글
| [정보보호 체계,더 늦기전에 고치자] ③ 정보관리 기업이 직접 나서자 | |
국내기업의 정보보호 현주소다. 기업의 정보화는 빠른 속도로 성장하고 있지만 이에 따른 기업내 보안 안정성을 위한 대책은 형편없다는 것이다. 그러나 개인정보 유출 등 정보보안이 뚫리면 기업들의 피해는 엄청나다. 피해자 개인의 피해 배상 소송으로 인한 손해 배상금은 물론 기업이미지도 추락한다. 특히 개인을 상대로 하는 서비스기업일 경우 치명적이다. 고객 이탈, 잠재고객의 불신과 외면 등으로 인해 매출 감소로 이어지며 유·무형의 손실로 장기적으로는 파산위험에까지 처할 수 있다. 실제로 개인정보유출 사고로 ‘기업이 손해배상하라’는 판결사례를 보자. 지난 2006년 10월 A기업은 홈페이지 해킹을 당해 20만명의 입사지원서 유출 사건이 터졌다. 지난 1월에 정보를 열람 당한 31명에 대해 1인당 70만원 손해배상 판결이 났다. B은행은 개인정보 유출사고로 총 2억여원의 배상 판정을 받았다. 지난 2006년 3월 고객 3만2000여명의 e메일, 주민번호 등이 첨부된 메일 발송 사건으로 지난해 11월 2심판결에서 피해자 1000여명에 1인당 20만원을 손해배상하라는 판결이었다. 하지만 문제는 이같이 리스크를 일반 기업들이 실감하지 못하는 데 있다. ‘발등에 떨어진 불’이 아닌 이상 먼나라 이야기일 뿐이다. ‘보안 불감증’이 심각한 수준이다. 정보보호진흥원 장상수 기업정보보호팀장은 “고객의 개인정보는 기업의 제휴나 합병 등으로 손쉽게 기업들 사이에 공유될 수 있다”며 “그래서 개인정보보호가 보장된 마케팅을 위해선 사업자의 고객정보 유출 예방을 위한 자발적인 노력이 절실하다”고 말했다. 그렇다면 기업들은 정보보호를 위해 어떤 노력이 필요한가. 최선의 대책은 예방이다. 이를 위해선 우선 전사적 위험관리체계(ERM)가 필요하다. 해킹, DDoS(서버와 네트워크에 불필요한 정보를 집중해 과부하를 일으키는 수법) 등 침해사고에 대응한 정보보호 프로세스, 시스템, 인력의 3가지 요소가 유기적으로 연계된 전사적 위험관리체계를 말한다. 특히 기업들은 임원급인 최고정보보호책임자(CSO·Chief of Security Officer)를 둬야한다. 기업의 보안 위협에 대해 체계적으로 대응하고 종합적인 정보보호 대책을 수립, 책임지는 중요한 역할을 CSO가 맡는다. 최근 대형 해킹사고가 터진 옥션은 국내 최대 인터넷거래업체이지만 보안 전담 부서나 보안 전문가가 없었다. 개인정보 등 기업의 주요 정보자산을 분류하는 일도 대수롭지 않아 보이지만 중요하다. 기업들이 고객정보 데이터베이스(DB) 등 정보자산에 보안등급을 부여하고 물리적·전자적 보안등급 표시를 부착해 관리하는 일이다. 이와 함께 보안사고시 긴급 연락체계, 대응 절차, 사고 복구조직 구성 등이 담긴 보안사고 예방 및 대응전략도 세워놔야 한다. 직원들의 정기적인 정보보호 교육도 기본이다. 기업의 정보 유출 방지를 위해 임시직원이나 제3자에게도 비밀유지 서약서에 서명받는 것도 필요하다. 또 보안 활동이 계획된 절차에 따라 효과적으로 잘 실행되는지를 점검하는 일도 남았다. |
RECENT COMMENT