최근 금융권에서 연이어 일어난 개인정보유출 사고가 적절한 예시가 될 것이다. 올해 초 은행, 카드사에서 모두 1억여건의 개인정보가 외부로 유출된 사고가 발생했다. 이 사고는 협력업체 직원의 일탈에 의한 사건으로 치부되고 있으나 보다 본질적인 문제는 금융회사의 보안정책이 제대로 준수되지 않았기 때문으로 분석되고 있다.

금융권 보안정책에 따르면 금융회사들이 취급·보관하는 개인정보들은 모두 암호화해야 하며, 이를 복호화할 수 있는 키의 관리도 철저히 이뤄져야 한다.

하지만 실제로는 암호화를 적용하지 않은 카드사가 많았다. 암호화를 적용하지 않은 카드사에서는 수천건의 개인정보가 그대로 협력업체 직원에게 넘어갔다. 일부 카드사는 개인정보에 대한 암호화를 적용하긴 했으나 복호화키를 제대로 관리하지 못해 개인정보가 유출되는 사례도 있었다.

대중에겐 알려지진 않았지만 전산실(전산센터)에서 발생하는 보안사고도 부기지수다. 지난해 말 모 기업에서는 퇴사를 앞둔 직원이 전산실에 무단으로 침입해 전사적자원관리(ERP) 시스템 중 인사정보와 영업정보를 탈취해갔다. 경쟁사로 이직하기 전 기밀데이터를 절취한 사례다. 다행스럽게도 그 직원은 퇴사 전 이상행위가 사측에 적발돼 데이터의 외부유출은 막았다.

기업의 보안정책에 따르면 전산실은 입실자를 식별하고 기록하는 출입관리 기능을 설치하고, 카드키 등 보안성이 우수한 개폐장치로 출입을 통제할 수 있어야 한다. 하지만 많은 기업들은 업무가 번거로워진다는 이유만으로 출입대장을 생략하고, 전산실 출입카드를 상시 비치해왔다.

이 모든 사고들은 이미 수립된 보안정책을 제대로 수행하지 않았기 때문에 발생한 것이다. 업무의 편의를 보안과 맞바꾼셈이다.

최근에는 이러한 풍토가 바뀌고 있다. 잇다른 보안사고로 인해 정부의 규제도 강화됐지만 기업들이 스스로 변화를 꾀하고 있는 모습이 포착되고 있다.

업계 관계자는 “최근 보안사고로 인해 기업들의 분위기가 많이 달라진 것은 사실이지만 몇 달 전까지만 하더라도 기업내 전산실은 보안의 홀(hole)이었다”며 “기본적인 보안정책을 무시하는 태도들이 대형사고를 불러올 수 있다는 것을 명심해야 할 것”이라고 전했다.

기업들도 변하고 있다. 유명무실한 보안정책을 없애고 현실을 반영한 정책을 새롭게 내놓고 있다. 이를 위해 직원들을 대상으로 한 지속적인 교육도 실시하고 있으며, 인사고과에도 이를 반영하고 있다.

가장 대표적으로 임직원들을 대상으로 한 보안캠페인이다. 삼성그룹, SK그룹 등에서는 퇴근 전 PC종료하기 캠페인을 지속적으로 추진하고 있다. 공격자가 가장 활발히 활동하는 시간대가 퇴근 이후라는 점을 상기시킨 것이다.

금융회사들은 전산실에 대한 보호조치를 강화했다. 자동 개폐장치를 활성화하고 출입시 반드시 관리자의 허락을 득한 후에 가능하도록 절차를 수정했다.

담당자가 전산실에 입실하면 그 즉시 출입자의 정보와 출입을 허가한 사람의 정보가 관리팀에 전송된다. 혹여나 있을 사고에 대비해 폐쇄회로티브이(CCTV)는 필수다.

여기의 연장선으로 정보보호 3요소에 근거를 둔 보안정책이 하나둘 씩 수립돼 적용되고 있다.

보안정책이란 정보자산을 어떻게 관리하고 보호할 것인가에 대한 지침과 절차를 문서로 기술해 놓은 것이다. 조직에서 정보자산을 안전하게 보호하고 효율적으로 사용하기 위해서 우선적으로 수립돼야 한다.

보안관리의 일반적인 모델은 우선적으로 보안정책을 수립한 후에 보안정책을 근거로 한다. 우선 위험분석을 실시해 조직의 보호해야할 자산, 위협, 취약성 등을 식별하고 이에 대한 대응책을 구현하는 것이 우선이다.

이후 보안정책은 환경의 변화나 새로운 위협이 발생했을 경우나 주기적인 위험 분석 실시 과정을 통해 수정된다.

보안정책은 기밀성, 완전성(무결성), 가용성을 포함하고 있어야 한다. 외부에서 내부로의 접근을 차단하는 기밀성, 내부 정보가 악용돼 변경되지 않을 완전성, 필요할 때 정보를 제대로 사용할 수 있도록 하는 가용성 등이 준수돼야 한다는 점이다.

기밀성, 완전성, 가용성은 독립적인 것이 아니고 상호의존관계에 있으므로 보안정책 수립시에도 균형을 생각해야 한다.

<이민형 기자>kiku@ddaily.co.kr