지니게 됨에 따라 국내 문서보안관련 솔루션 구축이 활발해지고 있다.

특히, 지난 1년여 동안 관공서 및 대기업들에서 신도리코가 구축한 문서보안 솔루션은 세계 최고 수준이다. 고도의 IT 인프라가 구축된 국내 비즈니스 환경에서 종이문서까지 관리해야하는 이유는 미국, 일본보다도 강력한 문서보안 시스템이 필요하기 때문이다. 이를 위해서는 문서의 생성과 출력, 이동, 폐기를 전사적으로 모두 관할 할 수 있는 지능형복합기 및 오피스 솔루션 기술력이 필수다. 신도리코는 사무기기분야에 집중해온 53년의 기술력과 노하우를 바탕으로 최첨단 문서보안 솔루션을 개발하였고 국내 기업들은 철저한 보안의식은 물론 혁신적 노력과 과감한 투자를 함으로써 문서보안솔루션이 빠르게 성장할 수 있었다. 그 결과 세계적인 IT강국의 완성도 높은 문서보안 시스템이 한국 정부와 기업에서 제일 먼저 구축하게 되었다

신도리코의 Document cycle 전 부문 보안관리

종이 문서에 대한 유출을 막기 위해 사원증 또는 지문을 통해 출력기를 사용하고 사용한 이력과 이미지를 저장하여 관제하는 모든 솔루션을 ‘문서 보안 솔루션’이라 정의 할 수 있다. 신도리코는 종이문서의 저장, 출력, 이동하는데 주요 역할을 하는 복합기를 중심으로 복사, 스캔, 팩스, 프린트의 기업 문서관련 전 영역을 관리할 수 있는 솔루션을 제공한다. 그 중에서 기업들의 만족도가 높은 대표 솔루션으로 개인정보 자동검출 시스템, 사전승인 팩스 전송 시스템, Document Life Cycle 관리 등이 있다.

개인정보 자동검출 시스템은 출력 전에 문서에 개인정보가 포함되어 있는지를 확인하고, 개인정보가 포함된 문서가 있을 경우 자동으로 출력을 차단하게 만드는 기능이다. 출력이 차단된 문서는 상급자 결재나, 소명이 이뤄진 후에 출력가능 문서로 바뀌어 작업할 수 있으므로, 문서 작업자와 내용에 대한 보안관리가 철저해진다. 사전승인 팩스 전송 시스템을 통하면 팩스문서를 상급자의 결재 후 출력할 수 있게 전송문서는 임시로 저장이 되었다가 승인을 받아야만 전송되는 기능을 부여한다. 이 시스템은 중요 문서의 분실이나 외부 발송을 막아주는 효과도 크다. Document Life Cycle 관리 기능은 개인정보 포함 문서의 생성에서 전송, 폐기까지 관리가 된다. 특히, 종이문서를 유출할 경우, 종이문서의 이관 기록을 통해서 문서 유출자의 추적이 가능한 것이 특장점이다. 이 외에도 공무원증, 사원증, 스마트폰을 통한 복합기 인증 시스템과 클라우드 프린팅 시스템을 결합해 복합기에 인증카드를 대면 본인문서만 출력되는 솔루션은 공용 복합기를 사용할 때 생기는 출력물 섞임이나 분실 우려를 차단할 수 있다. 또한, 기업 내 복사, 팩스, 스캔, 출력한 모든 이력과 이미지를 DB로 만들어 주요 보안문서에 대하여 완벽하게 모니터링 할 수 있는 통합 문서보안 관제 시스템도 구축·운영 중에 있다. 이는 유출 사고가 발생했을 시 해당 문서를 누가, 언제, 어떤 방식으로 유출했는지 바로 추적할 수 있다.

앞으로 두 번에 걸쳐 문서보안 솔루션에 대하여 더욱 심도 있게 다루게 될 것이다. 다음 호에서는 개인정보보호법에 대한 대응 방법과 그 구축 사례를 위주로 다루고, 마지막에는 기업의 문서보안 관제 시스템 구축 사례 중심으로 진행할 예정이다.

<글 : 시큐리티월드 편집부>

[월간 시큐리티월드 통권 제195호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>