지난 5월, 유럽연합(EU) 일반개인정보보호법(GDPR) 시행 1주년을 맞아 전국경제인연합회 컨퍼런스센터에서 ‘EU GDPR 적용 1년의 의의와 평가 세미나’가 개최됐다. 2018년 5월에 발효된 GDPR은 개인정보보호를 강화하기 위해 만들어진 통합 규정으로, 이를 준수하기 위해 기업들은 암호화와 같은 적절한 안전 조치를 도입하고 있다.

그동안 암호화는 비싸고, 복잡하며, 가치가 의심스러운 것으로 간주되어 기업에게 부담으로 여겨졌다. 하지만 지난 몇 년 동안 발생한 수 백여 건의 심각한 데이터 유출 사고와 이로 인한 수 천 조원의 피해로 인해, 기업의 경영진은 더 이상 사이버 위협을 무시할 수 없게 되었다.

국내를 비롯해, 전 세계적으로 4차 산업혁명이 진행되면서 디지털 트랜스포메이션이 진행되고 있다. 올해 2월 탈레스가 발표한 2019년 탈레스 데이터 위협 보고서 글로벌판(Thales Data Threat Report-Global Edition)에서는 디지털 트랜스포메이션이 진행됨에 따라, 민감데이터가 위험에 처하는 경우가 종종 발생한다는 사실이 보고되었다. IT 전문가 중 97%가 디지털 트랜스포메이션을 일정 수준 달성했다고 답변한 반면, 암호화 전략을 채택한 인원은 30%밖에 되지 않았다.

민감한 고객 정보 또는 금융 정보는 기업이 보호할 수 있는 가장 중요한 자산이다. 그러나 기업의 디지털 트랜스포메이션 과정에서 필수적인 부분은, 데이터를 굳게 잠긴 금고와 같은 사내 데이터센터에서 클라우드 및 모바일 디바이스로 마이그레이션하는 것이다.

단순히 데이터를 암호화하는 것은 마치 돈을 금고에 넣어 두기만 하는 것과 같다. 금고는 사용자가 언제, 어떻게 열 것인지 통제할 수 있을 때야 비로소 제 기능을 다한다고 할 수 있다. 다시 말해, 접근 통제가 수반되지 않은 암호화는 스마트 락이 없는 금고와 같다. 그렇기 때문에 접근성이 높은 클라우드 및 모바일 기기로 데이터를 마이그레이션하여 필요 시 언제든지 데이터를 사용할 수 있도록 하는 것이 중요하다.

이제 암호화를 비싸고, 복잡하며, 미심쩍은 것으로 여기는 기업은 많지 않을 것이다. 실제로 주요 기업들은 암호화가 사이버 복구 노력의 핵심이라고 점점 더 강하게 주장하고 있다. 일부 기업들은 심각한 데이터 유출로 비즈니스가 타격을 받기 전에 암호화에 투자했어야 했다는 사실을 인정하고 있다. 그렇다면 암호화를 위한 효과적인 전략은 무엇일까?

첫 시작은 기업이 처한 상황을 제대로 이해하는 것이다. 기업은 단순히 데이터를 맹목적으로 암호화하는 것이 아니라 리스크 관리 접근 방식을 통해 해당 리스크를 평가해야 한다. 기업이 당면한 상황을 정확하게 파악한 후에는 가장 민감한 데이터와 손실 또는 도용의 위험이 가장 큰 데이터를 고려하여 이를 안전하게 유지하는 프로세스를 구현할 수 있다.

다음 단계는 설계 단계부터 보안을 고려하는 것이다. 오랜 시간, 보안은 가장 마지막에 구현하는 선택 사항으로 간주되어 왔다. 앞으로 기업들은 시작부터 복원력과 위협 완화를 염두에 둘 것이다. 새로운 애플리케이션을 개발하는 경우, 보안을 필수적으로 고려해야한다.

마지막으로, 경영진의 암호화에 대한 충분한 이해와 의지이다. 암호화 및 사이버 복원력에 대한 최고의 전략은 잘 설계된 프로세스와 간소화된 승인 절차를 기반으로 구축되며, 데이터 보안이 비즈니스에 중요하다는 점을 명확히 한다. 이는 경영진이 암호화에 대해 정확히 이해한다는 것에 전제를 두고 있다. 그렇게 때문에 기업의 사이버 보안에 있어 경영진의 역할은 매우 중요하다.

기업의 경영진이 보안 문제를 심각하게 받아들이고, 기업 전체에 사이버 복원 문화를 정착시키며, 전략의 승인을 위해 보안 관련 주제들을 충분히 다룸으로써, 사이버 위협으로부터 기업을 보호하고, 견고한 기반을 구축하며, 지속성장의 가능성을 높일 수 있길 기대한다. <끝>