외부 해커보다 무서운 게 울타리 안의 내부 정보 도둑이다.
최근 기업이 보유한 정보의 가치가 높아지면서 개인적 이기를 위해 내부 정보나 첨단 기술을 빼돌려 경쟁사나 외국으로 유출하는 사례가 증가하고 있다.
이러한 핵심 기술 및 정보가 새나가면서 사업적 혹은 금전적 타격을 입는 기업이 늘어나고 있으며 특히 경기가 어려워질수록 일반 사원은 물론 임원, 대표까지 정보 유출에 가담하며 기업의 막대한 피해가 이어지고 있다.
올해 1월 시만텍과 포네몬 인스티튜트(Ponemon Institute)가 작년 퇴사자 약 1000명을 대상으로 공동 실시한 설문조사에 따르면, 응답자의 59%가 근무하던 직장에서 고객 리스트 등 기밀 정보를 유출한 것으로 나타났다.
또한 이들 응답자들은 CD나 DVD, USB 메모리 등에 데이터를 복사하거나 개인 이메일 등을 이용해 기밀 정보를 유출했다고 답했다.
또한 미국 비영리기관 신원절도자원센터(ITRC)가 발간한 보고서 역시 2008년 내부자 위협이 전년에 비해 두배 이상 증가했다고 밝혀, 더이상 외부 네트워크를 닫는 것만으로 기업의 정보를 완벽히 보호할 수 없음을 보여주고 있다.
이러한 정보유출의 폐해는 미국만의 얘기가 아니다. 전세계 정보 유실 사례를 공유하는 데이타로스디비(www.datalossdb.org) 웹사이트에 따르면, 한국의 정보 유출 사건이 8위에 올라 있으며, 등록되지 않은 다른 사례까지 고려하면 10위권 내에 최소 2개 이상의 국내 기업 사례가 해당될 정도로 정보 유출과 관련된 국내 피해도 심각한 상황이다.
이제 기업은 방대하게 축적된 자사의 정보를 보호하기 위해 몇가지 기본적인 사항을 염두해 둬야 한다.
우선 경기 침체와 함께 증가할 내부자 위협에 더욱 주의를 기울여야 한다. 이들은 금전적인 이익을 위해 기밀 정보나 계약비밀 유출을 시도해 기업에 막대한 손실을 미칠 수 있기 때문에 내부 정보유출에 대한 인식과 지속적인 감시를 통해 이를 방지해야 한다.
다음은 기밀유출 방지를 위한 직원 교육을 실시해야 한다. 대부분 정보유출은 직원들이 정보를 다루는 과정에서 발생하기 때문에 직원들이 정보유출을 막아야 할 의무, 그를 위한 기술, 정보유출 방지의 중요성 등을 숙지할 수 있도록 해야 한다.
독자들의 PICK!
기업은 체계적인 교육과 의식 훈련을 통해 예상치 못한 정보유출의 위협을 줄일 수 있다.
마지막으로 정보유출 방지를 위한 사전 계획을 철저히 세워야 한다.
계획이나 준비없이 마라톤을 뛸 수 없는 것처럼 정보유출에 대한 계획 없이 급변하는 보안 위협에 대응할 수 없다. 내부 정보유출에 대한 인식, 체계화된 직원 교육을 바탕으로 변화하는 IT환경에 적절히 대처할 수 있는 방안을 끊임없이 고민하고 필요한 솔루션을 도입해야 한다.
즉, 기업은 외부 위협으로부터 네트워크 경계를 보호하는 것 이상의 보안 수단을 마련해야 하며 기업의 인프라를 닫아거는 것에서 정보 자체를 보호하는 것으로 인식을 전환해야 한다. 이를 위해 중앙집중적 보안 정책을 통해 사용자 PC와 네트워크, DB를 총체적으로 보호해주는 체계를 갖춰야한다.
정보는 기업의 가장 중요한 자산인 동시에 가장 취약한 자산이기도 하다.
오늘날 많은 기업이 정보를 쉽게 공유하고 접근할 수 있는 효율적인 네트워크 시스템을 갖췄으나, 이는 한편으로 정보유출이라는 새로운 정보보안 문제를 야기시키면서 보안 환경은 더욱 위험속에 방치돼 있다.
이제 기업은 핵심 자산인 정보를 효과적으로 보호하기 위해 내부 정보유출 위협에 주의를 기울여야 한다.
특히 내부 직원에 의한 정보유출의 심각성을 보다 깊이있게 인식하고 내부 직원들의 도덕성만을 호소하기보다 정보유출 방지를 위한 솔루션 도입을 통해 보다 근본적인 해결책을 모색해야 한다.