뭣이 중헌디? 뭣이 중허냐고?

기업 보안의 필요성

『기업 보안』에 있어서 과연 보안은 왜 필요한 것일까?

지켜야 할 중요한 것이 있기 때문일 것이다.

 

하지만, 우리 기업 보안의 현실은 어떠한가?

한때 영화 속 유명 대사처럼 혹시 아래와 같이 메아리치고 있지는 않은가?

뭣이 중헌디~ 뭣이 중허냐고?
뭣이 중헌지도 모름서….

당신 회사의 중요 자산은 무엇입니까?

지피지기 백전불태!

적을 알고 나를 알면 백 번 싸워도 위태롭지 않다는 손자병법을 누구나 잘 알고 있을 것이다.

 

과연 보안에 있어서 나를 안다는 것은 무엇일까? 

중요하게 지켜야 할 대상을 아는 것으로부터 출발해야 하지 않을까? 

 

그런데 과연 '당신 회사에는 어떤 중요 자산이 있습니까?'라는 질문에 자신 있게 막힘없이 술술술 말할 수 있는 최고 경영진 또는 구성원, 심지어 보안팀 인력이 얼마나 될까? 꼬리에 꼬리를 무는 질문을 계속해서 하다 보면 결국은 '전부 다 중요합니다!'라는 식으로 얼버무리고 있지는 않은지 자문해 볼 일이다.

 

기본적인 보안 철학상 모든 것을 지키는 것은 애초에 불가능하며, 이러한 잘못된 목표를 향해서 나아가는 것은 결국 업무 효율을 크게 떨어뜨릴 뿐만 아니라 과도한 비용이 소요되어 선택과 집중이 필요하다는 것은 자명한 사실이다. 

 

그렇다면 많은 기업 보안 조직이  『지켜야 할 대상 모두가 중요합니다』와 『하지만, 보안에 있어서 완벽한 보안은 없습니다』라고 말하고 있는 건 아닐까? 이것은 곧 불가능함을 추구하고 있다는 의미는 아닐까?

 

이러한 접근 방식은 결국 많은 부작용을 일으킬 수밖에 없다.

 

정보분류의 중요성

예를 들어서, 보안 등급을 대외 공개, 대외비, 비밀, 일급기밀 등 4개로 나누는 기업이 있다고 해보자. 하지만, 막상 실상을 파헤쳐 보면 대다수 정보가 다른 등급도 아닌 오로지 대외비 등급으로만 표시되고 있는 경우를 심심치 않게 볼 수 있다. 전부 다 대외비라고? 이렇게 되면 보안 등급을 나누어 운영하는 것의 의미가 퇴색될 수밖에 없는 것은 자명하다. 이는 구성원원을 정작 정말로 중요한 것이 무엇인지도 모르는 안전 불감증 환자로 만들 수 있고, 그것은 결국 사실상 아무것도 지키지 않겠다는 것으로 해석될 수 있다. 실제로 법정까지 간 크고 작은 보안사고를 보면 이러한 경우를 어렵지 않게 찾아볼 수 있다.

 

회사는 '규정상 명확히 보안 등급을 나누어 관리하도록 하고 있으며, 이번에 유출된 자료는 대외비로 표시되어 있던 만큼 절대로 회사 밖으로 나가서는 안 됐었다'라고 이야기하지만 교과서적인 이야기다. 구성원은 오히려 이렇게 이야기한다.  '현실은 그렇지 않았다. 모든 사람이 자료를 작성할 때부터 내용에 상관없이 대외비부터 표시하고 있고, 보안팀도 그렇게 교육을 하고 있으며, 실제로 그렇게 관리되고 있다. 보다 높은 보안 등급을 요구하는 정보에 대해서도 단지 대외비라고 표시하며, 심지어 외부에 공개할 자료마저도 대외비로 표기하고 있다. 즉, 보안 등급은 허울 좋게 규정상으로만 존재할 뿐 실체가 없었다. 그래서 나는 이번에 쟁점이 된 자료가 외부로 공개되면 안 되는 자료인지를 몰랐다.'라는 식으로 이야기가 전개되고 법정에서도 받아들여지는 형국이다. 게다가 비록 등급은 구분해 두었다고 하더라도 등급별 추상적인 정의만 간략히 언급되어 있을 뿐, 과연 등급별로 어떠한 정보가 각 등급에 속하는지를 구체적으로 정의해 놓지 않는 경우도 쉽게 볼 수 있는데 이 역시 문제가 된다. 무엇보다 이러한 모호함은 결국 구성원과 보안팀 간 마찰을 불러일으킬 수밖에 없다.

 

미국 정부의 정보 분류 체계(Classified National Security Information)

필자는 이 대목에서 미국 정부의 정보 분류 체계(Classified National Security Information)를 벤치마킹 해볼 것을 권하고자 한다. 그 이유는 상당히 오랫동안 '기밀을 유지하려는 노력'과 '알 권리의 보장'이라는 상반된 가치를 두고 저울질하며 적절한 균형을 유지하기 위하여 지속적인 개선 활동이 이어져 왔었고, 미국의 정보 공개법(FOIA, Freedom of Information Act)에 따라서 국립문서기록관리청(NARA, National Archives and Records Administration)을 통하여 관련 자료 원문을 누구나 직접 확보하여 살펴볼 수 있기 때문이다.

 

여러가지 인사이트가 있지만, 특히 내가 눈여겨 본 부분은 다음과 같다. 곰곰이 곱씹어볼 내용이다.

 

적절한 분류 등급 판단이 어려운 경우에는 고려하고 있는 등급 중 중요도가 더 낮은 등급으로 분류해야 한다.