xcurenet

공지사항

[칼럼] 기업의 정보유출과 개인의 프라이버시

작성일 : 2007-11-27 17:41    조회 : 9,823회

본문


[칼럼] <이성중 엑스큐어넷 부사장> ⓒ보안뉴스


“기업의 핵심 기술정보 유출”, “中스파이가 다 빼간다”, “정부의 FTA 문건 유출”, “개인정보 줄줄 새는 나라”, “댐이 무너지듯 마구 유출되는 개인정보”, “신종 전화사기 극성·줄줄 새는 개인정보”

최근 몇 년간 하루가 멀다 하고 나타나는 이러한 문구들은 기업의 기밀정보 유출의 심각성과 함께 개인정보의 유출로 인한 프라이버시 침해에 대한 경각심을 한층 제고하고 있는 실정을 여실히 잘 보여주고 있다.

기업의 기밀정보유출을 방지하건 개인의 프라이버시를 보호하기 위해 기업 또는 정부 기관들에 제공되는 개인(또는 고객, 정부기관에게는 국민) 정보의 무분별한 유출 및 남용을 방지하기 위해서건 간에, 가장 먼저 통제되어야 하는 대상은 다름아닌 해당 정보를 취급하는 회사나 기관의 임직원들(공무원들)이다.

회사나 기관의 중요한 자산인 기술정보, 영업정보 등과 회사나 기관이 보유하고 있는 고객정보 등과 같은 중요한 정보 등을 보호하기 위해서는 이를 취급하는 임직원들에 대한 철저한 교육 및 내부 업무 통제가 시스템적으로 이루어 져야 함은 당연하다고 할 수 있다.

그런데, 이러한 배경과 당위성으로 무장한 솔루션 제품들을 검토하는 중에 현실적으로 항상 문제가 되는 것은 이러한 중요 정보를 취급하는 임직원들의 프라이버시 주장으로 솔루션 도입을 꺼려하는 부분이다.

사실 정보유출 방지를 위해 도입하고 있는 많은 솔루션들의 대부분이 허가되지 않은 사용자가 정보를 볼 수 없도록 하는 암호화 (문서보안) 솔루션이나, 고객 또는 국민 등과 같은 개인정보와 회사의 중요정보가 저장되어 있는 데이터베이스에 대한 접근 이력관리 및 통제 솔루션을 도입하고는 정보유출 방지 시스템을 구축하였다고 한다.

정작 회사나 기관의 문지방을 넘어 정보가 흘러 나가는 곳에는 전혀 사후 추적할만한 또는 사전에 통제할만한 설비를 갖추어 놓지도 않은 채 말이다. 그래서 사고나 사건이 터지면 다들 보안관련 정보시스템들의 로그들을 뒤지고는 하는데, 당연히 정상적인 업무를 수행하는 임직원들의 접근 사용 기록만 있지 이를 불법적으로 사용하였거나 규정을 위반하여 외부로 유출하였다는 흔적은 어디에도 찾을 수 없게 된다. 그래서, 사건 사고에 대한 정확한 조치를 취하지 못하고 있는 것이 실정이다.

임직원들의 사용기록, 특히 개인정보와 같이 법적으로 프라이버시가 보호되어야 하는 정보들을 취급하는 비정규직원들이나 임시직원들의 인터넷 사용 기록 및 내용 등을 항공기의 블랙박스처럼 저장 관리하거나 회사가 법적으로 문제가 될 소지가 있는 내용에 대해서는 사전에 차단하여 줌으로써 사건 사고 예방 및 사후에 정확한 경위를 추적 할 수 있을 것이다.

그러나 위에서 언급하였듯이 현실적으로 넘어야 할 벽은 솔루션의 부재나 정책의 부재라기 보다는 정작 임직원들 스스로의 완강한 프라이버시 침해라는 주장이다. 특히 이러한 임직원들 자신의 프라이버시 주장은 회사나 기관의 경영자들에게 자신들의 일거수일투족이 감시당할 것이라는 우려와 함께 회사나 기관이 결정적인 순간에 자신들에게 불이익을 줄 것이라는 막연한 걱정 및 불쾌감을 주어 자신이 노출되기를 꺼려하는 자기 보호 측면이 강하다고 할 수 있다.

정작 문제의 본질은 회사나 기관이 보유하고 있는 고객(국민)의 개인정보 유출로 인한 프라이버시 침해와, 중요한 핵심 기술과 같은 정보자산에 대하여 보호해야 하는 책무보다 자신의 프라이버시가 더 우선한다는 생각으로 결국 고객의 개인정보 및 회사의 중요 정보자산을 방치하는 격이 되고 있다.

회사의 외부와 연결된 출입 구간에는 이미 시설보안 설비들이 즐비하고, 이에 대해서는 거부감은 있겠으나 그 필요성과 당위성은 임직원들 모두 인정하고 이용하고 있는 이때에, 왜 정작 네트워크를 이용한 온라인 상의 경계 구간에는 왜 이러한 정보보안시스템 설비를 갖추지 않는 것인지 의문이 든다. 이러한 설비만을 갖추면 회사 중요 정보 및 개인정보에 대한 보안은 한층 더 강화될 것일 텐데 말이다.

물론, 회사나 기관의 임직원들도 넓은 의미에서 보면 개인이기 때문에, 헌법상의 개인의 프라이버시 보호는 당연하며 회사나 기관 또한 이에 대하여 소홀히 하면 안될 것이다. 곧, 이러한 내부 임직원들에 대한 통제 시스템을 구축 운영하면서는 운영 관리 정책과 명분을 모든 임직원들에게 알리고 지속적인 계도 및 교육을 함께해야 하며, 운영 관리자들에 대한 철저한 관리 감독이 병행되어야 함은 당연하다 하겠다.

기업의 경쟁력에 있어 핵심 기술정보 혹은 기밀정보 등은 눈에 보이지는 않으나 그 피해의 심각성은 여러 통계들을 통해서도 봐왔듯 아무리 강조해도 지나치지 않다. 개인정보 또한 헌법상으로 보호 받아야할 대상임은 두말할 나위도 없을 것이다.

이렇듯 보호를 받아야 하는 대상의 정보들은 이러한 정보들을 취급하는 내부 사용자들에 대한 관리 감독을 필요로 하며 이에 합당한 정책 및 조직과 아울러 시스템이 구축 되어야 하는 것이 온라인 상에서의 내부통제 시스템 구축을 위해 최우선적으로 검토되어야 할 부분이다.

그리고 이러한 시스템을 적용하여 운영하는 회사나 기관들은 철저한 관리 감독하에 시스템이 운영되도록 함으로써, 내부에서 일어나는 프라이버시 침해에 대한 논란을 끝내야 할 것이다.

[글: 엑스큐어넷 이성중 부사장]

[길민권 기자(reporter21@boannews.com)]